Компьютеры и Интернет
Адекватная безопасность информации и информационных систем является одной из основных управленческих обязанностей. Почти все приложения, связанные с финансами, конфиденциальностью, безопасностью или защитой, включают в себя ту или иную форму контроля доступа (авторизации). Контроль доступа связан с определением разрешенных действий законных пользователей, опосредующих каждую попытку пользователя получить доступ к ресурсу в системе.
В некоторых системах полный доступ предоставляется после успешной аутентификации пользователя, но большинство систем требуют более сложного и сложного управления. Помимо механизма аутентификации (например, пароля), контроль доступа связан с тем, как структурированы авторизации. В некоторых случаях авторизация может отражать структуру организации, в то время как в других она может основываться на уровне чувствительности различных документов и уровне допуска пользователя к этим документам.
Управление доступом – это общий термин, описывающий, как администраторы могут обеспечить безопасный доступ к объектам в Active Directory. Термин контроль доступа также используется для платформ Windows Server и Windows 7, чтобы описать, как файлы и папки могут быть защищены с помощью файловой системы NTFS, а также как можно контролировать доступ к сетевым ресурсам, общим папкам, принтерам и другим объектам.
Как это работает
Управление доступом может быть применено к любому объекту в Active Directory, но чаще всего оно применяется к группе или контейнеру. Управление доступом к объектам каталога осуществляется главным образом путем назначения разрешений и прав.
Разрешения назначаются объекту, чтобы определить, кто может получить доступ к этому объекту и на каком уровне. Разрешения могут быть установлены администратором или владельцем объекта. Вид разрешения, которое может быть применено, зависит от типа рассматриваемого объекта. Некоторые объекты, к которым могут быть применены разрешения, включают в себя:
- Объекты файловой системы NTFS, такие как файлы, папки и тома.
- Локальные системные объекты, такие как процессы и программы.
- Локальные объекты или объекты Active Directory, такие как пользователь, группа или принтер.
Вопрос наследования связан с разрешениями. Когда разрешения назначаются папке на томе NTFS, они также наследуются по умолчанию всеми существующими дочерними папками и файлами внутри папки, а также любыми новыми дочерними папками или файлами, созданными позже. Аналогично, когда разрешения назначаются контейнеру в Active Directory, они также наследуются по умолчанию всеми существующими дочерними объектами в контейнере и любыми новыми дочерними объектами, созданными позже.
Права назначаются учетным записям пользователей или групп для предоставления им полномочий на выполнение определенных системных задач, таких как резервное копирование тома, завершение работы системы или интерактивный вход в консоль. Права чаще всего назначаются группам, а не отдельным пользователям для упрощения администрирования. Права могут быть указаны как на локальном, так и на доменном уровне.
Еще одним аспектом контроля доступа является вопрос собственности. Когда пользователь создает объект в Active Directory или файл на томе NTFS, он становится владельцем этого объекта или файла. Владелец имеет право устанавливать и изменять разрешения объекта. Каждый объект в Active Directory и каждый файл или папка на томе NTFS имеют владельца.
Еще одним аспектом контроля доступа является проблема аудита. Файлы и папки на томе NTFS могут быть проверены, чтобы отслеживать сбои или успехи в доступе к ним. Это может быть важно при обнаружении нарушений безопасности в вашей сети.
При назначении разрешений объектам в Active Directory их можно назначить либо самому объекту (и, следовательно, всем его атрибутам), либо конкретным атрибутам объекта. Например, можно разрешить всем пользователям иметь доступ в Active Directory на чтение атрибутов номера телефона пользователей, при этом предоставив доступ на чтение и запись только для этой группы сотрудников, чтобы они в случае необходимости могли изменять номера телефонов пользователей.
Состояние контроля доступа считается безопасным, если никакое разрешение не может быть передано неавторизованному или незваному участнику. Для обеспечения безопасности системы контроля доступа необходимо убедиться, что конфигурация контроля доступа (например, модель контроля доступа) не приведёт к утечке разрешений на несанкционированный принцип. Несмотря на то, что общий расчет безопасности доказан неразрешимым, существуют практические механизмы для достижения требования безопасности, такие как ограничения безопасности, встроенные в механизм. Системы контроля доступа имеют широкий спектр функций и административных возможностей, и операционное воздействие может быть значительным. В частности, это влияние может касаться административной и пользовательской производительности, а также способности организации выполнять свою миссию.
