Модель безпеки Windows NT забезпечує однорідний і уніфікований механізм контролю за доступом до ресурсів домена на основі членства в групах. Компоненти безпеки Windows NT довіряють інформації, що зберігається в каталозі про захист. Наприклад, сервіс аутентификація Windows NT зберігає зашифровані паролі користувачів в безпечній частині каталога об'єктів користувача. За замовчанням операційна система «вважає», що правила безпеки захищені і не можуть бути змінені будь-ким несанкціоновано. Загальна політика безпеки домена також зберігається в каталозі Active Directory.
Довірчі відносини між доменами
У Windows NT 5.0 домени можуть бути організовані у вигляді ієрархічних дерев. Між доменами встановлюються довірчі відносини, Підтримуються два види таких відносин:
• явні однонаправлені довірчі відносини з доменами Windows NT 4.0;
• двосторонні транзитивні довірчі відносини між всіма доменами, що входять в дерево.
Явні відносини довір'я встановлюються не тільки з доменами старого типу, але і в тому випадку, коли неявні двосторонні відносини не придатні для використання: наприклад, для домена фінансового відділу або бухгалтерії. Встановлення явних односторонніх довірчих відносин автоматично відміняє неявні довірчі відносини Kerberos.
Проте, у великій організації явні односторонні відносини потрібні не так уже часто. Неявні двосторонні довірчі відносини значно полегшують управління обліковими записами з декількох доменів, оскільки всі домени в дереві неявно довіряють один одному.
Делегування адміністративних повноважень
Делегування адміністративних повноважень - гнучкий інструмент обмеження адміністративної діяльності рамками частини домена. Цей метод дозволяє надати окремим співробітникам можливість управління користувачами або групами в заданих межах і, в той же час, не дає їм прав на управління обліковими записами, що відносяться до інших підрозділів.
Права на визначення нових користувачів або створення груп користувачів делегуються на рівні OU або контейнера, в якому створений обліковий запис. Адміністратори груп однієї організаційної одиниці не завжди мають можливість створювати облікові записи того ж самого домена, що відносяться до іншої організаційної одиниці або управляти ними. Однак доменні правила і права доступу, визначені на більш високих рівнях каталога, можуть бути застосовані по всьому дереву за допомогою механізму успадкування.
Існує три способи делегування адміністративних повноважень:
• на зміну властивостей певного контейнера, наприклад, LocalDomainPolicies самого домена;
• на створення і видалення дочірніх об'єктів певного типу (користувачі, групи, принтери і ін.) всередині OU;
• на оновлення певних властивостей деяких дочірніх об'єктів всередині OU (наприклад, право встановлювати пароль для об'єктів типу User).
Делегувати повноваження просто. Досить вибрати особу, якій будуть делеговані повноваження, і указати, які саме повноваження передаються. Інтерфейс програми адміністрування Active Directory дозволяє без ускладнень переглядати інформацію про делегування, визначену для контейнерів.
Детальне призначення прав доступу
Звичайно у великій організації за забезпечення безпеки і підтримки інфраструктури мережі відповідають декілька чоловік або груп. Отже, повинна існувати можливість надавати таким особам або групам права на виконання певних операцій без права створення додаткових облікових записів і впливу на властивості інших облікових записів.
Архітектурою безпеки об'єктів Active Directory використовуються дескриптори захисту Windows NT для контролю за доступом до об'єктів. Кожний об'єкт в каталозі має унікальний дескриптор захисту. Вхідний в дескриптор список контролю доступу ACL (Access Control List), містить рядки, що визначають дозвіл або заборону на певні види доступу для окремих осіб або груп. Права доступу можуть бути надані або заборонені в різній мірі. Існують рівні прав доступу, що розрізнюються застосуванням до:
• об'єкту загалом (при цьому зачіпаються всі властивості об'єкта);
• групі властивостей, визначеній наборами властивостей всередині об'єкта;
• окремій властивості об'єкта.
За умовчанням доступ для читання і запису до всіх властивостей об'єкта отримує творець об'єкта.
Заборона або надання доступу до групи властивостей зручна для визначення родинних властивостей. Групування властивостей виконується відповідним атрибутом властивості в схемі. Взаємовідносини наборів властивостей можна змінювати, модифікуючи схему.
Нарешті, призначення прав доступу до окремих властивостей являє собою найвищий рівень деталізування, застосовний до всіх об'єктів Active Directory.
Контейнерні об'єкти в каталозі також підтримують детализація доступу, регламентуючи, хто має право створювати дочірні об'єкти і якого типу. Наприклад, правило доступу, визначене на рівні організаційної одиниці, може визначати, хто має право створювати об'єкти типу User (користувачі) в цьому контейнері. Інше правило в цієї ж OU може визначати, хто має право створювати об'єкти типу Printer.
