2. В даному модулі:
Аутентифікація і авторизація
Управління доступом на папки і файли
Визначення загального доступу до файлів і папок
Andrey Gladky
KspDevelop@gmail.co
m 2
3. Аутентифікація (Authentication)
Аутентифікація або перевірка справжності
(authentication) після того як суб'єкт безпеки вводить з
клавіатури або іншим способом надає необхідну для
ідентифікації інформацію.
У Windows суб'єкт безпеки вводить цю інформацію на
екрані реєстрації за допомогою програм Microsoft
Graphical Identification and Authentication DLL
(msgina.dll) і Winlogon.exe.
Протокол аутентифікації і механізм системи кодують
представлену інформацію на настільному комп'ютері і
передають запит аутентифікації.
Andrey Gladky
KspDevelop@gmail.com 3
4. Аутентифікація (Authentication)
Служба аутентифікації Windows може бути базою
даних SAM або AD.
База даних SAM обслуговує локальні процедури
реєстрації та реєстрацію на контроллерах домена
Windows NT 4.0.
AD аутентифікує запити в Windows 2000 або доменах
пізніших версій цієї операційної системи.
Протокол аутентифікації (наприклад, LAN Manager, NT
LAN Manager, NTLM, NTLMv2, Kerberos)
використовується для транспортування запитів
аутентифікації і наступних транзакцій між екраном
реєстрації та службою аутентифікації.
Andrey Gladky
KspDevelop@gmail.com 4
5. Авторизація (Authorization)
Якщо служба аутентифікації засвідчує комбінацію
ідентифікатора і «секретних» даних аутентифікації, то
справжність суб'єкта безпеки вважається успішно
підтвердженою.
Потім система збирає інформацію про членство
суб'єкта безпеки (Користувача) в групах. Нерідко
користувач належить до декількох точно певних групах
- локальним (local), доменним (domain local),
глобальним (global) і універсальних (universal).
Andrey Gladky
KspDevelop@gmail.com 5
6. Авторизація (Authorization)
Система звіряє локальні групи з локальною базою
даних SAM і перевіряє локальні і глобальні групи на
контроллерах DC в домашньому домені користувача, а
також універсальні групи на DC, який містить
глобальний каталог Global Catalog. Прямо чи
опосередковано система збирає всі відомості про
членство в групах, щоб отримати інформацію про
дозволи безпеки.
Andrey Gladky
KspDevelop@gmail.com 6
7. Управління доступом на папки і файли
Для загальних папок доступ визначаються на двох
рівнях:
на рівні загальної папки; ці дозволи поширюються
на всі вкладені папки та файли, що містяться в
загальній папці, і діють тільки при доступі до папки
через мережу;
на рівні файлової сістеми NTFS (якщо загальна
папка розташована на FAT-томі, то такі дозволи для
неї неможливі); ці дозволи можна призначати як всієї
папці, так і конкретним вкладених папок і файлів
усередині загальної папки; вони діють завжди,
незалежно від способа доступу до папки.
Andrey Gladky
KspDevelop@gmail.com 7
8. Управління доступом на папки і файли
При виборі дозволів доступу зазвичай керуються
такими правилами:
на рівні загального ресурсу рекомендується задавати
найбільш "широкі« права (якщо дозволяють вимоги
безпеки повний доступ для всіх);
на рівні файлової сістеми NTFS визначаються більш
"вузькі" дозволи на конкретні папки та файли для
окремих груп або користувачів.
Andrey Gladky
KspDevelop@gmail.com 8
10. Визначення діючих дозволів для файлів і папок
1. Виберіть файл або папку і перейдіть на вкладку
Безпека(Security).
2. Натисніть кнопку Додатково (Advanced) і у вікні
Додаткові параметри безпеки (Advanced Security
Settings) перейдіть на вкладку Діючі дозволу
(Effective Permissions).
3. Натисніть кнопку Вибрати (Select). Відкриється
вікно вибору облікових записів, аналогічне тому, яке
з'являється при додаванні дозволів.
Andrey Gladky
KspDevelop@gmail.com 10