73. Права пользователя, взаимодействие прав и разрешений в Windows. (Лекция 14)
Право
(right) –
разрешение выполнить конкретную
операцию, относящуюся ко всей локальной
системе в целом или определенному классу
объектов ОС, без привязки к конкретному
объекту. Синоним – привилегия
(privilege).
Привилегии применяются к пользователю
в момент входа в систему – формируется
список разрешенных привилегий и
включается в маркер.
Отдельно выделяют права входа в систему (logon rights) – списки участников безопасности, которые имеют право войти в систему определенным образом. Право задается как список пользователей и групп, имеющих право выполнить (или не выполнить) конкретное действие.
Права пользователей позволяют пользователям и группам в компьютерной среде пользоваться особыми привилегиями и правами на вход в систему. Администраторы могут назначать права учетным записям группы или отдельных пользователей. Эти права позволяют пользователям выполнять конкретные действия, такие как интерактивный вход в систему или архивирование файлов и каталогов. Для упрощения администрирования учетных записей пользователя назначить привилегии следует в первую очередь учетным записям группы, а не отдельным учетным записям пользователя. При назначении привилегий учетной записи групп пользователи автоматически получают эти привилегии, когда становятся членами этой группы. Этот метод администрирования привилегий значительно проще назначения отдельных привилегий каждой учетной записи пользователя в момент создания учетной записи.
Примеры привилегий: - Архивирование файлов и каталогов (Определяет пользователей, которые могут обойти разрешения на файлы, каталоги, реестр и другие постоянные объекты при резервном копировании системы. По умолчанию: «Администраторы» и «Операторы архива») - Изменение системного времени (Определяет пользователей и группы, которые могут изменять время и дату на внутренних часах компьютера. Пользователи, имеющие данное право, могут изменять внешний вид журналов событий. При изменении системного времени регистрируемые события будут отображать новое время, а не фактическое время возникновения события. Это право пользователя определено в объекте групповой политики «Контроллер домена по умолчанию» и локальной политике безопасности рабочих станций и серверов. По умолчанию: Рабочие станции и серверы. «Администраторы« и «Опытные пользователи». Контроллеры домена. «Администраторы» и «Операторы сервера») - Загрузка и выгрузка драйверов устройств (Определяет, кто из пользователей может динамически загружать и выгружать драйверы устройств или другой код в режиме ядра. Данное пользовательское право не применяется к драйверам устройств Plug and Play. Поскольку драйверы устройств выполняются как доверенные (или с высокими привилегиями) программы, не назначайте эту привилегию другим пользователям. Вместо этого используйте API StartService(). По умолчанию: «Администраторы») - Управление аудитом и журналом безопасности (Определяет, кто из пользователей может указывать параметры аудита доступа к объектам для отдельных ресурсов, таких как файлы, объекты Active Directory и разделы реестра. Данный параметр безопасности не позволяет пользователю включить аудит доступа к файлам и объектам в целом. По умолчанию: «Администраторы») - Восстановление файлов и каталогов (Определяет пользователей, которые могут обойти разрешения на файлы, каталоги, реестр и другие постоянные объекты при восстановлении резервных копий файлов и каталогов, а также пользователей, которые могут назначить любого действительного субъекта безопасности владельцем объекта. По умолчанию: Рабочие станции и серверы. «Администраторы» и «Операторы архива»
Контроллеры
домена. «Администраторы», «Операторы
архива» и «Операторы сервера») - Завершение
работы системы
(Определяет пользователей, которые
после локального входа в систему могут
завершить работу операционной системы
при помощи команды Завершить работу.
Неправильное применение этого права
пользователя может стать причиной
отказа в обслуживании. По умолчанию:
Рабочие станции.
«Администраторы», «Операторы архива»,
«Опытные пользователи», «Пользователи»
Серверы. «Администраторы», «Операторы
архива», «Опытные пользователи»
Контроллеры домена. «Операторы учетных
записей», «Администраторы», «Операторы
архива», «Операторы сервера», «Операторы
печати») - Овладение
файлами или иными объектами.
- Обход
перекрестной проверки
(Определяет, какие пользователи могут
производить обзор деревьев каталога,
даже если у этих пользователей отсутствуют
разрешения на каталог. Эта привилегия
не позволяет пользователям просматривать
содержимое каталога, а позволяет только
выполнять обзор. По умолчанию:
Рабочие станции
и серверы. «Администраторы», «Операторы
архива», «Опытные пользователи»,
«Пользователи», «Все» Контроллеры
домена. «Администраторы» и «Прошедшие
проверку») - Принудительное
удаленное завершение
(Определяет, кому из пользователей
разрешено удаленное завершение работы
компьютера. Неправильное применение
этого права пользователя может стать
причиной отказа в обслуживании. Это
право пользователя определено в объекте
групповой политики «Контроллер домена
по умолчанию» и локальной политике
безопасности рабочих станций и серверов.
По умолчанию: Рабочие
станции и серверы. «Администраторы»
Контроллеры домена. «Администраторы»
и «Операторы сервера»).
Примеры прав входа - Доступ к этому компьютеру из сети - Локальный вход в систему - Разрешать вход в систему через службу терминалов. - Отказ в доступе к компьютеру из сети - Отклонить локальный вход - Запретить вход в систему через службу терминалов
При попытке процесса выполнить операцию:
- проверяются разрешения, установленные для затрагиваемых объектов (результат – разрешение или запрет);
- проверяются права, имеющиеся в маркере (результат – разрешение или запрет);
- контролируется соответствие действия параметрам безопасности системы (результат – разрешение, запрещение, коррекция параметров операции).
Права имеют больший приоритет, чем разрешения. Параметры безопасности дополняют права.