日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
WindowsServer2008用戶權(quán)限管理

幾十年來(lái),大型機(jī)和服務(wù)器一直使用“超級(jí)用戶”和“用戶”這種用戶控制方案。這種方案存在一個(gè)明顯的安全問(wèn)題:它需要防止普通用戶獲取非法訪問(wèn)權(quán)限。

成都創(chuàng)新互聯(lián)公司是一家以網(wǎng)絡(luò)技術(shù)公司,為中小企業(yè)提供網(wǎng)站維護(hù)、做網(wǎng)站、成都做網(wǎng)站、網(wǎng)站備案、服務(wù)器租用、域名注冊(cè)、軟件開(kāi)發(fā)、微信平臺(tái)小程序開(kāi)發(fā)等企業(yè)互聯(lián)網(wǎng)相關(guān)業(yè)務(wù),是一家有著豐富的互聯(lián)網(wǎng)運(yùn)營(yíng)推廣經(jīng)驗(yàn)的科技公司,有著多年的網(wǎng)站建站經(jīng)驗(yàn),致力于幫助中小企業(yè)在互聯(lián)網(wǎng)讓打出自已的品牌和口碑,讓企業(yè)在互聯(lián)網(wǎng)上打開(kāi)一個(gè)面向全國(guó)乃至全球的業(yè)務(wù)窗口:建站歡迎聯(lián)系:13518219792

在DOS電腦以及隨后的Windows操作系統(tǒng)中,訪問(wèn)控制模式更加復(fù)雜。早期的Windows操作系統(tǒng)不能在同一臺(tái)機(jī)器上設(shè)置不同的用戶權(quán)限;所有的行動(dòng)都需要超級(jí)用戶執(zhí)行。但是,Windows NT系統(tǒng)最終定義了管理員角色和用戶角色,盡管在實(shí)際情況中大多數(shù)用戶還是需要超級(jí)用戶的訪問(wèn)權(quán)限來(lái)執(zhí)行他們平時(shí)的操作。

今天,許多企業(yè)的業(yè)務(wù)模式都要求大范圍(地理位置上的)的聯(lián)合操作,Windows NT中簡(jiǎn)單的特權(quán)/非特權(quán)用戶管理功能已經(jīng)不夠用了。意識(shí)到這一趨勢(shì)之后,微軟在2009年開(kāi)發(fā)了Windows Server 2008,該系統(tǒng)具有以多級(jí)權(quán)限屬性系統(tǒng)為基礎(chǔ)的多層次管理模式。該模式可以限制標(biāo)準(zhǔn)用戶,讓他們只能用非特權(quán)的形式運(yùn)行應(yīng)用程序軟件,只留給他們操作所需要的最小管理權(quán)限,從而改進(jìn)了微軟Windows的安全性。比如,服務(wù)臺(tái)用戶只能改變其他用戶的密碼。通過(guò)這種方式,大型企業(yè)中的用戶管理權(quán)限可以受到限制,操作中的超級(jí)用戶數(shù)量減少。在本文中,我們將討論一下如何使用Windows Server 2008對(duì)權(quán)限分配進(jìn)行控制。

域上的權(quán)限管理

在Windows Server 2008環(huán)境中,有兩種政策:活動(dòng)目錄(AD)全局域政策以及本地服務(wù)器安全帳戶管理器(SAM)注冊(cè)表政策。AD利用它的目錄架構(gòu)來(lái)控制任何給定Windows服務(wù)器域(支持通用安全政策的一組服務(wù)器)的組權(quán)限。這使得AD可以對(duì)域中的所有用戶帳戶執(zhí)行公共帳戶權(quán)限管理。

當(dāng)有新的Windows服務(wù)器添加進(jìn)來(lái)時(shí),他們會(huì)連接到活動(dòng)目錄,活動(dòng)目錄會(huì)檢查所有的組政策對(duì)象(Group Policy Objects,GPO)——用戶能夠執(zhí)行的應(yīng)用程序和服務(wù)——并把這些權(quán)限鏈接到該目錄下的Active Directory Users and Computers(活動(dòng)目錄用戶和計(jì)算機(jī))分支中的域根用戶。然后AD把這些定義的、默認(rèn)的權(quán)限傳遞到新服務(wù)器上,開(kāi)始管理其用戶。AD目錄下的組織單元(Organization Unit,OU)分支也可以定義,人們可以用OU為計(jì)算機(jī)創(chuàng)建本地帳戶政策。比如,服務(wù)臺(tái)OU可以定義一系列全局政策,幫助服務(wù)臺(tái)人員執(zhí)行具有公共權(quán)限的活動(dòng)。

