База данных учетных записей пользователей.

В Контроллере домена реализованы совершенно новые средства управления системой и администрирования, впервые появившиеся в Windows 2000

· Active Directory— расширяемая и масштабируемая служба каталогов, в которой используется пространство имен, основанное на стандартной Интернет - службе именования доменов (Domain Name System, DNS);

· IntelliMirror — средства конфигурирования, поддерживающие зеркальное отображение пользовательских данных и параметров среды, а также центральное администрирование установки и обслуживания программного обеспечения;

· Terminal Services — службы терминалов, обеспечивающие удаленный вход в систему и управление другими системами Windows Server 2003;

· Windows Script Host — сервер сценариев Windows для автоматизации таких распространенных задач администрирования, как создание учетных записей пользователей и отчетов по журналам событий.

Active Directory и административные шаблоны позволяют применять параметры безопасности ко всем рабочим станциям и серверам вашего учреждения. Иными словами, вы настраиваете защиту данных не каждого конкретного компьютера, а всего предприятия в целом

Windows Server 2003, Standard Edition, разработана для пре доставления служб и ресурсов другим системам в сети. Она сменила Windows NT 4.0 Server и Windows 2000 Server. Эта ОС обладает богатым набором функций и конфигурационныхпараметров. Windows Server 2003 поддерживает до двух центральных процессоров и до 4 Гбайт оперативной памяти

В настоящее время разработана Windows Server 2008

Эта база представляет собой основной инструмент модели доступа к ресурсам как на локальном компьютере, так и на компьютере, осуществляющем управлением доступа в сети - Контроллере домена.

Прежде всего, отметим, что эта база содержит записи, называемые «учетная запись пользователя» в которой содержится;

· имя пользователя (Login),

· пароль (Password),

· описание прав доступа при входе в систему,

· упомянутый выше уникальный идентификатор SID

· домашний каталог и другую информацию, имеющую отношение к использованию ресурсов.

Следует отметить, что права, декларируемые непосредственно в учетной записи имеют отношение ко всей системе в целом или к группам объектов, а не к конкретному ресурсу. Доступ к конкретным ресурсам определяется разрешениями, установленными непосредственно в самих объектах.

Представление информации о правах непосредственно в каждой учетной записи пользователя оказывается неудобным, если речь идет о десятках пользователей. Часто оказывается, что права однотипны для определенных групп пользователей. Кроме того, классификация пользователей с помощью создания групп приносит дополнительную гибкость системе. Поэтому в базе данных кроме учетных записей пользователей создаются записи типа «учетная запись группы». При этом, пользователь может быть отнесен в одну или несколько групп, а группа может включать в себя несколько пользователей. Основная функция группы состоит в «делегировании» прав всем пользователям, включенным в ее состав. В современных системах учетная запись пользователя получает общие права, относящиеся ко всей системе в целом только из групп, к которым она принадлежит. В результате учетная запись пользователя должна принадлежать, хотя бы к одной группе. Эта группа носит название «Все пользователи».

Основное правило делегирования прав, состоит в том, что учетные записи содержат «Права» (нет «Запретов») и эти права суммируются как в составе учетной записи пользователя, так и при наследовании прав группы.Есть только одно исключение – специально именованный набор прав «Nothing», запрещающий доступ ко всем ресурсам ( в т.ч. лишающий права на выполнение программ). Этот набор отменяет любые другие права.

Если учетная запись расположена на локальном компьютере (и используется для обеспечения доступа к локальному компьютеру), то носит название «Локальная учетная запись», альтернативной является «Глобальная учетная запись», расположенная на Контроллере домена, обслуживающем политику безопасности на отдельном участке сети. Таким образом, все вопросы, связанные с безопасностью домена разрешаются путем обращения к данным глобальных учетных записей. Следует отметить, что некоторые серверы (особенно это касается серверов баз данных) принимают на себя часть обязанностей контроллера домена, что, разумеется снижает общую безопасность сети.

Каждая учетная запись в базе содержит уникальный идентификатор записи – Идентификатор безопасности (Security Identifier – SID), однозначно определяющий запись. Это относится как к учетным записям пользователей, так и к учетным записям групп. Можно считать, что идентификатор безопасности играет роль ключа, с помощью которого заперты нужные ресурсы. Иными словами, ресурсы обладают механизмом, позволяющим с помощью ключа SID однозначно установить, какими правами для данного объекта обладает владелец этого SID.

