• Включить NTP-клиент Windows – изменяет значение параметра Enabled, расположенного В ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ Microsoft\W32Time\TimeProviders\NtpClient. Политика позволяет запретить или разрешить использование клиента NTP на локальном компьютере (то есть определить, может ли данный компьютер получать сведения точного времени).
• Включить NTP-сервер Windows – изменяет значение параметра Enabled, расположенного В ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ Microsoft\W32Time\TimeProviders\NtpServer. Политика дает возможность запретить или разрешить использование сервера NTP на локальном компьютере (то есть определить, может ли данный компьютер предоставлять сведения точного времени).
WMI Performance Adapter
Тип запуска: вручную.
Учетная запись: система.
Дополнительные привилегии: нет.
Файлы службы: нет.
Исполняемый файл: %systemroot%\system32\wbem\WmiApSrv.exe.
Подраздел реестра: wmiApSrv.
Службы, необходимые для работы данной: нет.
Обеспечивает работу библиотеки WMI для клиентов сети.
Глава 7 Администрирование Windows Vista
• Настройка разрешений и аудит доступа
• Архивирование и восстановление
• Диагностика компонентов операционной системы
• Шифрование
• Работа с драйверами
• Работа с файловой системой
• Работа с принтерами
• Другие вопросы администрирования
В предыдущих главах мы рассмотрели основные программы операционной системы Windows Vista, оснастки, а также службы данной операционной системы. Сейчас же будут более подробно рассмотрены способы решения некоторых задач, которые могут возникнуть перед администратором Windows Vista.
7.1. Настройка разрешений и аудит доступа
По сравнению с предыдущими версиями операционных систем семейства Windows, настройка разрешений на доступ к файлам и ветвям реестра в Windows Vista совершенно не изменилась: окна операционной системы и механизмы изменения остались те же, настройки безопасности по-прежнему основаны на SID учетной записи пользователя.
Примечание
SID представляет собой 48-битный код, который идентифицирует такие объекты операционной системы, как учетные записи пользователей, группы, компьютеры, домены и члены доменов. SID компьютера генерируется при инсталляции операционной системы и используется при генерации SID учетных записей локального компьютера: для создания SID учетной записи к SID компьютера добавляется уникальный на компьютере RID. При этом существует несколько RID, которые на любом компьютере идентифицируют одну и ту же учетную запись. Например, RID 500 идентифицирует учетную запись администратора, a RID 501 – учетную запись гостя.
Каждый SID начинается с буквы S, после которой указываются следующие элементы, разделенные дефисом: номер версии (как правило, 1), код агента идентификатора (как правило, 5), четыре кода субагентов, идущие подряд, и на последнем месте RID.
Однако теперь права администраторов на доступ к файлам и ветвям реестра по умолчанию несколько урезаны.
Реализация защиты
Подсистема защиты в операционных системах семейства Windows основана на SID, маркерах и дескрипторах защиты. Описание SID было приведено выше, сейчас же мы рассмотрим реализацию двух других терминов.
Маркер доступа
Маркер доступа представляет собой набор сведений, присваиваемых любому процессу при его создании и определяющих те операции, которые процесс может выполнять. Он содержит следующую информацию.
• Привилегии, которые предоставлены процессу или потоку (эта информация необходима для определения тех операций, которые может выполнять процесс в операционной системе).
• Тип олицетворения, если маркер является олицетворяющим (эта информация необходима для определения тех прав, которые будут заимствоваться процессом у другого процесса).
Примечание
Олицетворение позволяет одному процессу заимствовать права другого (как будто он имеет маркер доступа другого процесса). Например, олицетворение часто применяется в клиент-серверных приложениях, где сервер может применять олицетворение для получения доступа к ресурсам компьютера от имени клиента (и с его правами доступа). При этом процесс, получивший олицетворяющий маркер (в нашем примере сервер), не может передавать его другому процессу.
Существует несколько уровней олицетворения: anonymous (олицетворение запрещено), identification (можно получать SID и привилегии клиента, но олицетворять клиента запрещено), impersonation (можно как идентифицировать, так и олицетворять клиента) и delegation (позволяет олицетворять клиента как на локальном, так и на удаленном компьютере). Вы уже встречались с этими уровнями при описании оснастки Службы компонентов.
• Информацию о том, кто создал данный маркер (диспетчер сеансов, RPC-cepвер и т. д.).
• DACL по умолчанию (эта информация необходима для определения тех атрибутов защиты, которые будут присваиваться создаваемым с помощью данного маркера объектам, если дескриптор защиты для создаваемого объекта не определен, и объект не наследует DACL родительского объекта).
• Сведения об учетной записи, которой принадлежит маркер, и группах, в которые входит данная учетная запись (эта информация необходима для определения прав доступа процесса к требуемым ему объектам).
Поскольку маркер содержит переменные сведения (набор привилегий и групп), его длина не является постоянной.
Начальный маркер доступа создается во время входа пользователя в систему и присваивается начальному процессу userinit.ехе. Этот процесс запускает все основные процессы пользователя, а поскольку маркер доступа родительского процесса передается и процессам, которые он создает (дочерним процессам), все процессы, создаваемые пользователем, имеют один и тот же маркер доступа.
Кроме основных маркеров доступа и маркеров олицетворения, в операционных системах семейства Windows могут использоваться ограниченные маркеры. Ограниченным называется такой маркер, выданный дочернему процессу, в котором отсутствует какая-нибудь привилегия родительского маркера.
Дескрипторы защиты
Если маркер доступа выдается процессу и определяет те права, которыми обладает запущенный процесс, то дескриптор защиты выдается объектам операционной системы (файлы, каталоги) и определяет тех пользователей, которые могут получить доступ к объекту, а также права, которыми эти пользователи обладают. Дескриптор защиты состоит из следующих элементов.
• DACL (список управления избирательным доступом) – определяет пользователей, которые могут получить доступ к данному объекту, и их права. Каждый АСЕ (элемент списка DACL) содержит SID учетной записи пользователя или группы, маску доступа, а также флаги наследования (определяют, был ли данный АСЕ унаследован от DACL родительского объекта и будет ли он наследоваться DACL дочерних объектов). При этом АСЕ может быть четырех основных типов.
– Доступ разрешен (access allowed). Разрешает пользователю, определенному SID, права доступа к объекту, определенные в маске доступа.
– Доступ отклонен (access denied). Запрещает пользователю, определенному SID, права доступа к объекту, определенные в маске доступа.
– Разрешенный объект (allowed-object). Данный тип АСЕ используется в Active Directory и применяется для разрешения доступа к объектам и подобъектам каталога.
– Запрещенный объект (denied-object). Данный тип АСЕ используется в Active Directory и применяется для запрещения доступа к объектам и подобъектам каталога.
Если дескриптор защиты не содержит DACL, то любой пользователь может получить доступ к данному объекту. Если же дескриптор защиты содержит пустой DACL (не имеющий ни одной записи АСЕ), то доступ к объекту запрещен всем пользователям.
Если же DACL включает в себя множество АСЕ, определяющих доступ одному и тому же пользователю, то определить, сможет ли в результате пользователь получить доступ к объекту, бывает очень сложно. В этом случае проще воспользоваться вкладкой Действующие разрешения окна Дополнительные параметры безопасности. С ее помощью можно просуммировать все запрещающие и разрешающие АСЕ для учетной записи пользователя и групп, в которые он входит, и определить текущие разрешения для данного пользователя.
• SACL (системный список управления доступом) – определяет пользователей, для которых установлен аудит доступа, а также те операции, совершаемые пользователем над объектом, которые будут подлежать аудиту. Список SACL может содержать АСЕ двух типов: системного аудита и объекта системного аудита. Каждый АСЕ включает в себя SID учетной записи пользователя, GUID-объекта, к которому применим АСЕ, а также флаги наследования.
Если дескриптор защиты не содержит SACL, то аудит работы с объектом не ведется.
DACL и SACL являются составными частями списка управления доступом (ACL). Данный список (а также DACL и SACL) состоит из элементов, называемых АСЕ. Работа с DACL и SACL в операционной системе Windows Vista будет описана далее в этой главе.
Привилегии и права
При описании маркеров доступа мы определили, что они могут содержать информацию о привилегиях, предоставляемых процессу. Привилегии – это права определенной учетной записи (или службы, о чем было описано в гл. 6), позволяющие ей выполнять те операции в операционной системе, которые по умолчанию выполнять запрещено.
Мы уже сталкивались с привилегиями, когда рассматривали оснастку Редактор объектов групповой политики, хотя тогда было упомянуто о них лишь мельком, даже не говорилось о том, что это привилегии.
Привилегии операционной системы
Добавлять и удалять привилегии можно как с помощью API-функций, так и с помощью оснастки Редактор объектов групповой политики. Для этого применяется подраздел оснастки Конфигурация компьютера