Hozzáférés-szabályozás áttekintése

 

Érvényes: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

Az informatikai szakemberek a témakör a Windows engedélyezése a felhasználók, csoportok és számítógépek elérni a hálózaton vagy a számítógépen lévő objektumok hozzáférés-vezérlés. Hozzáférés-vezérlés alkotó alapfogalmakat objektumok tulajdonjogának engedélyek, felhasználói jogok és objektum naplózásának öröklése engedélyek.

A szolgáltatás leírása

A Windows támogatott verzióját futtató számítógépek hitelesítési és engedélyezési egymáshoz mechanizmusok segítségével szabályozhatja a rendszer és a hálózati erőforrások használatát. A felhasználó hitelesítése után a Windows operációs rendszer megvalósításához a második fázisa erőforrások védelme beépített engedélyezési és hozzáférés-vezérlési technológiákat használja: meghatározása, ha egy hitelesített felhasználó rendelkezik-e a megfelelő engedélyekkel a erőforrások eléréséhez.

Megosztott erőforrások felhasználók és csoportok az erőforrás tulajdonosa nem érhető el, és védelme a jogosulatlan használat van szükségük. A hozzáférés-vezérlési modell felhasználók és csoportok (más néven rendszerbiztonsági) jelölik egyedi biztonsági azonosítók (SID). Jogok és engedélyek, amelyek az operációs rendszer értesítse a minden felhasználó és csoport teendők hozzá vannak rendelve. Az egyes erőforrások egy tulajdonost, aki engedélyt a rendszerbiztonsági rendelkezik. A hozzáférés-vezérlési ellenőrzés során az engedélyek megvizsgálja mely rendszerbiztonsági lehet elérni az erőforrást, és hogy azok hozzáférhessenek.

Rendszerbiztonsági műveleteket (ezek közé tartoznak az olvasási, írási, módosítása vagy teljes hozzáférés) objektumokon. Többek között az objektumok, fájlok, mappák, nyomtatók, beállításkulcsok és Active Directory tartományi szolgáltatásokban (AD DS) objektumok. Megosztott erőforrások használatát hozzáférés-vezérlési listák (ACL) a engedélyeket. Ez lehetővé teszi az erőforrás-kezelők kényszerítéséhez hozzáférés-vezérlés a következő módon:

• Hozzáférés megtagadása a jogosulatlan felhasználók és csoportok

• Korlátokat lebonyolított, amely biztosítja a hozzáférést a hitelesített felhasználók és csoportok

Objektum tulajdonosok általában engedélyeket biztonsági csoportok helyett az egyes felhasználók számára. Felhasználók és számítógépek, amelyek a meglévő csoporthoz hozzáadott feltételezik, hogy a csoport engedélyeit. Ha egy objektum (például egy mappára) tárolható más objektumok (például almappák és fájlok), a tároló neve. Az objektumok hierarchiáját, a tároló és a benne lévő tartalom közötti kapcsolat hivatkozással a tárolóhoz szülőként van megadva. A tároló objektumára nevezzük a gyermek és a gyermek örökli a szülő hozzáférés-vezérlési beállítások. Objektum tulajdonosok gyakran tároló objektumok ahelyett, hogy külön gyermekobjektumok engedélyeinek megkönnyítése érdekében a hozzáférés-vezérlési felügyeleti határozza meg.

A tartalomkészlet tartalmazza:

• Dinamikus hozzáférés-vezérlés áttekintése

• Biztonsági azonosítók technikai áttekintése

• Biztonsági rendszerbiztonsági tagok technikai áttekintése

  • Helyi fiókok

  • Active Directory-fiókok

  • Microsoft-fiókok

  • Szolgáltatásfiókok

  • Active Directory biztonsági csoportok

Gyakorlati alkalmazásmódok

A rendszergazdák, akik Windows támogatott verzióját használja szűkítheti az alkalmazás és a hozzáférés-vezérlés objektumok és a témákhoz felügyeleti adja meg a következő biztonsági:

• Egy nagyobb számot, és különböző hálózati erőforrások védelméhez azokkal való visszaéléssel.

• Rendelkezés a felhasználók olyan módon, amely megfelel a szervezeti irányelvek és a feladatokat a követelményeinek erőforrások eléréséhez.

• Engedélyezze a felhasználók számos helyeken eszközök különböző erőforrások eléréséhez.

• Erőforrások eléréséhez, hogy a frissítés felhasználók egy szervezet házirendként rendszeresen módosítsa vagy a felhasználó feladatként.

• (Például access távolról vagy gyorsan bővülő különböző eszközök, például a tábla számítógépek és mobiltelefonok) használata forgatókönyvek egyre több fiókot.

• Azonosítsa és hozzáféréssel kapcsolatos problémák megoldásához a jogos felhasználók nem tudnak a munkája elvégzéséhez szükséges erőforrások eléréséhez.

Engedélyek

Engedélyek határozzák meg, milyen típusú hozzáférést, amely számára engedélyezett a felhasználó vagy csoport egy objektum vagy az objektum tulajdonság. Például a pénzügyi csoport olvasási és írási engedéllyel a Fizetes.dat nevű kaphat.

