Система управления доступом распределяет полномочия пользователей в сети, устанавливает права доступа к приложениям и файлам на основе шаблонов и правил. Основными компонентами системы являются:
Разрешение на доступ.
Таблица фактического доступа.
Контроль удаленного доступа.
Разрешение на доступ.
Разрешение на доступ присваивается пользователям, группам пользователей или компьютерам для получения доступа к файлам, объектам Active Directory или реестру.
Чтобы установить или изменить права доступа к файлу надо в Проводнике выбрать Свойства файла (папки) и на вкладке Безопасность установить необходимые права доступа. При создании файла создатель получает статус собственника ресурса и обладает правами администратора данного файла. Права собственника могут быть переданы.
Разные объекты могут обладать различными типами разрешения доступа. Права доступа могут наследоваться в иерархических структурах.
Таблица фактического доступа.
С помощью таблицы фактического доступа (Effective Permissions tab) администратор может контролировать фактический доступ к папкам и файлам для отдельных пользователей и групп. Для того, чтобы открыть вкладку Фактического доступа щелкните кнопку Дополнительно окна свойств файла (папки).
Контроль удаленного доступа.
Управление контролем удаленного доступа осуществляется через групповую политику удаленного доступа. Рекомендуется ограничить удаленный доступ определенных групп пользователей к общим сетевым ресурсам, например, отключить доступ для анонимных пользователей (anonymous), гостевой доступ (guest) и доступ для всех (everyone).
Система аудита.
С помощью консоли Локальная политика безопасности администратор может осуществлять контроль системных событий. Аудит позволяет вести контроль таких событий, как неудачные попытки входа в систему и выхода из нее, обнаружение нарушителей системы безопасности, доступ к объектам, управление группами пользователей и учетными записями групп
Операционная система регистрирует в специальном журнале, потенциально опасные события. С помощью средства просмотра событий можно просматривать журнал безопасности. Политика аудита позволяет определять, для каких событий должен проводиться аудит.
Windows позволяет регистрировать в журнале аудита события следующих категорий:
вход/выход пользователя из системы;
доступ пользователей к объектам;
использование субъектами доступа опасных привилегий;
изменения в списке пользователей;
изменения в политике безопасности;
системные события;
запуск и завершение процессов.
Для каждого класса событий могут регистрироваться
успешные события;
неуспешные (при выполнении операции произошла ошибка, в том числе отказ в доступе);
и те, и другие.
B Windows считаются опасными следующие привилегии пользователей:
получать оповещения от файловой системы;
добавлять записи в журнал аудита;
создавать маркеры доступа;
назначать маркеры доступа процессам;
создавать резервные копии информации, хранящейся на жестких дисках;
восстанавливать информацию на жестких дисках с резервных копий;
отлаживать программы.
Система аутентификации пользователей.
Ни один пользователь не может начать работу с операционной системой, не зарегистрировавшись в системе. Аутентификация позволяет пользователю регистрироваться в домене на любом рабочем месте при помощи парольного входа или смарт-карты.
В терминологии Windows процесс аутентификации довольно часто называется проверкой подлинности.
Kerberos v5 - протокол проверки подлинности в сети, реализующий механизм взаимной аутентификации клиента и сервера. Изначально обмен информацией происходит в незащищенном режиме, учитывая что клиент и сервер находятся в открытой сети, где пакеты могут быть перехвачены и модифицированы. Kerberos v5 обладает высокоэффективным механизмом проверки подлинности, предназначенном для работы в чрезвычайно сложных сетевых средах.
Основная идея протокола состоит в том, что вместо пароля клиент и сервер обмениваются криптографическими ключами предоставляемыми службой Key Distribution Center, KDC.
Аутентификация с использованием смарт-карт.
Встроенная в Windows XP и Windows Server 2003 функция аутентификации с использованием смарт-карт, позволяет строить сети с высоким уровнем защиты. Смарт-карты позволяют хранить входные пароли, открытые и личные ключи и другую конфиденциальную информацию. Смарт-карта избавляет пользователя от необходимости запоминать сложные пароли или применять простые пароли, что снижает безопасность системы.
Для входа в систему пользователю не надо нажимать сочетание клавиш Ctrl-Alt-Del и вводить пароль, достаточно просто вставить смарт-карту в читающее устройство. Однако, пользователь должен ввести PIN-код для аутентификации по отношению к смарт-карте. PIN-код, в отличие от пароля, не передается по сети, поэтому он не может быть перехвачен злоумышленником, что повышает безопасность сети.
В качестве дополнительного средства защиты применяется блокировка смарт-карты после нескольких неудачных попыток ввести PIN-код.
Стандарты смарт-карт.
Windows XP и Windows Server 2003 работают со стандартными смарт-картами и устройствами для чтения смарт-карт, поддерживающими спецификацию PC/SC (Personal Computer/ Smart Card), определенную рабочей группой PC/SC Workgroup, а также технологию Plug-and-Play. Конструктивно и по электрическим характеристикам смарт-карта должна соответствовать стандартам ISO 7816-1, 7816-2, 7816-3. Устройство чтения смарт-карт подключается к стандартным разъемам, таким как RS-232, PS/2, PCMCIA, USB.
В операционной системе Windows Server 2003 возможна также аутентификация пользователей по его биометрическим параметрам.
