Управление доступом на основе объекта
Помимо проверки подлинности пользователя, Windows 2000 позволяет администраторам управлять доступом к ресурсам или объектам по сети. В Windows 2000 управление доступом осуществляется администраторами, назначающими дескрипторы безопасности для объектов, хранящихся в Active Directory. В дескрипторе безопасности перечислены пользователи и группы, имеющие доступ к объекту, а также конкретные разрешения, назначенные пользователю или группе. В дескрипторе безопасности также указываются различные события доступа к объекту для аудита. Примерами объектов являются файлы, принтеры и службы. Управляя свойствами объектов, администраторы могут устанавливать разрешения, назначать владельцев и отслеживать доступ пользователей.
Администраторы могут не только управлять доступом к конкретному объекту, но и управлять доступом к конкретным атрибутам данного объекта.
Объекты и диспетчеры объектов
Каждый тип объектов управляется диспетчером. Для каждого типа объекта существует специальный диспетчер. Ниже в таблице представлены типы объектов, их диспетчеры и средства, служащие для управления этими объектами.
Тип объекта |
Диспетчер объекта |
Средство управления |
Файлы и папки |
Файловая система NTFS |
проводник Windows |
Общие ресурсы |
Служба сервера |
проводник Windows |
Объекты Active Directory |
Active Directory |
«Пользователи и компьютеры Active Directory» |
Разделы реестра |
Реестр |
Команда regedit32 |
Службы |
Контроллеры служб |
«Шаблоны безопасности», «Анализ и настройка безопасности» |
Принтер |
Диспетчер очереди печати |
Меню Пуск |
Параметры аудита объектов
Каждый объект имеет набор свойств безопасности, или дескриптор безопасности, присоединенный к нему. В одной части дескриптора безопасности перечислены пользователи и группы, имеющие доступ к объекту, а также типы доступа (разрешения), назначенные этим пользователям или группам. Эта часть дескриптора безопасности называется избирательной таблицей управления доступом (DACL) (Список — часть дескриптора безопасности объекта, — предоставляющий или отменяющий разрешения для конкретных пользователей и групп. Аббревиатура DACL образована от Discretionary Access Control List).
Кроме сведений о разрешениях дескриптор безопасности объекта также содержит сведения аудита. Эти данные аудита называются системной таблицей управления доступом (SACL) (Список — часть дескриптора безопасности объекта, — определяющий события, проверяемые для пользователя или группы. Примерами таких событий являются: доступ к файлам, вход в систему, выключение системы. Аббревиатура SACL образована от System Access Control List). В таблице SACL указываются следующие сведения.
Учетные записи группы или пользователя для аудита при осуществлении доступа к объекту.
События доступа для аудита каждой группы или пользователя. Примером события доступа является изменение файла.
Атрибуты «Успех» или «Отказ» для каждого события доступа на основе разрешений каждой группы или пользователя в таблице DACL объекта.
Типы доступа, аудит которых можно выполнить, в основном зависят от того, проводится аудит доступа к файлам и папкам или к объектам Active Directory.
Файлы и папки
Имеется возможность аудита доступа к файлам или папкам, находящимся на дисках с файловой системой NTFS. При этом появляется возможность наблюдать за тем, кто из пользователей осуществлял различные операции с файлами и папками.
После разрешения аудита файлов или папок в журнал безопасности окна просмотра событий заносятся записи при каждой попытке выполнить над этими ресурсами действия определенного типа. Можно указать, за какими файлами и папками следует наблюдать, чьи действия отслеживать, а также конкретные типы этих действий.
Аудит файлов и папок разрешается с помощью групповой политики. Затем с помощью проводника выбираются конкретные файлы, а также типы событий доступа для аудита.
В журнал безопасности могут заноситься сведения как об успешных, так и о неудачных попытках выполнения следующих действий над файлами и папками.
Действия с папками |
Действия с файлами |
Просмотр имен файлов в папке |
Просмотр содержимого файла |
Просмотр атрибутов папки |
Просмотр атрибутов файла |
Изменение атрибутов папки |
Просмотр разрешений и имени владельца |
Создание подкаталогов и файлов |
Изменение файла |
Переход в подкаталоги |
Изменение атрибутов файла |
Отображение владельца и разрешений папки |
Выполнение (если файл является программным модулем) |
Удаление папки |
Удаление файла |
Смена разрешений для папки. |
Смена разрешений для файла |
Смена владельца папки |
Смена владельца файла |
Аудит можно применять как прямо к объектам, так и к любым дочерним объектам с помощью наследования. Например, если выполняется аудит отказов попыток записи в папку, это событие аудита будет наследоваться всеми файлами в этой папке.
Объекты Active Directory
Во время аудита объектов Active Directory можно также выполнить аудит следующих действий:
чтения/записи всех свойств;
чтения/записи отдельных свойств.
Для аудита файлов и папок необходимо войти в систему с учетной записью члена группы «Администраторы».