Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00431 008403 10465775 na godz. na dobę w sumie
Bezpieczeństwo w Windows Server 2003. Kompendium - książka
Bezpieczeństwo w Windows Server 2003. Kompendium - książka
Autor: Liczba stron: 1232
Wydawca: Helion Język publikacji: polski
ISBN: 83-246-0232-1 Data wydania:
Lektor:
Kategoria: ebooki >> komputery i informatyka >> hacking >> bezpieczeństwo systemów
Porównaj ceny (książka, ebook, audiobook).

We współczesnym świecie, w którym informacja jest najcenniejszym towarem, bezpieczeństwo danych to jedno z najważniejszych zagadnień spędzających sen z powiek administratorom serwerów i systemów. Mechanizmy zabezpieczeń oferowane przez system operacyjny powinny zostać odpowiednio skonfigurowane i wykorzystane we właściwy sposób. Sama wiedza na ich temat to zdecydowanie za mało. Należy poznać nie tylko zagadnienia związane z ich stosowaniem, ale również zasady ogólnej polityki bezpieczeństwa, doboru identyfikatorów i haseł sieciowych oraz korzystania z zabezpieczeń takich, jak klucze publiczne.

Książka 'Bezpieczeństwo w Windows Server 2003. Kompendium' to praktyczny przewodnik po tych kwestiach. Autorka książki, ceniona specjalistka w zakresie bezpieczeństwa systemów operacyjnych z rodziny Windows, przedstawia w niej informacje niezbędne, aby skutecznie zabezpieczyć sieć i serwery. Porusza wszystkie zagadnienia związane z projektowaniem, wdrażaniem, diagnozowaniem lub konfigurowaniem zabezpieczeń systemu Windows Server 2003 lub sieci, w których znajdują się komputery z tym systemem.

W książce poruszono między innymi:

Zmień swoją sieć w twierdzę nie do zdobycia.

Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

IDZ DO IDZ DO PRZYK£ADOWY ROZDZIA£ PRZYK£ADOWY ROZDZIA£ SPIS TREŒCI SPIS TREŒCI KATALOG KSI¥¯EK KATALOG KSI¥¯EK KATALOG ONLINE KATALOG ONLINE ZAMÓW DRUKOWANY KATALOG ZAMÓW DRUKOWANY KATALOG TWÓJ KOSZYK TWÓJ KOSZYK DODAJ DO KOSZYKA DODAJ DO KOSZYKA CENNIK I INFORMACJE CENNIK I INFORMACJE ZAMÓW INFORMACJE ZAMÓW INFORMACJE O NOWOŒCIACH O NOWOŒCIACH ZAMÓW CENNIK ZAMÓW CENNIK CZYTELNIA CZYTELNIA FRAGMENTY KSI¥¯EK ONLINE FRAGMENTY KSI¥¯EK ONLINE Wydawnictwo Helion ul. Chopina 6 44-100 Gliwice tel. (32)230-98-63 e-mail: helion@helion.pl Bezpieczeñstwo w Windows Server 2003. Kompendium Autor: Roberta Bragg T³umaczenie: Pawe³ Gonera, Piotr Pilch ISBN: 83-246-0232-1 Tytu³ orygina³u: Windows Server 2003 Security: A Technical Reference Format: B5, stron: 1170 We wspó³czesnym œwiecie, w którym informacja jest najcenniejszym towarem, bezpieczeñstwo danych to jedno z najwa¿niejszych zagadnieñ spêdzaj¹cych sen z powiek administratorom serwerów i systemów. Mechanizmy zabezpieczeñ oferowane przez system operacyjny powinny zostaæ odpowiednio skonfigurowane i wykorzystane we w³aœciwy sposób. Sama wiedza na ich temat to zdecydowanie za ma³o. Nale¿y poznaæ nie tylko zagadnienia zwi¹zane z ich stosowaniem, ale równie¿ zasady ogólnej polityki bezpieczeñstwa, doboru identyfikatorów i hase³ sieciowych oraz korzystania z zabezpieczeñ takich, jak klucze publiczne. Ksi¹¿ka „Bezpieczeñstwo w Windows Server 2003. Kompendium” to praktyczny przewodnik po tych kwestiach. Autorka ksi¹¿ki, ceniona specjalistka w zakresie bezpieczeñstwa systemów operacyjnych z rodziny Windows, przedstawia w niej informacje niezbêdne, aby skutecznie zabezpieczyæ sieæ i serwery. Porusza wszystkie zagadnienia zwi¹zane z projektowaniem, wdra¿aniem, diagnozowaniem lub konfigurowaniem zabezpieczeñ systemu Windows Server 2003 lub sieci, w których znajduj¹ siê komputery z tym systemem. W ksi¹¿ce poruszono miêdzy innymi: (cid:129) Zasady bezpieczeñstwa informacji (cid:129) Uwierzytelnianie za pomoc¹ protoko³ów LM i Kerberos (cid:129) Kontrola dostêpu na poziomie uprawnieñ (cid:129) Zabezpieczanie aplikacji i danych (cid:129) Wykorzystanie us³ugi Active Directory (cid:129) Tworzenie, wdra¿anie i diagnozowanie zasad grupy (cid:129) Stosowanie mechanizmów klucza publicznego (PKI) (cid:129) Zabezpieczanie zdalnego dostêpu do serwera (cid:129) Archiwizacja i odtwarzanie danych (cid:129) Wykrywanie w³amañ i reagowanie na ataki Zmieñ swoj¹ sieæ w twierdzê nie do zdobycia Podziękowania ...........................................................................................17 O autorze ....................................................................................................19 Przedmowa ................................................................................................21 CZĘŚĆ II Podstawy zabezpieczeń 27 Rozdział 1. Zasady dotyczące bezpieczeństwa informacji ............................................29 Zasada numer jeden: nie ma czegoś takiego jak bezpieczny komputer .......30 Klasyczne zasady dotyczące zabezpieczeń: poufność, integralność i inspekcja ......................................................................................................................32 Poufność .........................................................................................................32 Integralność ....................................................................................................34 Inspekcja ........................................................................................................35 Wnioski: zasady powstałe na bazie zasad klasycznych .................................36 Rozbudowana ochrona ...................................................................................36 Psychologiczna akceptacja .............................................................................39 Zasada najmniejszych przywilejów ...............................................................40 Wdrażanie zasad zabezpieczeń .....................................................................41 Podział obowiązków .......................................................................................42 Całkowita mediacja ........................................................................................42 Aktualizowanie na bieżąco .............................................................................43 Użycie otwartych rozwiązań ..........................................................................43 Zmniejszenie pola ataku ................................................................................44 6 Bezpieczeństwo w Windows Server 2003. Kompendium Domyślne zabezpieczenia awaryjne ..............................................................44 Jednoczesne ufanie i kontrolowanie ..............................................................45 Szkolenie i uświadamianie każdego ..............................................................45 Ekonomia i różnorodność mechanizmów .....................................................45 CZĘŚĆ II Zabezpieczanie serwera 47 Rozdział 2. Uwierzytelnianie: dowód tożsamości ........................................................49 Proces logowania ...........................................................................................51 Typy logowania ..............................................................................................53 Proces logowania interaktywnego .................................................................54 Uwierzytelnianie w domenie i sieci ..............................................................55 Procesy uwierzytelniania w sieci ...................................................................56 Protokół LM ...................................................................................................57 Protokół Kerberos ..........................................................................................68 Konfigurowanie protokołu Kerberos za pomocą jego zasad ........................83 Certyfikaty, karty inteligentne, żetony i dane biometryczne .......................84 Usługa czasu systemu Windows ....................................................................86 Konta komputerów i kontrolowanie uwierzytelniania ..................................89 Tworzenie kont komputerów i ich hasła .......................................................89 Przetwarzanie kont komputerów ...................................................................90 Dostęp anonimowy ........................................................................................92 Zarządzanie uwierzytelnianiem za pomocą zasad grupy ..............................93 Zasady konta ...................................................................................................93 Zasady haseł ...................................................................................................98 Zasady blokady konta .....................................................................................98 Ograniczenia konta użytkownika .................................................................100 Zasady kont lokalnych i dysk resetowania hasła .........................................102 Uwierzytelnianie w lesie i między lasami ...................................................104 Relacja zaufania obszaru ..............................................................................105 Najlepsze praktyki dotyczące zabezpieczania uwierzytelniania .................106 Podsumowanie .............................................................................................107 Rozdział 3. Autoryzacja — ograniczanie dostępu do systemu i kontrolowanie działań użytkownika ......................................................109 Architektura zabezpieczeń systemu Windows i proces autoryzacji ...........111 Prawa, przywileje i uprawnienia .................................................................115 Prawa wbudowane .......................................................................................115 Prawa logowania ...........................................................................................116 Dodawanie i usuwanie predefiniowanych praw użytkownika ...................127 Zalecenia dotyczące ograniczania praw ......................................................129 Najlepsze praktyki dotyczące przypisywania praw użytkownika ...............133 Spis treści 7 Kontrola dostępu za pomocą uprawnień do obiektów ................................134 Podstawowe informacje na temat uprawnień .............................................135 Łączenie uprawnień .....................................................................................138 Najlepsze praktyki dotyczące przypisywania uprawnień do obiektów ......140 Uprawnienia drukarki i prawo własności do niej .......................................140 Porównanie systemów kontroli dostępu opartych na regułach i rolach .....144 Zastosowanie w sieci z serwerami z systemem Windows Server 2003 kontroli dostępu opartej na rolach ..........................................................145 Domyślne role systemu operacyjnego .........................................................147 Domyślne konta użytkowników ...................................................................148 Systemowe konta użytkowników .................................................................149 Grupy ............................................................................................................150 Zakres grupy .................................................................................................153 Zarządzanie użytkownikami i grupami .......................................................154 Tworzenie niestandardowych ról ................................................................159 Tworzenie dla ról niestandardowych grup ..................................................160 Najlepsze praktyki dotyczące lokalnych użytkowników i grup ..................161 Proces kontroli dostępu ...............................................................................162 Zarządzanie informacjami zastrzeżonymi ...................................................164 Autoryzacja za pomocą opcji zabezpieczeń i wpisów rejestru ....................164 Role komputerowe .......................................................................................168 Dostęp anonimowy ......................................................................................169 Podmioty zabezpieczeń, autoryzacja i dostęp anonimowy .........................169 Anonimowy dostęp do zasobów ...................................................................170 Ogólnie znane identyfikatory SID ..............................................................172 Ochrona bazy danych haseł kont przy użyciu narzędzia Syskey ................181 Podsumowanie .............................................................................................184 Rozdział 4. Ograniczanie dostępu do oprogramowania i kontrolowanie dostępu aplikacji do zasobów .......................................185 Narzędzie Menedżer autoryzacji .................................................................187 Podstawowe informacje na temat narzędzia Menedżer autoryzacji ..........191 Inspekcja narzędzia Menedżer autoryzacji .................................................211 Zarządzanie narzędziem Menedżer autoryzacji .........................................212 Zasady ograniczeń oprogramowania ...........................................................213 Możliwości zasad ograniczeń oprogramowania ..........................................214 Podstawowe informacje dotyczące zasad ograniczeń oprogramowania ....215 Tworzenie i stosowanie zasad ograniczeń oprogramowania ......................217 Rozwiązywanie problemów związanych z zasadami ograniczeń oprogramowania .......................................................................................236 Najlepsze praktyki dotyczące zasad ograniczeń oprogramowania .............238 Zabezpieczanie aplikacji COM, COM+ i DCOM za pomocą usługi Usługi składowe ..........................................................240 Podsumowanie .............................................................................................254 8 Bezpieczeństwo w Windows Server 2003. Kompendium Rozdział 5. Kontrolowanie dostępu do danych ..........................................................257 Kontrolowanie dostępu do plików i folderów za pomocą uprawnień NTFS ...................................................................258 Uprawnienia do plików i folderów ..............................................................259 Domyślne uprawnienia ................................................................................263 Interpretowanie uprawnień .........................................................................266 Struktura systemu plików NTFS dysku ......................................................266 Dziedziczenie uprawnień ............................................................................267 Porównanie atrybutów i wydajności systemu plików NTFS z jego zabezpieczeniami .....................................................................................280 Kontrolowanie dostępu do udziałów ...........................................................281 Uprawnienia udziałów .................................................................................283 Tryb udostępniania plików i drukarek ........................................................283 Domyślne udziały ........................................................................................284 Proste udostępnianie plików — nowy model stworzony dla systemu Windows XP .............................................................................................285 Tworzenie udziałów .....................................................................................288 Zdalne zarządzanie udziałami .....................................................................291 Najlepsze praktyki dotyczące udostępniania plików i drukarek ................291 Kontrolowanie dostępu do folderów sieci Web za pomocą protokołu WebDAV ..................................................................................................293 Uaktywnianie protokołu WebDAV .............................................................297 Tworzenie folderu przeznaczonego do udostępnienia i przypisanie mu uprawnień NTFS ......................................................................................297 