Windows Server 2008的活動(dòng)目錄還引進(jìn)了一個(gè)新的功能,叫做多元密碼政策(Fine-Grained Password Policy),其中包括一個(gè)鎖定政策。有了這個(gè)新功能后,公司可以在同一個(gè)域中對(duì)不同的用戶使用不同的密碼和鎖定政策。這個(gè)功能出現(xiàn)之前,整個(gè)域中只有一個(gè)政策。為了充分利用這個(gè)功能,活動(dòng)目錄管理員必須創(chuàng)建一個(gè)新的對(duì)象,名為密碼設(shè)置對(duì)象(Password Settings Object,PSO)。他或她可以在PSO中設(shè)定同樣的密碼最長(zhǎng)期限、復(fù)雜度要求、鎖定閾值,等等。然后,PSO會(huì)連接到一個(gè)活動(dòng)目錄組:組的范圍為全局(Global)(不是本地(Local或者通用(Univeral)),組的類型為安全(Security)(不是分布(Distribution))。所有的組成員都會(huì)繼承鏈接到該組的PSO中定義的密碼和鎖定政策。

本地多級(jí)控制

域上的全局政策配置完成以后,人們就可以在單獨(dú)的Windows Server 2008系統(tǒng)中通過(guò)用戶權(quán)利分配(User Rights Assignment,URA)功能定義本地權(quán)限。用戶權(quán)利能夠控制用戶在計(jì)算機(jī)上執(zhí)行哪些任務(wù)。這些權(quán)利包括登錄權(quán)限和特權(quán)。登錄權(quán)限控制哪些人有權(quán)登錄到計(jì)算機(jī)上,以及他們?nèi)绾蔚卿洠和ㄟ^(guò)網(wǎng)絡(luò)還是本地,作為批處理工作還是作為服務(wù)登錄。特權(quán)則控制計(jì)算機(jī)和域資源的訪問(wèn),并可以覆蓋特定對(duì)象上設(shè)定的權(quán)限,比如備份文件和目錄、創(chuàng)建全局對(duì)象、調(diào)試程序等等。這些特權(quán)由系統(tǒng)URA對(duì)象下的組政策(Group Policy)進(jìn)行管理,而且兩種用戶權(quán)利都是由管理員分配到組或者單獨(dú)用戶,作為系統(tǒng)安全設(shè)置的一部分。請(qǐng)注意,管理員應(yīng)該盡可能地通過(guò)分組來(lái)管理本地權(quán)利,確保與企業(yè)政策的一致性以及最小化單獨(dú)系統(tǒng)中權(quán)限管理的困難程度。

為了訪問(wèn)本地URA對(duì)象,添加、刪除或者修改權(quán)限,管理員必須在Windows Server 2008中用Windows控制面板打開(kāi)本地安全設(shè)置(Local Security Settings)。他或她可以在左邊看見(jiàn)一個(gè)樹(shù)狀目錄。點(diǎn)擊本地政策(Local Policies),然后選擇用戶權(quán)利分配(User Rights Assignment),就能夠編輯所有的39個(gè)登錄權(quán)利和權(quán)限了。

確保適當(dāng)?shù)臋?quán)限

Windows Server 2008中有九個(gè)審計(jì)政策,分成兩個(gè)子類,它們可以確保Windows管理員正確設(shè)置用戶權(quán)限。安全團(tuán)隊(duì)可以在計(jì)算機(jī)中打開(kāi)本地安全政策(Local Security Policy)控制臺(tái),進(jìn)入Security Settings\Local Policies\Audit Policy目錄,查看系統(tǒng)審計(jì)政策設(shè)置。下文簡(jiǎn)要地描述了每個(gè)政策,以及它們的用法:

審計(jì)帳戶登錄事件——跟蹤所有試圖用域用戶帳戶登錄的活動(dòng),不管這種嘗試源自何處。開(kāi)啟這項(xiàng)政策以后,工作站或者成員服務(wù)器會(huì)記錄所有使用計(jì)算機(jī)SAM中存儲(chǔ)的本地帳戶的登錄嘗試。

審計(jì)帳戶管理——用來(lái)監(jiān)視用戶帳戶和組的變化,對(duì)管理員和服務(wù)臺(tái)工作人員的審計(jì)活動(dòng)有參考價(jià)值。該政策記錄密碼重置、新創(chuàng)建的帳戶以及組成員和Active Directory控制器的變化。該政策還記錄域用戶、域分組以及計(jì)算機(jī)帳戶的變化。

審計(jì)目錄服務(wù)訪問(wèn)——提供Active Directory中對(duì)象變化的低級(jí)別審計(jì)跟蹤。該政策跟蹤的活動(dòng)與審計(jì)帳戶管理事件中跟蹤的相同,但是級(jí)別低很多。使用這個(gè)政策可以識(shí)別用戶帳戶的哪些領(lǐng)域或者任何其他Active Directory對(duì)象被訪問(wèn)過(guò)。審計(jì)帳戶管理事件可以提供更好的用戶帳戶和組的監(jiān)視維護(hù)信息,但是審計(jì)目錄服務(wù)訪問(wèn)是跟蹤OU和GPO變化的唯一途徑,這對(duì)于變化控制來(lái)說(shuō)很重要。

審計(jì)登錄事件——記錄本地計(jì)算機(jī)上的登錄嘗試,無(wú)論使用域帳戶還是本地帳戶登錄。在Active Directory域控制器中,該政策只記錄訪問(wèn)域控制器的嘗試。

