Характер работы системы безопасности Microsoft® Windows® 2000
в значительной степени определяется установленными по умолчанию правами
доступа, которые предоставляются трем группам: Administrators, Power Users и
Users. В самых общих чертах эти группы можно охарактеризовать следующим
образом:
Группа Administrators всесильна. Установленные по
умолчанию значения параметров защиты не ограничивают доступ администраторов к
любому реестру или системному объекту Windows 2000. Группа Administrators
может предпринимать любое действие, поддерживаемое операционной системой.
Администраторы могут наделить себя любыми правами, не предусмотренными по
умолчанию.
В идеале, доступ к системе должен быть необходим
администратору лишь для выполнения следующих задач:
·
Установка операционной системы и ее компонентов (драйверов
оборудования, системных служб и т.п.).
·
Установка пакетов обновлений и исправлений (Service Packs,
hotfixes).
·
Обновление Windows.
·
Модернизация операционной системы.
·
Восстановление операционной системы.
·
Конфигурирование важных параметров операционной системы,
например, драйвера, работающего в контексте ядра, политики управления паролями,
прав доступа, а также аудита.
На практике административные учетные записи часто
приходится использовать для установки и запуска давно разработанных
(унаследованных) Windows-приложений.
Группа Users – полная противоположность администраторам.
При установке Windows 2000 в "чистый" раздел NTFS заданные по
умолчанию параметры защиты предотвратят возможные попытки со стороны
пользователей нарушить целостность операционной системы и приложений.
Пользователи не могут изменять элементы реестра, файлов операционной системы
или программ. Они не могут устанавливать приложения, которые могут быть
использованы другими членами группы Users (что предотвращает проникновение
"Троянских" вирусов). Члены группы Users не имеют доступа к личным
данным других пользователей. Таким образом, можно выделить два основных
аспекта, которым необходимо уделить внимание, чтобы обеспечить надежную защиту
систем на основе Windows 2000:
1. Убедитесь, что
конечные пользователи являются членами только группы Users.
2.
Разворачивайте только те приложения, с которыми могут успешно
работать пользователи, являющиеся членами этой группы.
Каждый член группы Users может использовать любое
приложение, установленное в свое время администратором, членом группы Power
User или им самим. Он не может работать с приложениями, установленными другими
членами этой группы.
Члены группы Users не смогут использовать многие
унаследованные приложения, потому что при их разработке не учитывалась
необходимость обеспечения безопасности операционной системы. Однако,
возможность запуска этих приложений должна быть предоставлена членам группы
Power Users
С приложениями, соответствующими спецификации Windows 2000
Application Specification, можно работать в контексте обычного пользователя
— члена группы Users.
Члены группы Power Users занимают промежуточное
положение между администраторами и пользователями. Параметры защиты
Windows 2000, установленные по умолчанию для группы Power Users, обратно
совместимы с параметрами защиты, установленными по умолчанию для группы Users в
операционной системе Windows NT® 4.0.
Одним словом, группа Power Users на самом деле наделена довольно широкими
полномочиями.
Группа Power Users должна выполнять любую задачу, кроме
описанных выше административных задач. Таким образом, члены группы Power Users
могут:
·
Устанавливать и удалять приложения, которые не производят
установку системных служб.
·
Настраивать общесистемные ресурсы (например, системное время,
параметры дисплея, папки общего доступа, конфигурацию сети, принтеры и т.п.).
Члены группы Power Users не имеют доступа к данным
другим пользователей, хранящимся в разделе NTFS.
Кроме того, они не имеют возможности устанавливать
многие унаследованные приложения, которые могут попытаться заменить файлы
операционной системы.
Установленные по умолчанию значения параметров защиты
вступают в силу при установке Windows 2000 «с нуля» или «поверх» системы
Windows 9x в момент переключения программы в режим графического интерфейса
(GUI). В случае модернизации операционной системы Windows NT параметры
системы безопасности остаются неизменными. Более того, системные параметры
безопасности активизируются только в том случае, если операционная система
Windows 2000 была установлена в раздел NTFS.
Значения параметров защиты, устанавливаемые по умолчанию
для рабочих станций, серверов и контроллеров доменов, находятся в следующих
файлах:
·
%windir%\inf\defltwk.inf
·
%windir%\inf\defltsv.inf
·
%windir%\inf\defltdc.inf (Обратите внимание на то, что
параметры безопасности контроллеров доменов применяются в процессе повышения
статуса DCPromo.)