Tworzenie katalogu wirtualnego .................................................................297 Konfigurowanie zabezpieczeń dla katalogu wirtualnego ...........................299 Konfigurowanie klienta ................................................................................300 Kontrolowanie dostępu do kluczy rejestru .................................................301 Domyślne uprawnienia do rejestru .............................................................301 Stosowanie uprawnień do rejestru ..............................................................303 Praktyczne zagadnienia związane z wdrażaniem zabezpieczeń .................305 Kwestie dotyczące uprawnień starszych aplikacji ......................................305 Alternatywne strumienie danych ................................................................308 Definiowanie uprawnień za pomocą szablonów zabezpieczeń ..................311 Przywracanie i odporność na błędy .............................................................312 Klastry ...........................................................................................................312 System DFS .................................................................................................313 Skuteczne zarządzanie opcjami zabezpieczeń i prawami użytkowników ..314 Kontrolowanie dostępu do dzienników zdarzeń .........................................316 Podsumowanie .............................................................................................318 Spis treści 9 Rozdział 6. System EFS — podstawy ..........................................................................319 Czym jest System szyfrowania plików EFS? ..............................................320 Różnice między wersjami systemu Windows dotyczące funkcji szyfrowania ..................................................................321 Podstawowe operacje ...................................................................................322 Szyfrowanie i odszyfrowywanie ...................................................................324 Archiwizowanie certyfikatów i kluczy .........................................................328 Importowanie certyfikatu i kluczy ...............................................................333 Usuwanie klucza prywatnego ......................................................................334 Przywracanie plików ....................................................................................335 Uzyskiwanie kluczy szyfrujących ................................................................336 Dodawanie agenta przywracania .................................................................337 Wpływ standardowych operacji na zaszyfrowane pliki ...............................338 Architektura systemu EFS ..........................................................................340 Operacje wykonywane przez system plików ..............................................341 Algorytmy szyfrowania, odszyfrowywania i przywracania .........................343 Typy i siła szyfrowania .................................................................................346 Zapobieganie utracie danych — planowanie przywracania ........................347 Plan przywracania dla komputerów autonomicznych i domen pozbawionych urzędów certyfikacji ..........................................348 Zasada przywracania i wyłączanie systemu EFS ........................................350 Narzędzia służące do przywracania .............................................................354 Specjalne kwestie i operacje ........................................................................356 Zmiana algorytmu szyfrowania ....................................................................356 Umieszczenie w menu programu Eksplorator Windows poleceń Szyfruj i Odszyfruj .....................................................................357 Archiwizowanie zaszyfrowanych plików .....................................................357 Przetwarzanie plików trybu offline .............................................................358 Udostępnianie zaszyfrowanych plików .......................................................358 Ochrona przed skutkami resetowania hasła ................................................362 Wyróżnianie kolorami nazw zaszyfrowanych plików i folderów w oknie programu Eksplorator Windows .................................................363 Stosowanie zewnętrznych certyfikatów systemu EFS ....................................364 System EFS i funkcja Przywracanie systemu .............................................364 Wykrywanie i przeglądanie certyfikatów ....................................................364 Magazyn zdalny ...........................................................................................365 Udziały SMB ................................................................................................366 Protokół WebDAV .......................................................................................368 Pewne strategie dla przedsiębiorstwa .........................................................368 Narzędzia .....................................................................................................370 Program cipher .............................................................................................370 Program esfinfo ............................................................................................372 Rozwiązywanie problemów .........................................................................372 Podsumowanie .............................................................................................373 10 Bezpieczeństwo w Windows Server 2003. Kompendium CZĘŚĆ III Zabezpieczanie usług domeny 375 Rozdział 7. Rola usługi Active Directory w bezpieczeństwie domeny ........................377 Usługa Active Directory a bezpieczeństwo .................................................378 Organizacja, struktura i funkcje usługi Active Directory ...........................379 Struktura hierarchiczna ...............................................................................380 Replikacja .....................................................................................................384 Zasady grupy ................................................................................................386 Delegowanie uprawnień administracyjnych ...............................................391 Zależność od usługi DNS ............................................................................392 Instalacja usługi Active Directory: zmiany w czasie wykonywania dcpromo .................................................393 Zarządzanie użytkownikami i komputerami za pomocą usługi Active Directory ..................................................................................................397 Wpływ domyślnego obiektu GPO ...............................................................398 Tworzenie i konfigurowanie użytkowników, grup i komputerów w domenach usługi Active Directory ................................400 Delegowanie administracji — użycie Kreatora delegowania kontroli .......413 Poznajemy listy ACL usługi Active Directory ............................................418 Narzędzia zasad grupy .................................................................................425 Edytor zasad grupy ......................................................................................426 Konsola Group Policy Management ............................................................439 Różnice w zarządzaniu obiektami GPO w Windows 2000 .........................463 Najlepsze praktyki dotyczące zasad grupy ..................................................463 Podsumowanie .............................................................................................464 Rozdział 8. Zaufanie ...................................................................................................465 Nowe funkcje zaufania w Windows Server 2003 ........................................466 Typy zaufania ...............................................................................................467 Międzydomenowe relacje zaufania Kerberos .............................................468 Skrót zaufania ...............................................................................................469 Zaufania Windows NT 4.0 ...........................................................................470 Z ....................................................................................................................471 Relacje zaufania z obszarem Kerberos innym niż Windows ......................473 Zaufanie lasu ................................................................................................474 Relacje zaufania ...........................................................................................474 Zalety zaufania lasu ......................................................................................475 Poziom funkcjonalności lasu i domeny .......................................................480 Zakres grupy .................................................................................................489 Typy grup .....................................................................................................489 Grupy przedsiębiorstwa ...............................................................................490 Funkcja wykazu globalnego .........................................................................491 Procedury tworzenia zewnętrznych relacji zaufania ...................................495 Tworzenie zewnętrznej relacji zaufania ......................................................497 Tworzenie zewnętrznego zaufania z domeną Windows NT 4.0 ................502 Spis treści 11 Zaufanie lasu ................................................................................................507 Przychodzące i wychodzące zaufania lasu ..................................................508 Uwierzytelnianie i autoryzacja między lasami ............................................510 Tworzenie zaufania lasu ...............................................................................511 Zabezpieczanie lasów w relacji zaufania między lasami przed atakiem podnoszącym uprawnienia ..............................................516 Zasady grupy w scenariuszach z lasem i wieloma lasami ...........................517 Zastosowanie konsoli GPMC w lasach wielodomenowych oraz w wielu lasach ..................................................................................518 Zastosowanie tabel migracji .........................................................................519 Przebijanie granic zabezpieczeń — zasadniczy problem przy projektowaniu lasu .....................................523 Filtrowanie identyfikatorów SID — przechwytywanie fałszywych identyfikatorów SID ................................................................................525 Uwierzytelnianie selektywne — firewall zaufania ......................................527 Najlepsze praktyki zaufania .........................................................................527 Podsumowanie .............................................................................................528 Rozdział 9. Usuwanie problemów z zasadami grupy .................................................529 Określanie, czy zostały zastosowane zasady grupy .....................................533 Zastosowanie konsoli GPMC .......................................................................533 Zastosowanie wynikowego zbioru zasad .....................................................537 Zastosowanie GPResult ...............................................................................539 Sprawdzanie, czy projekt zasad grupy został prawidłowo zaimplementowany ....................................................541 Rozwiązywanie problemów z siecią ............................................................552 Rozwiązywanie problemów z uwierzytelnianiem .......................................553 Rozwiązywanie podstawowych problemów z siecią ......................................553 Rozwiązywanie problemów z usługą DNS .................................................554 Zastosowanie DCDIAG oraz NetDiag do znalezienia problemów z usługą DNS ...............................................560 Zastosowanie programu Portqry .................................................................563 Ręczne wyszukiwanie problemów w rekordach DNS ...................................563 Wykorzystanie polecenia nslookup do testowania serwera DNS ...............563 Analizowanie zdarzeń z dziennika systemowego .........................................564 Rozwiązywanie problemów z replikacją usługi Active Directory oraz FRS ....................................................................................................565 Problemy z relacjami zaufania ......................................................................565 Problemy z replikacją usługi Active Directory ............................................566 Zastosowanie programu DNSLint do testowania replikacji .......................567 Wykorzystanie replmon.exe do kontroli replikacji ......................................569 Zastosowanie repadmin.exe do kontrolowania łączy między partnerami replikacji .............................571 Użycie aplikacji GPOTool.exe, Podgląd zdarzeń oraz konsoli GPMC do kontroli brakujących lub uszkodzonych plików ..................................577 Rozszerzone rejestrowanie ...........................................................................577 12 Bezpieczeństwo w Windows Server 2003. Kompendium Rozwiązywanie problemów z projektem obiektów zasad grupy ..................586 Monitorowanie stanu obiektów GPO ...........................................................588 Podsumowanie ..............................................................................................591 Rozdział 10. Zabezpieczanie usługi Active Directory .....................................................593 Fizyczne zabezpieczenie kontrolerów domeny .................................................595 Fizyczne bezpieczeństwo wszystkich kontrolerów domeny .......................595 Fizyczne bezpieczeństwo biur oddziałów i małych biur .............................602 Fizyczne bezpieczeństwo ekstranetów i sieci brzegowych .........................607 Tworzenie konfiguracji zabezpieczeń ..........................................................608 Podstawowa konfiguracja zabezpieczeń kontrolera domeny ......................609 Konfiguracja szablonów zabezpieczeń i zasad domeny ...............................610 Zasady lokalne ...............................................................................................617 Ustawienia dziennika zdarzeń ......................................................................624 Usługi systemowe .........................................................................................626 Rejestr i system plików .................................................................................627 Dodatkowa konfiguracja zabezpieczeń ........................................................630 Zapewnienie bezpiecznych praktyk administracyjnych ..............................630 Problemy z personelem ................................................................................631 Zabezpieczanie roli administratora ..............................................................631 Zabezpieczenie aplikacji oraz dostępu użytkowników do kontrolerów domeny ............................................................................636 Wdrażanie bezpiecznych kontrolerów domeny ...........................................637 Przygotowanie ...............................................................................................638 Automatyzacja instalacji kontrolera domeny ...............................................643 Bezpieczna replikacja ...................................................................................644 Podsumowanie ..............................................................................................645 Rozdział 11. Zabezpieczanie ról infrastruktury ..............................................................647 Szablony zabezpieczeń .................................................................................648 Jak korzystać z szablonów zabezpieczeń do zabezpieczenia komputerów według roli ............................................651 Tworzenie i modyfikowanie szablonów .......................................................654 Tworzenie podstawowych szablonów do zabezpieczania wszystkich serwerów ..................................................657 Przegląd przykładowych szablonów i ich dostosowanie do konkretnego środowiska ......................................................................659 Zastosowanie szablonów przyrostowych i innych technik do zapewnienia bezpieczeństwa komputerom infrastruktury .................671 Rozszerzanie koncepcji na inne role ............................................................684 Zastosowanie szablonów zabezpieczeń ........................................................685 Zastosowanie projektu Active Directory do zabezpieczenia ról komputerów ..........................................................685 Zastosowanie narzędzia Konfiguracja i analiza zabezpieczeń .....................687 Podsumowanie ..............................................................................................693 Spis treści 13 CZĘŚĆ IV Infrastruktura klucza publicznego 695 Rozdział 12. Infrastruktura PKI — podstawy ................................................................697 Wprowadzenie do infrastruktury PKI ..........................................................698 Procesy kryptograficzne klucza publicznego ...............................................698 Składniki infrastruktury PKI ........................................................................702 Architektura infrastruktury PKI w Windows Server 2003 ..........................711 Magazyn certyfikatów ...................................................................................712 Szablony certyfikatów ...................................................................................714 Zasady praktyk oraz pliki zasad praktyk .......................................................720 Urzędy certyfikacji ........................................................................................723 Hierarchia urzędów certyfikacji ...................................................................724 Lista odwołań certyfikatów (CRL) ................................................................728 Różnicowe listy CRL ....................................................................................730 Role urzędu certyfikacji ................................................................................731 Działanie usług certyfikatów ........................................................................735 Cykl życia certyfikatu ....................................................................................735 Podsumowanie ..............................................................................................758 Rozdział 13. Wdrażanie bezpiecznej infrastruktury PKI .................................................761 Instalowanie głównego urzędu certyfikacji w trybie offline ........................762 Przygotowanie serwera .................................................................................763 Tworzenie pliku capolicy.inf ........................................................................765 Instrukcja instalacji głównego urzędu certyfikacji w trybie offline ............766 K 770 Instalowanie i konfiguracja podrzędnego urzędu certyfikacji .....................784 Instalowanie podrzędnego urzędu certyfikacji ............................................785 Włączenie obsługi ASP dla serwera IIS .......................................................785 Zastosowanie własnych szablonów do konfigurowania archiwizacji kluczy dla EFS ..............................................803 Podsumowanie ..............................................................................................809 CZĘŚĆ V Zabezpieczanie sieci wirtualnej 811 Rozdział 14. Zabezpieczanie zdalnego dostępu ............................................................813 Zabezpieczanie tradycyjnych usług zdalnego dostępu ................................814 Bezpieczna instalacja usługi RRAS i przygotowanie usługi IAS systemu Windows Server 2003 ...............................................................................815 Instalowanie i konfigurowanie usługi RRAS ...............................................817 Instalowanie i konfigurowanie serwera IAS ................................................830 Konfigurowanie klientów na potrzeby korzystania ze zdalnego dostępu ..................................................................................836 14 Bezpieczeństwo w Windows Server 2003. Kompendium Określanie właściwości konta użytkownika pod kątem zdalnego dostępu ....................................................................836 Proces nawiązywania połączenia zdalnego dostępu .......................................848 Konfigurowanie uwierzytelniania i inspekcji dla serwerów RRAS i IAS .........................................................................849 Zastosowanie technologii VPN .....................................................................856 Protokół L2TP/IPSec oraz technologie NAT i NAT-T ................................859 Porty firewalla używane przez protokoły połączenia VPN .........................860 Kwarantannowa kontrola dostępu do sieci ..................................................861 Zabezpieczanie dostępu bezprzewodowego za pomocą usługi IAS ............868 Wbudowane funkcje zabezpieczeń protokołu 802.11 .................................868 Standard WPA ...............................................................................................870 Zastosowanie technologii VPN .....................................................................871 Zastosowanie standardu 802.1x ....................................................................872 Zabezpieczanie klientów bezprzewodowych ...............................................882 Zabezpieczanie dostępu do wewnętrznych zasobów udzielanego za pośrednictwem serwera WWW ...........................................................885 Podstawy dotyczące zabezpieczeń serwera WWW .....................................885 Kwestie związane ze zdalnym dostępem .....................................................891 Podsumowanie ..............................................................................................894 Rozdział 15. Ochrona przesyłanych danych ...................................................................895 Zastosowanie podpisywania pakietów SMB .................................................896 Zastosowanie zabezpieczania sesji protokołu NTLM ..................................897 Zastosowanie zasad protokołu IPSec ...........................................................897 Stosowanie protokołu IPSec w systemie Windows Server 2003 ................899 Tworzenie zasad protokołu IPSec ................................................................905 Operacje realizowane za pomocą specjalnych zasad protokołu IPSec .......924 Monitorowanie i diagnozowanie protokołu IPSec .......................................927 Zastosowanie protokołu SSL ........................................................................933 Zasady działania protokołu SSL ...................................................................933 Zastosowanie protokołu SSL w przypadku serwera IIS ..............................936 Podpisywanie przez serwer LDAP ...............................................................942 Podsumowanie ..............................................................................................945 CZĘŚĆ VI Konserwacja i przywracanie 947 Rozdział 16. Strategie konserwacyjne i praktyki administracyjne .................................949 Strategie konserwacyjne dotyczące zarządzania zmianami .........................950 Konserwacja zasady zabezpieczeń ...............................................................951 Aktualizowanie zabezpieczeń .......................................................................954 Strategie konserwacyjne dotyczące zarządzania poprawkami .....................958 Zarządzanie poprawkami ..............................................................................958 Stosowanie poprawek ...................................................................................962 Spis treści 15 Praktyki dotyczące zarządzania ....................................................................987 Zastosowanie praktyk dotyczących bezpiecznego zarządzania ...................987 Ochrona procesu administracyjnego ............................................................990 Ochrona kont administracyjnych ..................................................................990 Zabezpieczanie narzędzi służących do zdalnej administracji .....................991 Podsumowanie ............................................................................................1012 Rozdział 17. Archiwizacja i odtwarzanie danych — podstawy ...................................1013 Zasady, standardy i procedury dotyczące archiwizacji ..............................1015 Podstawowe informacje na temat archiwizowania bazy danych usługi Active Directory .....................................................1016 Rola archiwizacji w planie utrzymania ciągłości procesów biznesowych organizacji .........................................................................1018 Zastosowanie narzędzia Kopia zapasowa ...................................................1018 Archiwizowanie plików i folderów .............................................................1019 Archiwizowanie danych o stanie systemu ..................................................1025 Domyślne ustawienia programu Kopia zapasowa i jego opcje konfiguracyjne .....................................................................1027 Uruchamianie programu Kopia zapasowa z poziomu wiersza poleceń ....1030 Odtwarzanie plików i folderów ..................................................................1031 Odtwarzanie z kopii zapasowej danych o stanie systemu .........................1035 Automatyczne przywracanie systemu ........................................................1035 Usługa Kopiowanie woluminów w tle ........................................................1038 Tworzenie kopii woluminów w tle .............................................................1040 Odtwarzanie danych z kopii woluminów w tle ..........................................1044 Zarządzanie kopiami woluminów w tle z poziomu wiersza poleceń ........1045 Różne narzędzia archiwizacyjne .................................................................1046 Archiwizowanie danych istotnych dla użytkownika ....................................1047 Reanimowanie użytkowników z magazynu usuniętych obiektów .............1052 Odtwarzanie bazy danych usługi Active Directory ...................................1053 Normalne odtwarzanie ................................................................................1055 Odtwarzanie autorytatywne ........................................................................1055 Proces archiwizacji danych serwera IIS ....................................................1062 Archiwizowanie danych urzędu certyfikacji ..............................................1064 Podsumowanie ............................................................................................1066 CZĘŚĆ VII Monitorowanie i inspekcja 1067 Rozdział 18. Inspekcja .................................................................................................1069 Tworzenie zasad inspekcji Windows Server 2003 dla lasu ........................1072 Podstawy zasad inspekcji ............................................................................1073 Inspekcja autonomicznego komputera Windows Server 2003 ..................1092 16 Bezpieczeństwo w Windows Server 2003. Kompendium Inspekcja aplikacji i usług serwera .............................................................1093 Inspekcja usług sieciowych ........................................................................1093 Inspekcja protokołu IPSec ..........................................................................1097 Inspekcja urzędu certyfikacji ......................................................................1097 Inspekcja dostępu VPN ..............................................................................1098 Inspekcja menedżera autoryzacji ...............................................................1101 Rejestrowanie debugowania logowania do sieci ........................................1102 Inspekcja mechanizmów zabezpieczeń: zgodność z zasadami, określanie słabych punktów oraz testowanie przez penetrację ..............1103 Inspekcja konfiguracji zabezpieczeń z użyciem konsoli Konfiguracja i analiza zabezpieczeń .............................................................................1105 Inspekcja konfiguracji zabezpieczeń dla specyficznych komputerów ......1107 Wyszukiwanie znanych usterek zabezpieczeń ..........................................1109 Testowanie przez penetrację ......................................................................1114 Inspekcja zabezpieczeń fizycznych ............................................................1115 Inspekcja zasad, standardów oraz procedur ...............................................1116 Kontrola świadomości bezpieczeństwa ......................................................1117 Inspekcja osób obcych: wpływ osób postronnych na bezpieczeństwo danych organizacji .........1118 Podsumowanie ............................................................................................1118 Rozdział 19. Monitorowanie i ocena ...........................................................................1119 Definicja podstaw działania ........................................................................1120 Podstawy usług monitorowania ..................................................................1122 Monitorowanie serwera DNS i połączeń sieciowych ...................................1122 Monitorowanie serwera DHCP .................................................................1127 Monitorowanie infrastruktury PKI .............................................................1128 Monitorowanie routingu i zdalnego dostępu .............................................1130 Monitorowanie udziałów ............................................................................1132 Monitorowanie wszystkich aktywnych usług .............................................1133 Monitorowanie usługi Active Directory oraz zasad grupy ........................1134 Zastosowanie dcdiag do uzyskania ogólnego raportu o stanie kontrolera domeny ....................................................................1136 Monitorowanie replikacji usługi Active Directory ....................................1140 Monitorowanie replikacji plików ................................................................1147 Monitorowanie działania zasad grupy ........................................................1153 Zastosowanie monitorowania wydajności ..................................................1156 Monitorowanie dziennika zdarzeń .............................................................1162 Zastosowanie programu EventCombMT ...................................................1162 Zastosowanie programu Lockoutstatus ......................................................1164 Wprowadzenie do odpowiedzi na włamanie ..............................................1165 Podsumowanie ............................................................................................1167 Bibliografia ..............................................................................................1169 Skorowidz ................................................................................................1171 R O Z D Z I A Ł 4 . elem wielu obecnie przeprowadzanych ataków zakończonych powodzeniem jest warstwa aplikacji. Jest to wynikiem wykorzystywania luk występujących w oprogramowaniu innym niż system operacyjny. Choć tego typu ataki powodują spore problemy, wiele innych, równie poważnych jest wywoływanych przez przy- padkowe działania użytkowników, takie jak klikanie załączników do wiadomości pocztowych, pobieranie aplikacji z internetu i niewłaściwe korzystanie z nich. Wymienione operacje mogą doprowadzić do przypadkowego usunięcia danych, utraty ich integralności i dostępu do zaszyfrowanych danych. Choć trzeba zwięk- szać poziom zabezpieczeń w celu ochrony aplikacji przed szkodliwymi atakami, konieczne jest tworzenie oprogramowania pozbawionego luk i szkolenie użyt- kowników pod kątem podejmowania lepszych decyzji. Trzeba się też zastanowić nad tym, czy można lepiej projektować aplikacje i zarządzać nimi. Być może rozwiązaniem jest uniemożliwianie stosowania określonych aplikacji. Może powinno się tak konfigurować systemy, aby dozwolone było uruchamianie wyłącznie zaakceptowanego oprogramowania. To może być pomocne. W końcu, 186 Część II • Zabezpieczanie serwera gdy szkodliwy program nie może zostać uaktywniony, nie będzie w stanie spo- wodować szkód. Być może lepsze rezultaty od tworzenia kodu źródłowego apli- kacji zgodnie z regułami bezpieczeństwa przyniesie zastosowanie w oprogra- mowaniu środków pozwalających zarządzać na poziomie aplikacji prawami użytkownika i dostępem do zasobów. Można to osiągnąć przy użyciu składników systemu Windows Server 2003 takich jak: t Listy kontroli dostępu ACL plików, rejestru, drukarek i obiektów usługi Active Directory. Definiując dla pliku programu wykonywalnego odpowiednią listę ACL, uniemożliwi się jego uruchomienie przez nieupoważnione osoby. Z kolei konfigurując listy ACL plików, obiektów usługi Active Directory i rejestru, można zapobiec wykonywaniu przez nieupoważnione osoby określonych zadań za pomocą aplikacji, a także uniemożliwić im kopiowanie plików w inne miejsca dysku twardego. Listy ACL plików i rejestru wstępnie omówiono w rozdziale 3. Więcej informacji na ich temat można znaleźć w rozdziale 5. t Narzędzie Menedżer autoryzacji. Będące nowością w systemie Windows Server 2003 narzędzie umożliwia projektantom uwzględnianie w tworzonych aplikacjach modelu zabezpieczeń opartego na rolach. Zarządzanie przez administratorów eksploatacją takiej aplikacji polega na dodawaniu użytkowników do grup systemu Windows, a także grup aplikacji, podstawowych grup aplikacji i grup kwerend LDAP. Narzędzie Menedżer autoryzacji pozwala również decydować o tym, kto będzie mógł uaktywniać określone składniki aplikacji funkcjonującej w systemie. t Zasady ograniczeń oprogramowania. Tego typu zasady, będące nowością w systemach Windows XP Professional i Windows Server 2003, umożliwiają blokowanie uruchamiania wybranych aplikacji lub mogą być użyte do tego, aby na komputerze mogło być uaktywniane wyłącznie zidentyfikowane oprogramowanie. t Konsola Usługi składowe — uprawnienia i role dla aplikacji COM+. Aplikacje mogą być zarządzane za pomocą narzędzia Usługi składowe. Aby aplikacje COM+ były w pełni efektywne, trzeba je projektować z uwzględnieniem zdefiniowanych ról. W przeciwnym razie administrator będzie jedynie mógł modyfikować uprawnienia związane z uruchamianiem i poziomy uwierzytelniania. Nowością w systemie Windows Server 2003 jest możliwość określenia poziomu zabezpieczeń ograniczających aplikację COM+ bezpośrednio w oknie jej właściwości. t Przystawka Zasady grupy. Wiele aplikacji może być zarządzanych za pomocą przystawki Zasady grupy. Odpowiednie ustawienia nadzorujące systemowe aplety są zlokalizowane w węźle Szablony administracyjne znajdującym się w oknie przystawki Zasady grupy. Rozdział 4. • Ograniczanie dostępu do oprogramowania 187 Dla produktów takich jak Microsoft Office są dostępne specjalne szablony administracyjne. Korzystanie z szablonów zawartych w oknie przystawki Zasady grupy omówiono w rozdziale 7. t System EFS (Encrypting File System). Pliki aplikacji mogą być szyfrowane za pomocą systemu EFS. Podstawowe informacje na jego temat zamieszczono w rozdziale 6. Do trzech podstawowych narzędzi zarządzających oprogramowaniem w systemie Windows Server 2003 zaliczają się: program Menedżer autoryzacji, zasady ograni- czeń oprogramowania i konsola Usługi składowe. W niniejszym rozdziale opisano je i wyjaśniono, w jaki sposób ich używać. Narzędzie Menedżer autoryzacji umożliwia projektowanie aplikacji RBAC (Role- -Based Access Control) kontrolujących dostęp w oparciu o role, a także pozwala na administrowanie nimi. Tworząc aplikacje RBAC i definiując używane przez nie role użytkowników, projektanci korzystają z interfejsu API (Application Pro- gramming Interface) narzędzia Menedżer autoryzacji. Aby móc zarządzać aplika- cjami, co polega na przypisywaniu grupom użytkowników definicji ról, administra- torzy posługują się przystawką Menedżer autoryzacji konsoli MMC (Microsoft Management Console). Zanim będzie można administrować aplikacjami RBAC, trzeba zrozumieć, w jaki sposób są projektowane i jak działają. Kluczem do opanowania narzędzia Mene- dżer autoryzacji jest uświadomienie sobie, że w jego przypadku odpowiedzialność za podział dostępu do zasobów przechodzi z administratora na aplikację. Aplikacja zgodna z narzędziem Menedżer autoryzacji jest tak zaprojektowana, aby reagować na rolę użytkownika, który z niej korzysta. Rola, będąca częścią aplikacji, ma na celu przekazanie praw i uprawnień zezwalających posiadaczowi roli wykonać powierzone mu zadania i nic ponadto. Przykładowo, rola może umożliwiać uaktywnianie wybranych składników aplikacji, a także pozwalać na odczyt określonych danych i jednocześnie zapisywanie, usuwanie lub przetwarza- nie innych danych. Początkowo można odnieść wrażenie, że rola umożliwia pro- jektantowi sprawowanie nadzoru nad zasobami komputera. Jednak w przypadku właściwie zarządzanego środowiska projektowania programiści bazują na spe- cyfikacjach opracowanych przez właścicieli danych i muszą ich przestrzegać. Przykładowo, aplikacja stworzona w celu drukowania listy płac może dyspono- wać rolą pracownika i kierownika, którzy są za to odpowiedzialni. Pracownicy działu obsługującego listy płac muszą przygotować specyfikacje określające, na 188 Część II • Zabezpieczanie serwera wykonanie jakich operacji w programie poszczególne role zezwalają, a także jakie pliki i drukarki zostaną udostępnione rolom użytkowników. Kierownictwo działu zatwierdza następnie specyfikacje i powiadamia informatyków, którym pracow- nikom i jakie powinni przydzielić role. Administrator systemu zarządza aplikacją, przypisując jej role odpowiednim użytkownikom. Dla porównania, zwykła aplikacja kiepsko sobie radzi z nadawaniem i odbiera- niem dostępu do zasobów. Taka aplikacja postrzega magazyn danych jako „szary krajobraz” złożony z obiektów, które mogą być przetwarzane lub nie, co przede wszystkim zależy od kontekstu zabezpieczeń użytkownika. Gdy zwykła aplikacja musi komunikować się z wewnętrznymi procesami komputera, przełącza kon- tekst i działa zgodnie z tym, jak ją zaprogramowano, ignorując kontekst zabezpie- czeń użytkownika. A zatem zarządzanie taką aplikacją jest ułomne. Upoważnia- nie do uruchomienia aplikacji jest niezależne od praw dostępu do zasobów. Aby zarządzać zwykłymi aplikacjami, administrator systemu musi jedynie zdecydo- wać, kto będzie mógł je uaktywniać. Oddzielnie zarządza się zasobami, do któ- rych program będzie mógł uzyskać dostęp. Administrator chroni zasoby, okre- ślając, jakie prawa powinny być użytkownikowi nadane lub odebrane i do których obiektów powinno mu się udzielić dostępu. Autoryzacja powiązana z aplikacją i zasobami jest rozłączona. Co więcej, choć administrator może przypisać użyt- kownikowi uprawnienie pozwalające mu uruchamiać określony program, może nie być w stanie przydzielić mu prawa do uaktywniania wybranego składnika aplikacji i jednocześnie zablokować dostęp do jej pozostałych komponentów. Istnieją wyjątki. Zarówno