審計(jì)對(duì)象訪問(wèn)——處理Active Directory之外所有對(duì)象的訪問(wèn)審計(jì)。該政策可以用來(lái)審計(jì)任何類型的Windows對(duì)象訪問(wèn),包括注冊(cè)表鍵值、打印機(jī)、以及服務(wù)。(注意:如果服務(wù)器的對(duì)象太多,該政策可能會(huì)大大影響該服務(wù)器的性能。)

審計(jì)政策變化——提供本地系統(tǒng)中重要安全政策的變化通知,比如系統(tǒng)審計(jì)政策的變化;當(dāng)本地系統(tǒng)是一個(gè)Active Directory域控制器時(shí),該政策會(huì)提供信任關(guān)系的變化。

審計(jì)權(quán)限使用---跟蹤Security Settings\Local Policies\User Right Assignment目錄下本地安全政策(Local Security Policy)的用戶權(quán)利活動(dòng)

審計(jì)過(guò)程跟蹤——跟蹤每一個(gè)被執(zhí)行的程序,不管該程序是由系統(tǒng)還是最終用戶執(zhí)行的。它還可以決定程序運(yùn)行的時(shí)間。結(jié)合該政策,加上審計(jì)登錄事件和審計(jì)對(duì)象訪問(wèn)事件,以及在這些不同的事件描述中使用Logon ID, Process ID 和Handle ID等,我們就可以詳細(xì)地描繪出用戶活動(dòng)了。

審計(jì)系統(tǒng)事件——與安全相關(guān)的系統(tǒng)事件綜合,包括系統(tǒng)啟動(dòng)和關(guān)閉。Windows的安全基礎(chǔ)設(shè)施是模塊化設(shè)計(jì),可以利用微軟和第三方供應(yīng)商提供的新型、插件安全功能。這些插件可以是認(rèn)證軟件包、合法登錄進(jìn)程或者通知軟件包。因?yàn)檫@些插件是值得信賴的擴(kuò)展操作系統(tǒng)的代碼模塊,Windows加載每個(gè)插件時(shí)都會(huì)做記錄,使用從這個(gè)分類中的事件。(注意:不推薦在這個(gè)層面上管理審計(jì)政策,因?yàn)檫@樣會(huì)產(chǎn)生很多噪聲,應(yīng)該使用子類型。)

即使有些用戶偶爾得到了不必要的權(quán)限,這些政策也可以讓公司的安全人員核實(shí)這些用戶是否利用管理權(quán)限做傷害公司的事情,不管是有意的還是無(wú)意的。企業(yè)應(yīng)該盡可能多的啟用這些審計(jì)政策,但是請(qǐng)記住,加載所有的政策可能會(huì)影響Windows系統(tǒng)的性能。

當(dāng)啟用這些政策時(shí),企業(yè)有多種選擇:可以讓它們產(chǎn)生成功事件,失敗事件或者兩者都產(chǎn)生,這取決于公司政策。所有九個(gè)審計(jì)政策都可以產(chǎn)生成功事件,某些政策可以產(chǎn)生失敗事件,作為一種最佳實(shí)踐,企業(yè)不該忽略成功事件(會(huì)產(chǎn)生大量的安全日志)而只開(kāi)啟失敗事件。一個(gè)常見(jiàn)的誤解是:只有失敗事件審計(jì)政策才能警告安全團(tuán)隊(duì)注意所有的可疑活動(dòng)。實(shí)際上,安全日志中許多最重要的事件是成功事件,比如關(guān)鍵用戶帳戶和組的變化、帳戶鎖定的變化,以及安全設(shè)置的變化等等。

總結(jié)

隨著Windows Server 2008的發(fā)布,微軟最終提供了權(quán)限管理功能,能夠創(chuàng)建復(fù)雜的用戶權(quán)限分組,卻不需要復(fù)雜的管理技術(shù)。但是復(fù)雜的權(quán)限分組可能會(huì)引起權(quán)限的錯(cuò)誤配置,不能識(shí)別某個(gè)人的錯(cuò)誤。所以,了解與該功能相關(guān)的審計(jì)服務(wù)同樣重要。

歸功于適當(dāng)?shù)目紤]和規(guī)劃,Windows Server 2008最終賦予企業(yè)期待已久的功能:成功地匹配了用戶的能力和權(quán)限。這不僅滿足業(yè)務(wù)需求和信任要求,而且驗(yàn)證了他們的方法是正確的。

【編輯推薦】

  1. 泰然神州應(yīng)用系統(tǒng)安全加固解決方案
  2. 企業(yè)防護(hù)應(yīng)重視網(wǎng)站系統(tǒng)安全
  3. 增強(qiáng)Linux/Unix服務(wù)器系統(tǒng)安全很簡(jiǎn)單!
  4. Stuxnet蠕蟲(chóng)對(duì)SCADA系統(tǒng)安全來(lái)說(shuō)意味著什么?

文章題目:WindowsServer2008用戶權(quán)限管理
當(dāng)前鏈接:http://www.dlmjj.cn/article/dpcpidd.html