Итак, ресурсы, то есть файлы, каталоги, принтеры и пр., которые могут быть повреждены или неправильно использованы, обладают защитным механизмом – замками, открываемыми пользователем с помощью SID его учетной записи и SID групп, членом которых является пользователь.

Набор идентификаторов безопасности, состоящий из SID учетной записи пользователя и SID групп, к которым пользователь принадлежит, носит упомянутое выше название Маркер доступа. Маркер доступа, как уже отмечалось, создается каждый раз при входе пользователя в систему. Таким образом, маркер доступа можно интерпретировать как связку ключей, доступных пользователю. Запущенные пользователем процессы (коды или сборки) получают от пользователя копию маркера доступа. Естественно, что процессы, запущенные другими процессами наследуют маркер пользователя. Маркер доступа никогда не покидает конкретный компьютер и не передается по сети. Так, при обращении клиента на сервер, маркер доступа, генерируемый WinLogon процессом на сервере, остается на нем и передается службе сервера (Server service), которая выполняет все необходимые для клиента действия. Одновременно создается локальный маркер доступа пользователя на основе учетной записи пользователя на рабочей станции. Этот маркер позволяет запускать процессы на стороне клиента. Таким образом, вероятность перехвата и возможного изменения маркера доступа отсутствует.

Упомянутые выше «замки», обладателями которых являются все ресурсы, представляют собой достаточно сложные объекты. Эти объекты, в зависимости от их функционального предназначения, предоставляют набор действий, которые можно осуществлять над ресурсом.

Так для объекта типа файл это может быть следующий набор:

· Открытие

· Закрытие

· Чтение

· Запись

· Удаление

· Изменение

· Принятие права владения

· Изменение права доступа

· Полное запрещение доступа

· Полный контроль

С принтером связаны действия:

· Печать

· Управление документами

· Полное запрещение доступом

· Полный контроль

Эти действия над ресурсом называются Объектными службами.

Фактически пользователь осуществляет доступ к ресурсам с помощью исполняемых процессором кодов. В современных системах, таких, как, .NET Framework, они реализованы в виде служб, написаны на разных языках и представляют собой байт-код. Байт-код в отличие от традиционного исполняемого кода предназначен для исполнения виртуальной машиной «на лету» и позволяет достичь независимости от языка проектирования и платформы исполнения. Хранится байт-код в виде скомпилированного проекта, который в терминах .NET носит название «Сборка». В дальнейшем мы будем использовать этот термин вместе с традиционным «код».

Помимо служб, ресурсы обладают различными свойствами, в частности:

· тип объекта

· дескриптор безопасности

· имя объекта

· данные объекта (например, содержимое файла, если это файл),.

Последние три свойства называются атрибутами объекта.

В целом объект содержит тип, службы и атрибуты.

Дескриптор безопасности объекта это специальная структура, которая содержит информацию, необходимую для управления ресурсом. В ее состав входят:

· SID владельца объекта. Владелец всегда обладает правом изменения установок в контролируемом списке управления доступом к ресурсу.

· SID групп. Некоторые ресурсы могут быть связаны с учетной записью группы непосредственно, а не с помощью связей владельца. Эта часть дескриптора безопасности установлена для целей совместимости различных ОС.

· Контролируемый список управления безопасностью (Data Access Control List - DACL). DACL это список Элементов управления доступом (Access Control Entries – ACE). Каждый элемент ACE это структура, которая содержит SID и маску доступа, определяющую те службы объекта, доступ к которым разрешен для владельца этот SID (поэтому эти службы иногда называют правами доступа). Права доступа в DACL являются накопительными. Пусть, например, DACL имеет ACE, SID которого указывает на пользователя, а маска доступа на право «чтение» для файла. Кроме того в DACL есть ACE, SID которого указывает на группу, а маска на право «запись». Тогда процесс, обладающий маркером доступа, содержащем оба этих SID получит право как на чтение, так и на запись в этот файл. Существует только одно исключение – это запрещающий ACE, который запрещает процессу, обладающему соответствующим SID все типы доступа (службы) этого объекта.

· Системный список управления доступом(System Access Control List - SACL) – список ASE, специально подвергаемых аудиту в процессах доступа к ресурсу.

Вообще говоря, не каждый объект имеет DACL и SACL. Это обстоятельство трактуется системой безопасности как отсутствие необходимости в проверке прав доступа или аудите. Не следует путать отсутствие с пустым DACL. Пустой DACL – это полный запрет на доступ для всех SID.

