Да се ​​разреши използването на запазените идентификационни данни. Защо трябва да следите профилите на администратора

В предишни статии относно политиките за местна сигурност научихте за принципите на политиката на профила и одитните политики. С придобитите знания можете значително да защитите акредитацията на вашите потребители и да проследите опитите за неоторизиран достъп. Струва си да се отбележи, че потребителите нямат достатъчна база от знания за сигурността и дори обикновеният потребител може да има достатъчно привилегии, за да повреди тяхната система и дори компютрите във вашия интранет. Местните политики за сигурност могат да помогнат за избягване на такива проблеми, като зададат потребителски права, които всъщност ще бъдат обсъдени в тази статия. С правилата за присвояване на потребителски права можете да определите сами кои потребители или групи потребители ще получат различни привилегии и привилегии. С тези правила не е нужно да се притеснявате, че потребителите ще изпълняват действия, които не трябва да правят. За да зададете права, са налице 44 политики за сигурност, чието прилагане ще бъде обсъдено по-късно.

Политики за присвояване на потребителски права

Както бе споменато по-горе, има 44 политики за сигурност за задаване на потребителски права. След това ще можете да видите осемнадесетте правила за сигурност, които са отговорни за възлагането на различни права на потребители или групи във вашата организация.

1. Архивиране на файлове и директории, Като използвате това правило, можете да посочите потребители или групи за извършване на операции по архивиране на файлове, директории, ключове в системния регистър и други обекти, които трябва да бъдат архивирани. Това правило ви дава достъп до следните разрешения:
   • Преглеждане на папки / Изпълняване на файлове
   • Съдържание на папки / Данни за четене
   • Четене на атрибути
   • Четене на разширени атрибути
   • Четете разрешения

На работни станции и сървъри, тези привилегии се предоставят на групи "Администратори"  и "Backup оператори", и на домейн контролери - "Backup оператори"  и "Сървърни оператори".

Спамерът автоматично сканира всички входящи имейли и изпраща спам съобщения в специална папка за по-нататъшна проверка. Чатът е интернет връзка, която осигурява предаването на текстови съобщения в реално време от изпращача до получателя. Често съобщенията обикновено са кратки, за да могат другите участници да реагират бързо. Това ще направи разговорен разговор подобен, този инструмент е привлекателно място за кибер-атаки да се спукат и данни.

Днес повечето платформи за чат и сайтовете за незабавни съобщения са отлично място за измама, а рискът, който идва от други потребители е много висок и изглежда така. Е-мейл съобщенията, прикачените файлове или фишингът на незабавни съобщения могат да бъдат атакувани в чат стая. Злонамерените потребители могат да използват чат стаи, за да насочват действителните потребители към фалшива уеб страница, за да откраднат своите идентификационни данни. Това може да доведе до хакерство на компютъра или мрежата на потребителя. , Що се отнася до сигурността на вашия компютър, това е същото като зоната на играта.

