[ Pobierz całość w formacie PDF ]
komputera w Active Directory, zastępowany przez system rzeczywistym SID. U\ywając Self,
w istocie przyznaje się wystawcy zabezpieczeń reprezentowanemu przez obiekt Active
Directory uprawnienia do tego obiektu. To\samość ta nazywana jest czasami principal self.
" Usługa dowolne konto zalogowane jako usługa
" U\ytkownik serwera terminali u\ytkownicy, zalogowani do Usług terminalowych w
lokalnym serwerze (znanych wcześniej pod nazwą Terminal Server).
Dodatkowe identyfikatory
Windows 2000 zawiera jeszcze jedną porcję identyfikatorów, wykorzystywanych jedynie przez
podsystem zabezpieczeń wobec czego nie są one dostępne podczas nadawania praw i
uprawnień. Nale\y jednak wiedzieć o ich obecności na przypadek spotkania w ACL podejrzanie
wyglądającego identyfikatora SID. To\samości dostępne dla podsystemu zabezpieczeń (jak
równie\ dla programistów) to: Null Authority, Nobody, World Authority, Local Authority, Creator
Authority, Creator Owner Server (obecnie niedostępna), Creator Group Server (obecnie nie
wykorzystywana), Nonunique Authority, NT Authority, Logon Session, Enterprise Controllers i
LocalSystem. Identyfikatory SID dla powy\szych to\samości wymienione są w tabeli E.1
Microsoft Server Resource Kit, razem z wbudowanymi to\samościami i grupami.
Nie mo\na modyfikować ani przeglądać członkostwa tych to\samości; nie są one nawet widoczne
przy zarządzaniu komputerem lokalnym ani grupami domeny. Są one jednak dostępne do u\ytku
przy nadawaniu praw i uprawnień.
Kilka słów o kontach usług
Podczas instalowania lub załączania usługi dostępny jest wybór pomiędzy dwoma kontekstami
zabezpieczeń: tzw. kontem System lokalny (LocalSystem) oraz kontem u\ytkownika Windows
2000 (które powinno być określane jako konto usługi i u\ywane tylko do tego celu).
Konto LocalSystem jest ju\ u\ywane przez wiele wbudowanych usług systemowych; dlatego te\
wiele osób wybiera je bez zastanowienia dla wszelkich innych usług innych dostawców,
instalowanych w systemie. Radzę jednak wymyślić coś lepszego. W przeciwnym razie Czytelnika
mo\e spotkać raczej du\a i nieprzyjemna niespodzianka.
LocalSystem jest specjalnym, wstępnie zdefiniowanym kontem lokalnym dostępnym jedynie dla
procesów systemowych konto to w istocie nie posiada hasła, co ogromnie ułatwia pracę z nim
w stosunku do zwykłych kont usług (aby utrzymać zamierzony poziom bezpieczeństwa, nale\y
zmieniać hasła we wszystkich kontach usług przynajmniej dwukrotnie lub czterokrotnie w ciągu
roku).
Konto LocalSystem jest standardowym kontem u\ytkownika, chocia\ posiada znacznik
świadczący, i\ u\ywane jest wyłącznie przez komputer. Hasło generowane jest losowo i
zapisywane w DC w chwili dołączenia nowego serwera do domeny. Hasło dla tego konta zostaje
automatycznie zmieniane co siedem dni.
Chocia\ konto LocalSystem dysponuje \etonem pozwalającym na uwierzytelnienie w domenie,
nie posiada związanych ze sobą poświadczeń (credentials) u\ytkownika. W Windows 2000
oznacza to, i\ konto LocalSystem nie mo\e być wykorzystane do uwierzytelnienia pomiędzy
dwoma serwerami. Nie stosuje się to jednak do Windows 2000, poniewa\ system ten korzysta z
Kerberosa zamiast uwierzytelniania NTLM (NT LAN Manager). W wyniku tego usługi w dwóch
serwerach członkowskich mogą uwierzytelniać się u siebie nawzajem bez dodatkowego konta.