Права сгруппированы в наборы для более удобного применения. На платформе Windows в настоящий момент существуют следующие наборы:

· FullTrust (полный доступ) - Этот набор разрешений предоставляет коду пользователя неограниченный доступ ко всем защищенным ресурсам. Этот набор разрешений является потенциально опасным; он открывает полный доступ к ресурсам компьютера, таким как файловая система и доступ в сеть, разрешая работу без контроля со стороны системы безопасности. Этот набор разрешений может быть получен только сборками, которым можно полностью доверять.

· Everything (все)- имеет близкое к FullTrust значение. Этот набор разрешений предоставляет неограниченный доступ ко всем ресурсам покрываемым встроенными разрешениями. То есть к следующему списку:

o Разрешить выполнение сборки

o Разрешить вызовы в неуправляемые сборки

o Утверждать любые предоставленные разрешения

o Разрешить управление потоками (обмен данными между процессами)

o Разрешить управление политиками

o Разрешить управление политикой области

o Разрешить управление участниками

o Создать области применения и управлять ими

o Разрешить инструмент форматирования при сериализации (т.е. при сохранении объектов)

o Разрешить управление свидетельствами (каждая сборка обладает свидетельством)

o Расширить инфраструктуру

o Разрешить настройку удаленного взаимодействия

Единственное разрешение, отсутствующее в этом списке – это разрешение обходить проверку подлинности

· SkipVerification (Обход проверки подлинности) - Предоставляет право обходить проверку подлинности

· Execution (Выполнение) – Разрешает выполнение кода

· Nothing (Полный запрет) - Запрещает доступ ко всем ресурсам, в т.ч. лишает права на выполнение

· LocalIntranet (Локальная сеть) - Права по умолчанию, предоставленные приложениям в локальной сети интранет в составе:

o Разрешить выполнение сборки

o Утверждать любые предоставленные разрешения

· Internet (Интернет) - Права по умолчанию, предоставленные приложениям Интернета в составе:

o Разрешить выполнение сборки

Познакомиться с этими правами можно, например, используя меню Пуск - Панель управления – Администрирование - Microsoft .NET Framework Configuration, выбирая в папке, Пользователь /Набор разрешений соответствующее название набора. Подробное описание набора доступно из контекстного меню в свойствах файла «Безопасность».

Маркеры доступа процессов и дескрипторы безопасности объектов представляют собой правила доступа к ресурсам. Реализацией этих правил возложена на Монитор безопасности – специальную службу операционной системы, осуществляющую по требованию процессов манипуляцию с объектами. Когда процесс выдает запрос на выполнение некоторой операции над ресурсом, Операционная система проверяет с помощью Монитора безопасности права процесса на выполнение этой операции. Монитор безопасности сравнивает маркер доступа процесса с содержимым Контролируемого списка управления доступом объекта. Если имеется хотя бы один SID в маркере, совпадающий с SID в ACE DACL, который имеет маску, разрешающую эту операцию и нет запрещающего ACE с тем же SID, то Монитор безопасности дает «добро» на использование запрашиваемой службы объекта. Одновременно Монитор безопасности проверяет SACL на предмет регистрации в журнале безопасности событий, связанных с охраняемым объектом. При этом регистрируется, разумеется, как удачная, так и неудачная попытка доступа. При этом следует помнить, что аудит может быть отключен вручную непосредственно в Диспетчере пользователей.

Упомянутые выше службы могут оказаться общими для группы объектов или системы. Например, операция завершения работы ОС влияет на каждый объект в системе. В этом случае такие права устанавливаются для пользователя в его учетной записи (или в учетной записи связанной с ним группы). Диспетчер учетных записей размещает выписку прав этого типа из учетной записи пользователя и учетных записей связанных с ним групп в разделе LUID дескриптора безопасности. Монитор безопасности использует эти данные для определения возможности выполнения тех или иных служб.

Некоторые из таких прав приводятся в следующем списке:

· Доступ к компьютеру из сети

· Добавление рабочих станций к домену

· Резервное копирование файлов и каталогов

· Изменение системного времени

· Принудительное дистанционное завершение

· Загрузка и выгрузка драйверов устройств

· Локальный вход в систему

· Управление аудитом и журналом безопасности

· Восстановление файлов и каталогов

· Завершение работы системы

· Владение файлами и иными объектами

Смысл этих прав понятен из названия.

Права имеют более высокий приоритет по отношению к разрешениям, установленным для конкретного объекта. Так, например, пользователь, обладающий правом Восстановление файлов и каталогов, как член группы «Операторы архива» может осуществить эту операцию несмотря на «разрешение» Nothing (запрет на доступ к ресурсу), установленный владельцем этого файла или каталога.