WWW.REFERATCENTRAL.ORG.UA - Я ТУТ НАВЧАЮСЬ

... відкритий, безкоштовний архів рефератів, курсових, дипломних робіт

ГоловнаІнформатика, Компютерні науки → Операційна система MS Windows. Порівняння з іншими ОС (Unix, Apple, Linux, BeOS та ін.) - Курсова робота

Операційна система MS Windows. Порівняння з іншими ОС (Unix, Apple, Linux, BeOS та ін.) - Курсова робота

що впливає на всі вкладені контейнери і об'єкти-листя. Зворотна сторона такої гнучкості недостатньо висока продуктивність через час визначення ефективних прав доступу при запиті користувача.
У Windows NT реалізована статична форма успадкування прав доступу, іноді також звана успадкуванням в момент створення. Інформація про управління доступом до контейнера розповсюджується на всі вкладені об'єкти контейнера. При створенні нового об'єкта успадковані права зливаються з правами доступу, що призначаються за умовчанням. Будь-які зміни успадкованих прав доступу, дерева, що виконуються надалі на вищих рівнях, повинні розповсюджуватися на всі дочірні об'єкти. Нові успадковані права доступу розповсюджуються на об'єкти Active Directory відповідно до того, як ці нові права визначені. Статична модель успадкування дозволяє збільшити продуктивність.
Аудит
Аудит одне з засобів захисту мережі Windows NT. З його допомогою можна відстежувати дії користувачів і ряд системних подій в мережі. Фіксуються наступні параметри, що стосуються дій, що здійснюються користувачами:
" виконана дія;
" ім'я користувача, що виконав дію;
" дата і час виконання.
Аудит, реалізований на одному контроллері домена, розповсюджується на всі контроллери домена. Настройка аудиту дозволяє вибрати типи подій, що підлягають реєстрації, і визначити, які саме параметри будуть реєструватися.
У мережах з мінімальним вимогам до безпеки піддавайте аудиту:
" успішне використання ресурсів, тільки в тому випадку, якщо ця інформація вам необхідна для планування;
" успішне використання важливої і конфіденційної інформації.
У мережах зі середніми вимогами до безпеки піддавайте аудиту:
" успішне використання важливих ресурсів;
" вдалі і невдалі спроби зміни стратегії безпеки і адміністративної політики;
" успішне використання важливої і конфіденційної інформації.
У мережах з високими вимогами до безпеки піддавайте аудиту:
" вдалі і невдалі спроби реєстрації користувачів;
" вдале і невдале використання будь-яких ресурсів;
" вдалі і невдалі спроби зміни стратегії безпеки і адміністративної політики.
Аудит приводить до додаткового навантаження на систему, тому реєструйте лише події, що дійсно представляють інтерес.
Windows NT записує події в три журнали:
" Системний журнал (system log) містить повідомлення про помилки, попередження і іншу інформацію, вихідну від операційної системи і компонентів сторонніх виробників. Список подій, що реєструються в цьому журналі, приречений операційною системою і компонентами сторонніх виробників і не може бути змінений користувачем. Журнал знаходиться в файлі Sysevent.evt.
" Журнал безпеки (Security Log) містить інформацію про успішні і невдалі спроби виконання дій, що реєструються засобами аудиту. Події, що реєструються в цьому журналі, визначаються заданою вами стратегією аудиту. Журнал знаходиться в файлі Secevent.evt.
" Журнал додатків (Application Log) містить повідомлення про помилки, попередження і іншу інформацію, що видається різними додатками. Список подій, що реєструються в цьому журналі, визначається розробниками додатків. Журнал знаходиться в файлі Appevent.evt.
Всі журнали розміщені в папці %Systemroot%System32Config
ЕЛЕМЕНТИ БЕЗПЕКИ СИСТЕМИ Windows NT
Облікові записи користувачів і груп
Будь-який користувач Windows NT характеризується певним обліковим записом. Під обліковим записом розуміється сукупність прав і додаткових параметрів, асоційованих з певним користувачем. Крім того, користувач належить до однієї або декільком групам. Приналежність до групи дозволяє швидко і ефективно призначати права доступу і повноваження.
Так само, як і в попередніх версіях Windows NT, у версії 5.0 є декілька вбудованих облікових записів користувачів і груп. Ці облікові записи наділені певними повноваженнями і можуть використовуватися як основа для нових облікових записів,
До вбудованих облікових записів користувачів відносяться:
o Guest обліковий запис, фіксуючий мінімальні привілеї гостя;
o Administrator вбудованийобліковий запис для користувачів, наділених максимальними привілеями;
o Krbtgt вбудований обліковий запис, що використовується при початковій аутентификація Kerberos.
Крім них є два приховані вбудовані облікові записи:
o System обліковий запис, що використовується операційною системою;
o Creator owner творець (файла або каталога).
Перерахуємо вбудовані групи:
o локальні (залишені для сумісності)
Account operators;
Administrators;
Backup operators;
Guests;
Print operators;
Replicator;
Server operators;
Users;
o і глобальні
Domain guests гості домена;
Domain Users користувачі домена;
Domain Admins адміністратори домена.
Крім цих вбудованих груп є ще ряд спеціальних груп:
o Everyone в цю групу за умовчанням включаються взагалі всі користувачі в системі;
o Authenticated users в цю групу включаються тільки аутентифицированние користувачі домена;
o Self сам об'єкт.
Домени Windows NT
Управління доменами здійснюється за допомогою адміністративної консолі DNS. Ви можете визначити зони, прописати повністю певні імена, включити в домени комп'ютери і т. п.
Як вже вказувалося, домени об'єднуються в дерева. Для перегляду дерева доменів використовується спеціальний зліпок консолі управління (domain.msc), званий Domain Tree Management.
Встановлення довірчих відносин явного типу нічим не відрізняється від того, що застосовувався в попередніх версіях: у верхній список заносяться імена доменів, яким довіряє даний домен; а в нижній імена доменів, які можуть йому довіряти.
Як вже вказувалося, ці довірчі відносини є значення задавати лише тоді, коли двостороннє транзитивне довір'я Kerberos, що встановлюється за умовчанням, не відповідає безпеці; а також у разі зв'язку між кореневими доменами дерев в лісі.
Домени можуть працювати в двох режимах: "рідному" (native) і змішаному (mixed). При роботі в змішаному режимі в домен можуть входити як контроллери доменів, на яких встановлена версія Windows NT 5.0, так і з більш ранніми версіями.
"Рідний" режим роботи допускає включення в домен тільки контроллерів домена з Windows NT 5.0. У цьому режимі з'являється можливість створення вкладених груп, а також междоменного членства в групі.
Інформація про домене являє собою набір властивостей доменного об'єкта. Серед властивостей є обов'язкові, наприклад, ім'я домена. А ось інформація про адміністратора домена - необов'язкова. З точки зору забезпечення працездатності вона не має ніякого значення і тому цілком може бути опущена. Однак передбачимо, що Ви бажаєте знайти в дереві всю домени, якими управляє адміністратор Петров. Якщо інформація, показана на малюнку, не була введена завчасно, то поставлена задача зможе бути вирішена тільки шляхом особистого звернення до адміністратора Петрову.
Оскільки домен є контейнерним об'єктом каталога Active Directory, до нього застосовні ті ж самі види доступу, що і до будь-якого контейнера: повний доступ, читання, запис,
Loading...

 
 

Цікаве