programy bazodanowe, jak i aplikacje COM+ mogą dysponować rolami, które zdefiniowano w ich strukturze. Administratorzy bazy danych przypisują użytkownikom role bazodanowe. W dobrze zdefiniowanym i dość statycznym środowisku administrator systemu może radzić sobie z zarządzaniem zwykłą aplikacją i zadaniami związanymi z nada- waniem praw i uprawnień. W dobrze zarządzanym środowisku właściciele danych określają, kto i jak może je przetwarzać, natomiast administrator jest w stanie do tych wymagań dostosować model uwierzytelniania stosowany przez system ope- racyjny. W dość statycznym środowisku zmiany zachodzą powoli, dlatego dyspo- nuje się czasem pozwalającym na podjęcie decyzji dotyczących nowych aplikacji i rozważenie ich wpływu na starsze programy. Jednak wiele organizacji nie po- siada dobrze zdefiniowanego lub w miarę statycznego środowiska. Zmiany zacho- dzą w nich szybko, natomiast posiadacze danych i administratorzy czasami nie współpracują ze sobą odpowiednio. Ponadto często akceptuje się aplikacje, które wymagają zwiększenia przywilejów, nie dlatego, że są im niezbędne do funkcjo- nowania, ale ze względu na to, że są kiepskiej jakości. Receptą na udane zastosowanie narzędzia Menedżer autoryzacji jest uświado- mienie sobie, że nie rozwiąże ono problemów powstałych w przeszłości. Nie może zarządzać nieobliczalnymi aplikacjami lub w magiczny sposób sprawić, że Rozdział 4. • Ograniczanie dostępu do oprogramowania 189 administrator zostanie zwolniony z obowiązku nadawania praw i uprawnień. Na- rzędzie Menedżer autoryzacji jest w stanie zaoferować infrastrukturę, z myślą o której mogą być projektowane aplikacje. Infrastruktura pozwoli zmienić model zarządzania, którym posługiwał się dotąd administrator. W przypadku aplikacji zgodnych z narzędziem Menedżer autoryzacji administrator nie musi udzielać do- stępu do obiektów poszczególnym użytkownikom lub grupom. Wystarczy, że do- stosuje się do specyfikacji właścicieli aplikacji, w której określą, kto i jaką może w nich pełnić rolę. Jeśli takie rozwiązanie jest zadowalające, trzeba będzie rozpocząć współpracę z właścicielami danych i projektantami aplikacji, aby uzyskać programy, które będą mogły być zarządzane za pomocą narzędzia Menedżer autoryzacji. Omawia- nie tworzenia aplikacji RBAC wykracza poza zakres książki, natomiast zarządza- nie nimi przy użyciu narzędzia Menedżer autoryzacji będzie tu omówione. Może się okazać, że zostanie się poproszonym o administrowanie tego typu aplikacją lub będzie się miało duży wpływ na to, czy tworzone aplikacje będą zgodne z na- rzędziem Menedżer autoryzacji, a tym samym czy zapewnią kontrolę dostępu opartą na rolach. UWAGA: Dostępność narzędzia Menedżer autoryzacji w przypadku innych wersji systemu Windows Interfejs API narzędzia Menedżer autoryzacji dla systemu Windows 2000 umoż- liwiający tworzenie aplikacji RBAC można pobrać pod adresem http://www. microsoft.com/downloads/details.aspx?FamilyID=7edde11f-bcea-4773-a292- -84525f23baf7 display-lang=en. Aplikacje zgodne z tym narzędziem mogą być zarządzane wyłącznie za pomocą przystawki Menedżer autoryzacji ofero- wanej przez system Windows Server 2003 lub Windows XP Professional (z za- instalowanym pakietem Windows Server 2003 Administration Tools Pack). Aby możliwe było utworzenie w bazie danych usługi Active Directory maga- zynów narzędzia Menedżer autoryzacji, dla domeny musi być ustawiony po- ziom funkcjonalności systemu Windows Server 2003. KONTROLA DOSTĘPU W SYSTEMIE WINDOWS OPARTA NA ROLACH Bez wymogu użycia narzędzia Menedżer autoryzacji kontrola dostępu oparta na rolach jest dostępna w systemach Windows wykorzystujących technologię NT. Zastosowanie tego typu kontroli w poprzednich wersjach systemu Windows wymagało od admini- stratorów zdefiniowania ról. W tym celu musieli wykonać następujące operacje: t Utworzenie grup systemu Windows. t Przypisanie grupom odpowiednich praw użytkownika. t Zdefiniowanie list kontroli dostępu ACL dla zasobów takich jak pliki, foldery, klucze rejestru i obiekty usługi Active Directory. 190 Część II • Zabezpieczanie serwera t Dodanie kont do utworzonych grup lub ich usunięcie, gdy poszczególne osoby zaczynają pracę w firmie lub z niej odchodzą bądź zmieniają stanowiska. t Uwzględnienie w aplikacjach niestandardowych ról w ramach współpracy z programistami. Dotyczy to aplikacji .NET, aplikacji COM+ i programów opartych na starszych modelach programistycznych. Nie ma nic złego w tego typu modelu postępowania. Jednak powodzenie jego wdro- żenia w dużej mierze zależało od zarządzania uprawnieniami dużej liczby obiektów. Gdy jest to dobrze robione, użytkownicy mogą wykonywać powierzone im obowiązki. Ale gdy tak nie jest, niewłaściwe osoby często uzyskują dostęp, którym nie powinny dysponować, natomiast użytkownicy faktycznie wymagający praw i uprawnień mogą nie być w stanie pracować. Frustracja staje się częścią dnia każdego administratora i użyt- kownika. Ostatecznie w zabezpieczeniach mogą zostać utworzone luki tylko dlatego, aby użytkownicy mogli wykonać swoje zadania. Skalowanie tego typu modelu jest szcze- gólnie utrudnione, gdy ma miejsce wysoki poziom zmian kadrowych i szybko pojawiają się nowe stanowiska. Choć model jest bardzo elastyczny i w zakresie uprawnień do obiek- tów umożliwia szczegółową kontrolę, nie pozwala na precyzyjne zarządzanie sposobem wykorzystania oprogramowania. Problem nie polegał na konieczności znalezienia metody kontrolowania aplikacji RBAC, ale bardziej na tym, w jaki sposób powinny być realizowane następujące zadania: t Definiowanie ról. Kto, co, na jakich komputerach i za pomocą jakich aplikacji może robić? Czym się zajmują poszczególne osoby? t Translacja pełnionej funkcji na zestaw uprawnień do obiektów. Które programy wymagają dostępu do których plików, drukarek lub kluczy rejestru w przypadku poszczególnych ról? t Zdefiniowanie odpowiedzialności za odwzorowywanie funkcji, praw, uprawnień. Kto powinien się tym wszystkim zająć? t Określenie odpowiedzialności za wdrażanie, zarządzanie i audyt ról, a także ich przypisywanie. Kto tak naprawdę powinien konfigurować komputer, sprawdzać, czy wszystko działa zgodnie z oczekiwaniami, i przeprowadzać inspekcję ról i ich przydzielania? Czy właściwym osobom przypisano odpowiednie role? Czy role prawidłowo zdefiniowano? Narzędzie Menedżer autoryzacji zwalnia administratora systemu z konieczności defi- niowania szczegółów związanych z rolami. Projektanci tworzą aplikacje posiadające role zdefiniowane na podstawie specyfikacji dostarczonych przez osoby wiedzące, w jaki sposób nowe programy powinny funkcjonować. W ramach definicji ról aplikacji pro- jektanci przypisują uprawnienia do obiektów i prawa umożliwiające jej uruchamianie. Po zdefiniowaniu rola może zostać przydzielona grupie. Aby użytkownikom lub człon- kom grup systemu Windows umożliwić wykonanie powierzonych zadań, administrato- rzy muszą jedynie dodać ich do grup, którym przypisano role. Administratorzy i właści- ciele danych mogą brać udział w projektowaniu aplikacji i jej ról. Właściciele danych określają, jakie role zostaną przydzielone osobom pracującym w organizacji. Rozdział 4. • Ograniczanie dostępu do oprogramowania 191 Dla porównania, listy ACL próbują zarządzać ograniczeniami dotyczącymi aplikacji, ustawiając uprawnienia takie jak „wykonaj” lub „zablokuj możliwość wykonania”. W przypadku zasad ograniczeń oprogramowania wykorzystuje się specjalne wyznaczni- ki, które zezwalają na uruchomienie aplikacji lub to uniemożliwiają. Aplikacje zgodne z narzędziem Menedżer autoryzacji definiują role, które następnie są tak ograniczane, że pozwalają na wykonanie w programie niektórych operacji. W przypadku autoryzacji nie tylko określa się, kto może uruchomić aplikację, ale również jaka rola zostanie mu w niej przydzielona. Oznacza to, że użytkownicy nie tylko są ograniczeni do korzystania z wybranych aplikacji, ale też mogą uaktywniać jedynie niektóre ich składniki. Dla ról można także o
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

Bezpieczeństwo w Windows Server 2003. Kompendium
Autor:

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: