К. Закер - Компьютерные сети. Модернизация и поиск неисправностей (953092), страница 114
Текст из файла (страница 114)
Архитектура системы безопасности %1пбове ЙТ Подсистема безопасности тупйотуз ХТ интегрирована в саму ОС и представлена болыпим количеством различных компонентов, как показано на рис. И.И. В отличие от подсистем окружения, таких как %пт32, также работающих в режиме пользователя, подсистема безопасности относится 'к лестьсмаемыи или иитегральлььи исдсистемам ((имка! л~~щв!елт4, так 'квк используется всей ОС. Все компоненты подсистемы безопасности взаимодействуют с Яесопгу Кегегепсс Мопйог, арбитром безопасности, работаюшим в режиме ядра, который сравнивает все запросы на конкретные ресурсы со списком элементов контроля доступа (АСЦ этих ресурсов. Рис.
т4.1 М. Архитектура системы сеасоасиссти тт1сссттз йт гтампоненты подсистемы безопасности, работающие в режиме пользователя, перечислены ниже. Н Ьабоа Ргоаезз (процесс регвсгрюши). Механизм, отвечаюший,за прием данных от пользователя при его входе в систему и начало процесса подтверждения подлинности пользователя. Н Еоса1 Яесипту Авзаогйу (т ЯА, локальные средства защиты). Работает как "пульт управления" подсистемы безопасности: инициирует разрешение на вход в систему, вызывает аутентификационные пакеты программ, создает маркеры доступа, управляет локальными системными политиками, регпстрирует записи аудита.
П Яеситйу Ассгапйв Мавайаг (ЯАМ, администратор учвпиых даивмк в системе аавигты). База данных, содержащая информацию о разрвМлтстх 9егтлийи4 на доступ пользователей или нх групп к ЛВС или домену. (з Яесвгйу Ропау патаьазе (база давних политики беъиааавсти). Включает информацию о л!хатах !ттл!яз! пользователей, аудите и доверительнузх отношениях. с) Авйй з.вй (вгурнал аудита). содержит вес контуайгйвмв,записи, .яабгятий, связаййых с сйстемой безапасйастн н йзменейиямй в стратегий безапайг ности.
В процессе объемного подключения пальзаватедл к сети эти компоненты взаимолействуягг в порядке, представленном далее. 1. Процесс нища в систему начинается с появления диалогового окна Ьпйпв, поивлююпгсеся тогда, когда пользователь нажимает <СИ>+ +<А)г~+Яь)е)~ пасхе зюрузки сйстемы, или его может инициировать другой сетевой клиент (например, клиент Иег%аге для %шбанз ИТ).
После этога пользователь вводит имя и пароль., 2. Процесс дайан вызывает средства локальной защиты (ЕБА), которые инициируют процедуру аутентификации пользователя. 3. Процедура аутентификации сопоставляет ввсценные пальзавягелем данные аутентйфйкацйи с информацией и ланальнай базе данных БАМ или, если репщется.Вопрос о доступе к домену, перенайравляет их процедуре аутентификации контроллера домена. 4.
После того;- как имя пользователя и пароль ппдгеержденьг, БАМ формирует ответ, сцаержюций идентификаторы зашиты (БЙЭ) данного пользователя и всех ~рупп, в которые ан входит, и передает его процедуре аутентификации. 5. Процедура аутентификаций начинает сеанс регистрации и передает полномочия 1.БА,' вместе с М0. 6. ЕБА создает маркер достлула Гзесипб ассам Гейеру, содержалгяй БЮ пользователя, инфармацию а ега правах, связаннйх с зтйм Б)О; а также имя пользователя и имена всех групп, в которые он входит. Маркер доступа посылается йрацессу Еойоп, сигнализируя аб успешной регистрации.
С этого момента ОС будет использовать Б$Р пользователя из маркера досгупа для аутентификации пользователя квлзйей"паз; 'когда пользователь попытаегал полу ппъ лостутг к любому абьевзу в системе. 7. Процедура регистрации передает маркер доступа подсистеме %гв32„которая отвечааг'эа загрузку конфигурации рабачега'стана для данного пользователя. Балъгвая часть работы подсистемы безопасности прозрачна для пользователей нли администраторов. Наиболее бросающимся в глаза при повседневной деятельности компонентом системы безопасности является база данных БАМ, салержвзцвй'учвтййе записи всех пользователей, йх гр)я)п й'компькперов сети %ййижгчТ.
'Каждый компьютер пад управлениями'Майся)эМГ имеет свою собственную базу данных БАМ лля локаьънага доступа', 'а каждый домен имеет допалнйтвйьйую базу ллнных БАМ, ксяпвг которой хранится'на кюкдом из контроллеров домена. Любой обьекг в снсгеме, запппценный подсистемой безопасности ЖйкЬчз ИТ, содержит дескриптор залппъг, вхюечающий спи- Глава Гж куякГснз ИТи И%калка 2000 сак элементов контроля доступа (АС1 ).
АС). состоит из элементов контроля доступа (Асе), определяющих, каким пользователям нли их гр)»тпаъ "разрешен доступ к данному обьекту и какого рода операции им разрешена с этим объектом проделывать. Определение прав на доступ к объекту, найример, файлу, квгалогу, лиску или ключу снстемнага реестра меняет именно эти элеменпя (АСЕ) списка АСЕ данного объекта.
Например, в диалоговом окне Асеева ТЬгавйЪ Яагге Ретшли)авз можно просматривать (как показано на рис. 14.12) список пользователей и их групп, включенных в базу данных БАМ н имекяцих разрешение на обращение к конкретному ресурсу совместнога использования. Выбирая пользователей и разрешая им ласт)п к ресурсу, можно добавить нх к АС1. лля этого ресурса.
рис. те та д«алсгоэое окно деееэа т»гамп» И» е регаяам е ДОМЕНЫ И 6ЕЗОПВСНОСТЬ При регистрации пользователя на домене Ж(попав ХТ система обраишется для аутентификации к базе данных ВАМ, расположенной на одном из контроллеров домена (ОС). Эта база данных на ВС хранит информацию об учетных записях пользователей„групп пользователей и отдельных кампыатеров относительна доступа к домену, и ОС обращается к ней всякий раз, когда кем-либа запускается утилита, пытакяцаяся изменить АС1. системньи обьектов. Во время работы с доменом диалоговое окно Ассезз ТЬвийЬ Ягаге Репи)ззйшв содержит список пользователей и групп из базьь данных ВАМ домена„и выглядит аналогична одноименному диалоговому окну для яокальной ЬАМ. Можно также выбирать пользователей и их группы,из лругих доменов сети, но только если эти домены находятся в доверительных отнашензшх с доменам.
к которому принадлежит данная система дяя получвния более подробной инфорь»ации с даменах т»апти»з нт см. еляву лй Когда компьютер с'Ю»пг»оч»з ИТ является элементом 'домена, ловильная база данных ВАМ по-прежнему существует. Диалоговое'окне Ьвйгяг' Й»»гвппабвп позволяет выбрить для текущей работы домен или локальную систему. Необходимо помнить„что базы данных БАМ длл домена и локальной машины могут включать учетные записи о доступе пользователей с одинаковыми именами. Например, учетная запись "Администратор присутствует и в базе данных домена и локальной системы.
Однако эти две учетные записи не взаимозаменяемы. Они имеют разные пароли и предполагают различные права и привилегии, например, для устанолди ептвв»пт» адаптера необходима регистрация в качестве администратора в локальной сйстеме (и(»и лица, обладающего аналогичными полномочиями). Вместе с тем, регистрация в качестве администратора домена (по умолчанию) не дает прав на модификацию аппаратного обеспечения локальной системы Учетные записи пользоаателей Рабсч.а с учел»лыки зллисями лользпвателей (ймт ассоилй), иначе называемыми б»ойяел»ами или учелиыии формулярами, является одной из базовых административных задач в %»пдо»»з НТ.
Необходимо помнить, что возможны разные учетные записи одного и того же пользователя для локальной системы и лля домена. Например, рабочая станция Жшг»с»яз»ЧТ имеет учетную запись "Администратор" в локальной базе данных ВАМ, создаваемую по умолчанию при инсталляции ОС. Если же рабоч и станция включена в домен, существует и другая учетная запись "Администратор" в базе данных ВАМ домена, расположенной на ОС. Эти две учетные записи могут иметь разные.Пароля, представлять разные группы, предполагать разные права и не должны смешиваться. Йользовагсль может зарегистрироваться в качестве администратора домена или локальной системы, выбрав имя локальной системы или имя домена в поле а>оп»ащ диалогового ок»щ 1л»йеп $пй»г»плйоп. На ОС существует только одна регистрационная запись "Администратор", предназначенная одновременно для администраторов локальной машины и домена.
Рабочие с»аннин и серверы Ът»пбоив МГ, не являющиеся коитроллерами домена.»имеют'утилиту ~3зег Мапаяег жи создания. и-удаления индивидуальных и групповых учетных записей, а также управления ил свойствами. Контроллеры ломенов-оснащены утилитой Няег Мапвлег йя Оогпа»пз (рис. 14.13), функционирующей подобным образом, но она работает о базами данных ВАМ домена, локализованными на первичных контроллерах домена (Р))С), вместо локальной базы данных. 497 Программа ~Ьег Мапаяег позволяет создавать, блокировать и удалять учетные записи пользователей„а также настраивать их свойства. Список свойств представлен ниже.
П Разаиогаз (пароаи). Определяет пароли пользователей, позволяет принудить пользователя изменить пароль, а также разрешить или запретить ему самому изменять свой пароль. П 6гоира (грувим). Идентифицирует локальные и/или глобальные группы„ членом которых является данный пользователь. П Ргойе (профиль), Указывает расположение профиля пользователя и до- машнего каталога пользователя. П Наива (часы работы). Залает границы временного промежутка, в течение которого пользователю разрешен доступ в систему. П Ьщав То (регистрировать в).
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