Zalety odejścia od specjalnego konta są następujące:
" Administrator nie musi zmieniać hasła logowania dla konta.
" Hasło odrębnego konta usług mo\e zostać zaatakowane, poniewa\ administrator nie jest w
stanie zablokować konta po określonej liczbie nieudanych prób logowania blokada konta
spowodowałaby niezdolność wzajemnego uwierzytelnienia odpowiednich usług, co mo\e
spowodować niedostępność usługi.
" Hasło jest bardziej bezpieczne, poniewa\ stanowi losowo generowany łańcuch znaków.
" Hasło jest zmieniane automatycznie co siedem dni, przez co jest bardzo odporne na atak.
W komputerach Windows 2000 usługa uruchomiona w kontekście konta LocalSystem korzysta z
poświadczeń komputera przy dostępie do zasobów w sieci i ma pełny dostęp do zasobów
lokalnych. Inaczej mówiąc, usługa uruchomiona w kontekście LocalSystem w DC ma pełny
dostęp do katalogu, poniewa\ DC zawiera kopię katalogu a LocalSystem ma pełny dostęp do
lokalnych zasobów. Jeśli mo\na więc tego uniknąć, nie nale\y nigdy uruchamiać usług w DC jako
LocalSystem.
Kontekst zabezpieczeń, w którym usługa jest uruchomiona, wpływa na prawa dostępu tej usługi do
komputera i sieci. Nale\y więc w miarę mo\liwości uruchamiać ka\dą usługę w dowolnym
systemie z odrębnego konta, niezale\nie od jej roli. Korzystanie z konta usługi do uruchomienia
usługi ma jednak dwie wady:
" Konto musi zostać zało\one przed uruchomieniem usługi.
" Hasła kont usług są przechowywane w ka\dym komputerze, w którym usługa jest
zainstalowana.
Chocia\ interfejs u\ytkownika przystawki MMC Usługi pozwala na zmianę właściwości Zaloguj
jako usługi na konto inne ni\ LocalSystem, niektóre usługi (w tym Serwer DNS i Serwer DHCP)
powinny być uruchamiane jedynie z konta LocalSystem, poniewa\ w ich przypadku Microsoft nie
umo\liwił korzystanie ze zwykłego konta usługi.
Grupy domeny zaufanej
Windows 2000 zawiera jeszcze jeden typ grup w przypadku ustanowienia relacji zaufania z
domenami spoza lasu Active Directory.
Uwaga
Niezale\nie od tego, czy takie relacje zaufania ustalane są z domenami Active Directory czy
Windows NT, relacje te definiowane są zawsze za pomocą zwykłych, jednostronnych zaufań
typu NT 4.
Grupy te mo\na znalezć w OU o nazwie ForeignSecurityPrincipals (Obcy wystawcy
zabezpieczeń). Wymieniona jednostka organizacyjna pozostaje pusta a\ do utworzenia pierwszej
relacji zaufania wtedy znajdziemy w niej poni\sze dwie grupy:
" NT Authority \ Authenticated Users
" NT Authority \ Interactive
Jak widać, obie grupy nale\ą do grup specjalnych. Nale\y więc zanotować, i\ w miarę potrzeb
grupy specjalne U\ytkownicy uwierzytelnieni oraz Interaktywna będą zawierać u\ytkowników z
zaufanych domen.
Prawa u\ytkowników
Kolejnym bardzo interesujący faktem dotyczącym grup wbudowanych jest przydział do
niektórych z nich tzw. praw u\ytkownika do wykonywania w systemie pewnych czynności. Prawa
u\ytkownika stanowią autoryzację do wykonywania działań wpływających na cały komputer (np.
tworzenie kopii zapasowych plików, logowanie interaktywne w systemie lub zamykanie systemu
[ Pobierz całość w formacie PDF ]