Prinsip keamanan
Artikel referensi ini menjelaskan prinsip keamanan untuk akun Windows dan grup keamanan, selain teknologi keamanan yang terkait dengan prinsip keamanan.
Apa itu prinsip keamanan?
Prinsip keamanan adalah entitas apa pun yang dapat diautentikasi oleh sistem operasi, seperti akun pengguna, akun komputer, atau utas atau proses yang berjalan dalam konteks keamanan akun pengguna atau komputer, atau grup keamanan untuk akun ini. Prinsip keamanan telah lama menjadi fondasi untuk mengontrol akses ke sumber daya yang dapat diamankan di komputer Windows. Setiap prinsip keamanan diwakili dalam sistem operasi oleh pengidentifikasi keamanan unik (SID).
Catatan
Konten ini hanya berkaitan dengan versi Windows dalam daftar "Berlaku untuk" di awal artikel.
Cara kerja perwakilan keamanan
Prinsip keamanan yang dibuat di domain Direktori Aktif adalah objek Direktori Aktif, yang dapat digunakan untuk mengelola akses ke sumber daya domain. Setiap perwakilan keamanan diberi pengidentifikasi unik, yang dipertahankan selama masa pakainya. Akun pengguna lokal dan grup keamanan dibuat di komputer lokal, dan dapat digunakan untuk mengelola akses ke sumber daya di komputer tersebut. Akun pengguna lokal dan grup keamanan dikelola oleh Manajer Akun Keamanan (SAM) di komputer lokal.
Komponen kontrol otorisasi dan akses
Diagram berikut mengilustrasikan proses otorisasi Windows dan kontrol akses. Dalam diagram, subjek (proses yang dimulai oleh pengguna) mencoba mengakses objek, seperti folder bersama. Informasi dalam token akses pengguna dibandingkan dengan entri kontrol akses (ASE) dalam deskriptor keamanan objek, dan keputusan akses dibuat. SID prinsip keamanan digunakan dalam token akses pengguna dan di ACE di deskriptor keamanan objek.
Proses otorisasi dan kontrol akses
Prinsip keamanan terkait erat dengan komponen dan teknologi berikut:
Pengidentifikasi keamanan
Pengidentifikasi keamanan (SID) menyediakan blok penyusun mendasar dari model keamanan Windows. Mereka bekerja dengan komponen tertentu dari otorisasi dan teknologi kontrol akses dalam infrastruktur keamanan sistem operasi Windows Server. Ini membantu melindungi akses ke sumber daya jaringan dan menyediakan lingkungan komputasi yang lebih aman.
SID adalah nilai panjang variabel yang digunakan untuk mengidentifikasi perwakilan keamanan secara unik yang mewakili entitas apa pun yang dapat diautentikasi oleh sistem. Entitas ini mencakup akun pengguna, akun komputer, atau utas atau proses yang berjalan dalam konteks keamanan akun pengguna atau komputer. Setiap perwakilan keamanan secara otomatis diberi SID saat dibuat. SID disimpan dalam database keamanan. Saat SID digunakan sebagai pengidentifikasi unik untuk pengguna atau grup, SID tidak pernah dapat digunakan untuk mengidentifikasi pengguna atau grup lain.
Setiap kali pengguna masuk, sistem membuat token akses untuk pengguna tersebut. Token akses berisi SID pengguna, hak pengguna, dan SID untuk grup tempat pengguna berada. Token ini menyediakan konteks keamanan untuk tindakan apa pun yang dilakukan pengguna pada komputer tersebut.
Selain SID khusus domain yang dibuat secara unik yang ditetapkan untuk pengguna dan grup tertentu, ada SID terkenal yang mengidentifikasi grup generik dan pengguna generik. Misalnya, SID Semua Orang dan Dunia mengidentifikasi grup yang mencakup semua pengguna. SID terkenal memiliki nilai yang tetap konstan di semua sistem operasi.
Token akses
Token akses adalah objek terlindungi yang berisi informasi tentang identitas dan hak pengguna yang terkait dengan akun pengguna.
Saat pengguna masuk secara interaktif atau mencoba membuat koneksi jaringan ke komputer yang menjalankan Windows, proses masuk mengautentikasi kredensial pengguna. Jika autentikasi berhasil, proses mengembalikan SID untuk pengguna dan daftar SID untuk grup keamanan pengguna. Otoritas Keamanan Lokal (LSA) di komputer menggunakan informasi ini untuk membuat token akses (dalam hal ini, token akses utama). Ini termasuk SID yang dikembalikan oleh proses masuk dan daftar hak pengguna yang ditetapkan oleh kebijakan keamanan lokal kepada pengguna dan ke grup keamanan pengguna.
Setelah LSA membuat token akses utama, salinan token akses dilampirkan ke setiap utas dan proses yang dijalankan atas nama pengguna. Setiap kali utas atau proses berinteraksi dengan objek yang dapat diamankan atau mencoba melakukan tugas sistem yang memerlukan hak pengguna, sistem operasi memeriksa token akses yang terkait dengan utas untuk menentukan tingkat otorisasi.