A hozzáférés-vezérlés felhasználói felületének használatával beállíthatja a fájlok, az Active Directory-objektumok, beállításjegyzék-objektumok vagy rendszerobjektumok például folyamatok NTFS-engedélyeit. Minden felhasználó, csoport vagy számítógép engedélyek engedélyezhetők. Ajánlott engedélyeket csoportok, mert azt javítható a rendszerteljesítmény az objektumokhoz való hozzáférést ellenőrzésekor.

Minden objektum esetén engedélyeket biztosíthat a:

• Csoportok, felhasználók és más objektumok, a biztonsági azonosítók abban a tartományban.

• A csoportok és felhasználók a tartomány és a megbízható tartományokhoz.

• A helyi csoportok és felhasználók a számítógépen, amelyen az objektum található.

Az objektumhoz társított engedélyeket objektum típusától függ. Például az engedélyek egy fájl csatolható eltérnek a beállításkulcsok csatolható. Egyes engedélyek azonban megegyeznek a legtöbb típusú objektumokat. Ezek a következők:

• Olvasás

• Módosítása

• Tulajdonos módosítása

• Törlés

Engedélyeket állít be, amikor a felhasználók és csoportok hozzáférési szintjét adja meg. Például beállítható, hogy egy felhasználó a fájl tartalmának a beolvasása, lehetővé teszik a fájlt egy másik felhasználó módosíthatja és minden egyéb akadályozza meg a fájl megnyitását. A nyomtatók hasonló engedélyek állíthat be, hogy egyes felhasználók konfigurálhatják a nyomtató és más felhasználók is csak nyomtatása.

Ha módosítania kell a fájl engedélyeit, akkor is futtassa a Windows Intézőt, kattintson a jobb gombbal a fájl neve, és kattintson Tulajdonságok. Az a biztonsági lapon módosíthatja a fájlra vonatkozó engedélyeket. További információ: engedélyek kezelése.

Megjegyzés

Egy másik típusú engedély, megosztási engedély van beállítva, a Megosztás lapon egy mappa Tulajdonságok oldalon vagy a megosztott mappa hozzáadása varázsló segítségével. További információ: megosztási és NTFS-engedélyek fájlkiszolgálón.

Objektumok tulajdonosa

Az objektum tulajdonost társít, hogy az objektum létrehozásakor. Alapértelmezés szerint a tulajdonosa a létrehozó objektum. Függetlenül attól, hogy milyen engedélyek az objektum van beállítva az objektum tulajdonosa bármikor módosíthatja az engedélyeket. További információ: objektumok tulajdonjogának kezelése.

Engedélyek öröklődése

Öröklődés lehetővé teszi a rendszergazdák egyszerűen hozzárendelése és engedélyeinek kezelése. Ez a funkció automatikusan tároló összes örökölhető engedélyeinek örökli a tárolóban lévő objektumok okoz. Például egy mappában levő fájlok öröklik a mappa engedélyeit. Csak a kijelölt örökölt engedélyek örökölt.

Felhasználói jogok

Felhasználói jogok biztosítanak jogosultságokra és a felhasználók és csoportok a számítógépes környezet bejelentkezési jogokkal. Rendszergazdák rendelhetik jogok csoportfiókoknak vagy egyéni felhasználói fiókokat. Ezek a jogosultságok birtokában a felhasználók végre bizonyos műveleteket, például való bejelentkezéskor a rendszer interaktív módon vagy a fájlok és könyvtárak biztonsági mentéséről.

Felhasználói jogok különböznek az engedélyeket, mert felhasználói jogok felhasználói fiókra érvényesek, és az engedélyek társított objektumok. Bár a felhasználói jogok egyéni felhasználói fiókokat is alkalmazhat, felhasználói jogok legjobb felügyelt fiók csoportonként. Nem támogatja a felhasználói engedélyek hozzáférés-vezérlési felhasználói felületének van. Azonban a felhasználói jogok kiosztása keresztül felügyelhető helyi biztonsági beállítások.

Felhasználói jogok kapcsolatos további információkért lásd: felhasználói jogok kiosztása.

Az objektum naplózása

Rendszergazdai jogosultsággal rendelkező felhasználók sikeres vagy sikertelen hozzáférése objektumok naplózhatók. Kiválaszthatja, hogy mely objektum-hozzáférés naplózása a hozzáférés-vezérlés felhasználói felületének használatával, de először engedélyeznie kell a naplózási házirend kiválasztásával objektum-hozzáférés naplózása alatt helyi házirendek a helyi biztonsági beállítások. Ezek a biztonsággal kapcsolatos események majd megtekintheti az eseménynaplóban a biztonsági napló.

Naplózás kapcsolatos további információkért lásd: Biztonsági naplózás – áttekintés.

Lásd még:

• Engedélyezési és hozzáférés-vezérlés kapcsolatos további információkért lásd: Windows rendszerbiztonsági gyűjtemény.

• További információ az engedélyezési stratégia: erőforrás-engedélyezési stratégia tervezése.