2. Заключете страниците в паметта, С помощта на тази политика за сигурност, можете да посочите конкретните потребители или групи, които имат право да използват този процес, за да запазите данните в физическа памет, за да се предотврати изхвърлянето на данни, за да виртуална памет на diske.Po подразбиране, както на работни станции и сървъри, никой група няма разрешителни за това.
3. Възстановяване на файлове и директории, Това правило ви позволява да посочите потребители и групи, които могат да изпълняват възстановяване на файлове и папки, заобикаляйки блокирани файлове, директории, ключове в регистъра и други обекти, разположени в архивирани версии faylov.Na привилегии работни станции и сървъри на данни, предоставени на групи "Администратори"  и "Backup оператори", и на домейн контролери - "Backup оператори"  и "Сървърни оператори".
4. Влезте като партида работа, Когато създавате задание, използвайки планиращия задача, операционната система регистрира потребителя в системата като потребител с партиден вход. Това правило позволява на група или конкретен потребител да влезе с този метод. По подразбиране, както на работни станции, така и на контролери на домейни, тези привилегии се предоставят на групи "Администратори"  и "Backup оператори".
5. Влизане като услуга, Някои системни услуги се логват в операционната система под различни сметки. Например, услуга Windows аудио  тече под сметката "Местна услуга", сервиз "Телефония"  използва профил Мрежова услуга, Тази политика за сигурност определя кои служебни профили могат да регистрират процеса като услуга. По подразбиране нито на работната станция, нито на сървърите нито една от групите няма разрешение за това.
6. Изпълнете задачи за поддръжка на силата на звука, С използването на тези правила можете да посочите потребители или групи, чиито членове могат да извършват операции, предназначени за обслужване на обеми. Потребителите, които имат такива привилегии, имат право да четат и променят исканите данни след откриването на допълнителни файлове, те също могат да сърфират в дисковете и добавяне на файлове към паметта, използвана от друг dannymi.Po подразбиране, тези права имат само администраторите работни станции и домейн контролери.
7. Добавете работни станции към домейна, Това правило е отговорно за това потребителите или групите да могат да добавят компютри към домейна на Active Directory. Потребител с тези права може да добави до десет компютъра към домейна. По подразбиране всички удостоверени потребители могат да добавят до десет компютъра в домейн контролери.
8. Достъп до мениджъра на удостоверенията от името на доверения викащ, Credential Manager е компонент, предназначен за съхраняване на идентификационни данни, като потребителски имена и пароли, използвани за влизане в уеб сайтове или други компютри в мрежата. Тази политика се използва от Диспечер на идентификационни данни по време на архивиране и възстановяване, както и че не е желателно да се предвиди polzovatelyam.Po подразбиране, както на работни станции и сървъри, никой от групата не е нужно разрешение.
9. Достъп до компютъра от мрежата, Тази политика за сигурност е отговорна за разрешаването на потребителите на компютри да се свързват с посочените потребители или групи в мрежата. На работни станции и сървъри тези права се предоставят на групи "Администратори"  и "Backup оператори", "Потребители"  и "Всички", На домейн контролери - "Администратори", "Потвърдени потребители", "Enterprise Domain Controllers"  и "Всички".
10. Изключете системата, Като използвате тази настройка на правилата, можете да съставите списък с потребители, които имат право да използват командата "Завършване на работата"  след успешно влизане. На работни станции и сървъри, тези привилегии се предоставят на групи "Администратори", "Backup оператори"  и "Потребители"  (само на работни станции) и на домейн контролери - "Администратори", "Backup оператори", "Сървърни оператори"  и "Печатни оператори".
11. Заредете и разтоварвайте драйверите на устройства, С помощта на настоящата политика, можете да укажете на потребителите, които ще бъдат предоставени на правото на динамично натоварване и разтоварване на драйвери на устройства в режим на ядрото, и тази политика не се отнася за работни станции и сървъри привилегиите данни на PnP-ustroystva.Na предоставени на групи "Администратори", и на домейн контролери - "Администратори"  и "Печатни оператори".
12. Заменете токена на ниво процес, При използването на тази политика за сигурност можете да ограничите потребителите или групите да използват функцията API на CreateProcessAsUser, така че една услуга да може да изпълнява друга функция, процес или услуга. Струва си да се обърне внимание на факта, че такова заявление като "График на задачите"  За своята работа той използва привилегировани данни. По подразбиране, както на работните станции, така и на домейн контролерите, тези привилегии се предоставят на профили Мрежова услуга  и "Местна услуга".
13. Да откажете да влезете през Услугите за отдалечен работен плот, С тази политика за сигурност можете да ограничите потребителите или групите да се регистрират като клиент за отдалечен работен плот. По подразбиране, както на работни станции, така и на сървъри, всеки има право да влиза в системата като клиент за отдалечен работен плот.
14. Забраняване на местното влизане, Това правило предотвратява влизането на отделни потребители или групи. По подразбиране всички потребители имат право да влизат в системата.
15. Промяна на етикета на обектите, Благодарение на тази задача на политиката на правата, може да позволи на определени потребители или групи, които да променят етикетите на обекти цялост на други потребители, като например файлове, ключове в регистъра, или protsessy.Po подразбиране, никой не може да я промени етикетите на обекти.
16. Променете околната среда на производителя, Като използвате тази политика за сигурност, можете да посочите потребители или групи, които ще могат да четат променливите на хардуерната среда. Хардуерните променливи на средата са параметри, съхранявани в непреносима памет на компютри, чиято архитектура е различна от x86. На работните станции и контролерите на домейни по подразбиране тези привилегии се предоставят на групи "Администратори".
17. Промяна на системното време, Тази политика е отговорна за промяната на системното време. Предоставяйки това право на потребители или групи, вие по този начин позволявате да промените датата и часа на вътрешния часовник, като им позволите да променят съответното време на наблюдаваните събития в момента "Event Viewer"На работни станции и сървъри, тези привилегии се предоставят на групи "Администратори"  и "Местна услуга", и на домейн контролери - "Администратори", "Сървърни оператори"  и "Местна услуга".
18. Промяна на часовата зона, С помощта на сегашната политика за сигурност, можете да укажете кои потребители или групи имат право да промените часовата зона на компютъра, за да се покаже местно време, което е сумата от компютъра и часовника компенсира poyasa.Na работни станции и контролери на домейни време системни права на стандартните данни, предоставени на групи "Администратори"  и "Потребители".

Прилагане на правила, определящи потребителски права

В този пример ще ви покажа как да зададете разрешения на една от групите на организацията си в контролера на домейна. Направете следното:

заключение

В тази статия продължихме да изучаваме политиките за сигурност, а именно научавахме за политиките за определяне на потребителски права. С правилата за присвояване на потребителски права можете да определите сами кои потребители или групи потребители ще получат различни привилегии и привилегии. 18 от 44-те политики за сигурност са описани подробно. В примера в статията научихте също как да приложите данните за правилата на организацията. В следващата статия ще научите правилата, които управляват регистрационните файлове на събития.