Ada dua jenis token akses, primer dan peniruan. Setiap proses memiliki token utama yang menjelaskan konteks keamanan akun pengguna yang terkait dengan proses. Token akses utama biasanya ditetapkan ke proses untuk mewakili informasi keamanan default untuk proses tersebut. Token peniruan, di sisi lain, digunakan untuk skenario klien dan server. Token peniruan memungkinkan utas berjalan dalam konteks keamanan yang berbeda dari konteks keamanan proses yang memiliki utas.
Deskriptor keamanan dan daftar kontrol akses
Deskriptor keamanan adalah struktur data yang terkait dengan setiap objek yang dapat diamankan. Semua objek di Direktori Aktif dan semua objek yang dapat diamankan pada komputer lokal atau di jaringan memiliki deskriptor keamanan untuk membantu mengontrol akses ke objek. Deskriptor keamanan menyertakan informasi tentang siapa yang memiliki objek, siapa yang dapat mengaksesnya dan dengan cara apa, dan jenis akses apa yang diaudit. Deskriptor keamanan berisi daftar kontrol akses (ACL) objek, yang mencakup semua izin keamanan yang berlaku untuk objek tersebut. Deskriptor keamanan objek dapat berisi dua jenis ACL:
Daftar kontrol akses diskresi (DACL), yang mengidentifikasi pengguna dan grup yang diizinkan atau ditolak aksesnya.
Daftar kontrol akses sistem (SACL), yang mengontrol bagaimana akses diaudit.
Anda dapat menggunakan model kontrol akses ini untuk mengamankan objek dan atribut secara individual seperti file dan folder, objek Direktori Aktif, kunci registri, printer, perangkat, port, layanan, proses, dan utas. Karena kontrol individual ini, Anda dapat menyesuaikan keamanan objek untuk memenuhi kebutuhan organisasi Anda, mendelegasikan otoritas atas objek atau atribut, dan membuat objek atau atribut kustom yang memerlukan perlindungan keamanan unik untuk ditentukan.
Izin
Izin memungkinkan pemilik setiap objek yang dapat diamankan, seperti file, objek Direktori Aktif, atau kunci registri, untuk mengontrol siapa yang dapat melakukan operasi atau serangkaian operasi pada properti objek atau objek. Izin dinyatakan dalam arsitektur keamanan sebagai ASE. Karena akses ke objek adalah kebijaksanaan pemilik objek, jenis kontrol akses yang digunakan di Windows disebut kontrol akses diskresi.
Izin berbeda dari hak pengguna di mana izin dilampirkan ke objek, dan hak pengguna berlaku untuk akun pengguna. Administrator dapat menetapkan hak pengguna ke grup atau pengguna. Hak-hak ini memberi otorisasi kepada pengguna untuk melakukan tindakan tertentu, seperti masuk ke sistem secara interaktif atau mencadangkan file dan direktori.
Pada komputer, hak pengguna memungkinkan administrator mengontrol siapa yang memiliki wewenang untuk melakukan operasi yang memengaruhi seluruh komputer, bukan objek tertentu. Administrator menetapkan hak pengguna untuk pengguna atau grup individual sebagai bagian dari pengaturan keamanan untuk komputer. Meskipun hak pengguna dapat dikelola secara terpusat melalui Kebijakan Grup, hak tersebut diterapkan secara lokal. Pengguna dapat (dan biasanya melakukannya) memiliki hak pengguna yang berbeda di komputer yang berbeda.
Untuk informasi tentang hak pengguna mana yang tersedia dan bagaimana mereka dapat diimplementasikan, lihat Penetapan Hak Pengguna.
Konteks keamanan dalam autentikasi
Akun pengguna memungkinkan pengguna untuk masuk ke komputer, jaringan, dan domain dengan identitas yang dapat diautentikasi oleh komputer, jaringan, atau domain.
Di Windows, setiap pengguna, layanan, grup, atau komputer yang dapat memulai tindakan adalah prinsip keamanan. Prinsip keamanan memiliki akun, yang dapat dilokalkan ke komputer atau berbasis domain. Misalnya, komputer klien Windows yang bergabung dengan domain dapat berpartisipasi dalam domain jaringan dengan berkomunikasi dengan pengendali domain, bahkan ketika tidak ada pengguna yang masuk.
Untuk memulai komunikasi, komputer harus memiliki akun aktif di domain. Sebelum menerima komunikasi dari komputer, Otoritas Keamanan Lokal pada pengendali domain mengautentikasi identitas komputer dan kemudian mendefinisikan konteks keamanan komputer seperti halnya untuk prinsip keamanan pengguna.
Konteks keamanan ini mendefinisikan identitas dan kemampuan pengguna atau layanan di komputer tertentu, atau pengguna, layanan, grup, atau komputer di jaringan. Misalnya, ini mendefinisikan sumber daya (seperti berbagi file atau printer) yang dapat diakses dan tindakan (seperti Baca, Tulis, atau Ubah) yang dapat dilakukan oleh pengguna, layanan, atau komputer pada sumber daya tersebut.