Успадкування прав доступу
Успадкування прав доступу означає, що інформація про управління доступом, визначена у вищих шарах контейнерів в каталозі, розповсюджується нижче на вкладені контейнери і об'єкти-листя. Існують дві моделі успадкування прав доступу: динамічна і статична. При динамічному успадкуванні права визначаються шляхом оцінки дозволів на доступ, призначених безпосередньо для об'єкта, а також для всіх батьківських об'єктів в каталозі. Це дозволяє ефективно управляти доступом до частини дерева каталога, вносячи зміни в контейнер, що впливає на всі вкладені контейнери і об'єкти-листя. Зворотна сторона такої гнучкості недостатньо висока продуктивність через час визначення ефективних прав доступу при запиті користувача.
У Windows NT реалізована статична форма успадкування прав доступу, іноді також звана успадкуванням в момент створення. Інформація про управління доступом до контейнера розповсюджується на всі вкладені об'єкти контейнера. При створенні нового об'єкта успадковані права зливаються з правами доступу, що призначаються за умовчанням. Будь-які зміни успадкованих прав доступу, дерева, що виконуються надалі на вищих рівнях, повинні розповсюджуватися на всі дочірні об'єкти. Нові успадковані права доступу розповсюджуються на об'єкти Active Directory відповідно до того, як ці нові права визначені. Статична модель успадкування дозволяє збільшити продуктивність.
Аудит
Аудит одне з засобів захисту мережі Windows NT. З його допомогою можна відстежувати дії користувачів і ряд системних подій в мережі. Фіксуються наступні параметри, що стосуються дій, що здійснюються користувачами:
· виконана дія;
· ім'я користувача, що виконав дію;
· дата і час виконання.
Аудит, реалізований на одному контроллері домена, розповсюджується на всі контроллери домена. Настройка аудиту дозволяє вибрати типи подій, що підлягають реєстрації, і визначити, які саме параметри будуть реєструватися.
У мережах з мінімальним вимогам до безпеки піддавайте аудиту:
· успішне використання ресурсів, тільки в тому випадку, якщо ця інформація вам необхідна для планування;
· успішне використання важливої і конфіденційної інформації.
У мережах зі середніми вимогами до безпеки піддавайте аудиту:
· успішне використання важливих ресурсів;
· вдалі і невдалі спроби зміни стратегії безпеки і адміністративної політики;
· успішне використання важливої і конфіденційної інформації.
У мережах з високими вимогами до безпеки піддавайте аудиту:
· вдалі і невдалі спроби реєстрації користувачів;
· вдале і невдале використання будь-яких ресурсів;
· вдалі і невдалі спроби зміни стратегії безпеки і адміністративної політики.
Аудит приводить до додаткового навантаження на систему, тому реєструйте лише події, що дійсно представляють інтерес.
Windows NT записує події в три журнали:
· Системний журнал (system log) містить повідомлення про помилки, попередження і іншу інформацію, вихідну від операційної системи і компонентів сторонніх виробників. Список подій, що реєструються в цьому журналі, приречений операційною системою і компонентами сторонніх виробників і не може бути змінений користувачем. Журнал знаходиться в файлі Sysevent.evt.
· Журнал безпеки (Security Log) містить інформацію про успішні і невдалі спроби виконання дій, що реєструються засобами аудиту. Події, що реєструються в цьому журналі, визначаються заданою вами стратегією аудиту. Журнал знаходиться в файлі Secevent.evt.
· Журнал додатків (Application Log) містить повідомлення про помилки, попередження і іншу інформацію, що видається різними додатками. Список подій, що реєструються в цьому журналі, визначається розробниками додатків. Журнал знаходиться в файлі Appevent.evt.
Всі журнали розміщені в папці %Systemroot%\System32\Config
ЕЛЕМЕНТИ БЕЗПЕКИ СИСТЕМИ Windows NT
Облікові записи користувачів і груп
Будь-який користувач Windows NT характеризується певним обліковим записом. Під обліковим записом розуміється сукупність прав і додаткових параметрів, асоційованих з певним користувачем. Крім того, користувач належить до однієї або декільком групам. Приналежність до групи дозволяє швидко і ефективно призначати права доступу і повноваження.
Так само, як і в попередніх версіях Windows NT, у версії 5.0 є декілька вбудованих облікових записів користувачів і груп. Ці облікові записи наділені певними повноваженнями і можуть використовуватися як основа для нових облікових записів,