Konteks keamanan pengguna atau komputer dapat bervariasi dari satu komputer ke komputer lain, seperti ketika pengguna mengautentikasi ke server atau stasiun kerja selain stasiun kerja utama pengguna. Ini juga dapat bervariasi dari satu sesi ke sesi lainnya, seperti ketika administrator memodifikasi hak dan izin pengguna. Selain itu, konteks keamanan berbeda ketika pengguna atau komputer beroperasi secara mandiri, dalam domain jaringan campuran, atau sebagai bagian dari domain Direktori Aktif.
Akun dan grup keamanan
Akun dan grup keamanan yang dibuat di domain Direktori Aktif disimpan dalam database Direktori Aktif dan dikelola dengan menggunakan alat Direktori Aktif. Prinsip keamanan ini adalah objek direktori, dan dapat digunakan untuk mengelola akses ke sumber daya domain.
Akun pengguna lokal dan grup keamanan dibuat di komputer lokal, dan dapat digunakan untuk mengelola akses ke sumber daya di komputer tersebut. Akun pengguna lokal dan grup keamanan disimpan di dan dikelola oleh Manajer Akun Keamanan (SAM) di komputer lokal.
Akun pengguna
Akun pengguna secara unik mengidentifikasi seseorang yang menggunakan sistem komputer. Akun memberi sinyal kepada sistem untuk memberlakukan otorisasi yang sesuai untuk mengizinkan atau menolak akses pengguna tersebut ke sumber daya. Akun pengguna dapat dibuat di Direktori Aktif dan di komputer lokal, dan administrator menggunakannya untuk:
Mewakili, mengidentifikasi, dan mengautentikasi identitas pengguna. Akun pengguna memungkinkan pengguna untuk masuk ke komputer, jaringan, dan domain dengan pengidentifikasi unik yang dapat diautentikasi oleh komputer, jaringan, atau domain.
Mengotorisasi (memberikan atau menolak) akses ke sumber daya. Setelah pengguna diautentikasi, pengguna diotorisasi akses ke sumber daya berdasarkan izin yang ditetapkan kepada pengguna tersebut untuk sumber daya.
Mengaudit tindakan yang dilakukan pada akun pengguna.
Windows dan sistem operasi Windows Server memiliki akun pengguna bawaan, atau Anda dapat membuat akun pengguna untuk memenuhi persyaratan organisasi Anda.
Kelompok keamanan
Grup keamanan adalah kumpulan akun pengguna, akun komputer, dan grup akun lain yang dapat dikelola sebagai satu unit dari perspektif keamanan. Dalam sistem operasi Windows, ada beberapa grup keamanan bawaan yang telah dikonfigurasi sebelumnya dengan hak dan izin yang sesuai untuk melakukan tugas tertentu. Selain itu, Anda dapat (dan biasanya akan) membuat grup keamanan untuk setiap kombinasi unik persyaratan keamanan yang berlaku untuk beberapa pengguna di organisasi Anda.
Grup dapat berbasis Direktori Aktif atau lokal ke komputer tertentu:
Grup keamanan Direktori Aktif digunakan untuk mengelola hak dan izin ke sumber daya domain.
Grup lokal ada di database SAM pada komputer lokal (pada semua komputer berbasis Windows) kecuali pengendali domain. Anda menggunakan grup lokal untuk mengelola hak dan izin hanya untuk sumber daya di komputer lokal.
Dengan menggunakan grup keamanan untuk mengelola kontrol akses, Anda dapat:
Menyederhanakan administrasi. Anda dapat menetapkan sekumpulan hak umum, sekumpulan izin umum, atau keduanya ke banyak akun pada satu waktu, daripada menetapkannya ke setiap akun satu per satu. Selain itu, ketika pengguna mentransfer pekerjaan atau meninggalkan organisasi, izin tidak terkait dengan akun pengguna mereka, membuat penetapan ulang izin atau penghapusan lebih mudah.
Menerapkan model kontrol akses berbasis peran. Anda dapat menggunakan model ini untuk memberikan izin dengan menggunakan grup dengan cakupan yang berbeda untuk tujuan yang sesuai. Cakupan yang tersedia di Windows termasuk lokal, global, domain lokal, dan universal.
Minimalkan ukuran ACL dan pemeriksaan keamanan kecepatan. Kelompok keamanan memiliki SID sendiri; oleh karena itu, SID grup dapat digunakan untuk menentukan izin untuk sumber daya. Di lingkungan dengan lebih dari beberapa ribu pengguna, jika SID akun pengguna individual digunakan untuk menentukan akses ke sumber daya, ACL sumber daya tersebut dapat menjadi sangat besar, dan waktu yang diperlukan sistem untuk memeriksa izin ke sumber daya dapat menjadi tidak dapat diterima.
Untuk informasi deskripsi dan pengaturan tentang grup keamanan domain yang ditentukan dalam Direktori Aktif, lihat Grup keamanan Direktori Aktif.
Untuk informasi deskripsi dan pengaturan tentang identitas khusus, lihat Grup identitas khusus.