Так как
функция защиты активизируется при переключении программы установки в
графический режим, к дополнительным компонентам, которые могут быть выбраны на
этой стадии (например, Internet Information Server —(IIS) или Terminal Server),
не применяется никаких явно заданных значений параметров защиты. Это позволяет
установить для таких компонентов свои собственные значения параметров защиты,
если они должны отличаться от значений, наследуемых по умолчанию.
Группа Power Users наделена обратно совместимыми
полномочиями на доступ к объектам файловой системы Windows 2000
(Приложение А) и объектам реестра (Приложение В). Обратно совместимые
полномочия, предоставленные по умолчанию группе Power Users, достаточно
«либеральны» и позволяют ее членам устанавливать большинство приложений.
Например, группа Power Users имеет право на изменение (Modify):
·
Ветви реестра HKEY_LOCAL_MACHINE\Software
·
Файлов программ
·
Каталога %windir%
·
Каталога %windir%\system32
Группа Power Users имеет право на внесение изменений в
каталогах %windir% и %windir%\system32 и на чтение (Read) файлов,
которые были записаны в эти каталоги на первом этапе (когда программа установки
работает в текстовом режиме) установки Windows 2000. Это позволяет
унаследованным приложениям записывать новые файлы в системные каталоги, но
предотвращает модификацию членами группы Power Users системных файлов
Windows 2000. Кроме того, группа Power Users не может устанавливать
системные службы Windows 2000.
Ниже следует более наглядное описание полномочий,
предоставляемых по умолчанию для групп Administrators и Users:
·
Группы Administrators, System и Creator Owner — имеют Полный
доступ (Full Control) ко всем объектам файловой системы и реестра,
существующим к началу второго этапа установки (когда происходит переключение в
режим графического интерфейса).
·
Члены группы Users имеют право на запись (Write) в каталоги,
перечисленные в Таблице 1.
Таблица 1.Каталоги, к которым члены группы Users имеют
доступ с правом на запись (Write)
|
Объект
|
Полномочия
|
Комментарии
|
|
HKEY_Current_User
|
Полный доступ
|
Пользовательская часть реестра
|
|
%UserProfile%
|
Полный доступ
|
Каталог профиля пользователя
|
|
All Users\Documents
|
Чтение, Создание файла
|
Общедоступная папка для документов. Позволяет членам
группы Users создавать файлы, которые впоследствии могут быть прочитаны (но
не изменены) другими членами этой группы.
|
|
|
|
|
|
%Windir%\Temp
|
Синхронизация, просмотр, добавление файла, добавление
подкаталога
|
Временный каталог компьютера. Разработчики пошли на
уступку приложениям, реализованным на основе системных служб, с тем, чтобы
они могли создавать временные каталоги в пользовательском контексте не
загружая свои профили.
|
|
\ (Root Directory)
|
Не конфигурируется при установке
|
При установке не конфигурируется, т.к. наследование прав
доступа через ACL, реализованное в Windows 2000, может повлиять на все
дочерние объекты, включая те, которых находятся за пределами компетенции
процедуры установки.
|
По умолчанию пользователи имеют
право на чтение (Read) (или еще более ограниченные права) по отношению ко всем
остальным системным каталогам.
Приложения, установленные
администратором, могут создавать собственные вложенные папки и устанавливать
свои разрешения на доступ к этим папкам. Сертифицированные приложения, не
наследующие заданные по умолчанию значения параметров защиты, должны создавать
такие вложенные папки в каталогах All Users\Documents или All Users\Application
Data. Например, некоторому приложению может потребоваться создание
централизованной галереи clip-art, так, чтобы с ней могли работать (в т.ч.
вносить изменения) все пользователи. Такие случаи должны быть проанализированы
системным администратором, который должен решить, сопоставимы ли достоинства
требующего подобной конфигурации приложения с потенциальным риском нарушения
безопасности. Процесс выявления потенциально слабых мест в системе защиты может
быть облегчен, если ограничить область воздействия подобных конфигураций
вышеуказанными папками (для сертифицированных приложений).
Кроме того, необходимо иметь в виду тот факт, что при
установке не определяются разрешения на доступ к корневому каталогу. Программа
установки их не изменяет, т.к. механизмы наследования прав доступа,
реализованные в Windows 2000, могут попытаться установить разрешения на
доступ ко всем подкаталогам корневого каталога. Это может привести к
нежелательным изменениям в каталогах, не имеющих отношения к Windows 2000,
но, возможно, существующих в загрузочном разделе.
Поскольку разрешения на доступ к корневому каталогу не
изменяются в процессе установки, они сохраняются в прежнем виде и могут
наследоваться любыми новыми и уже существующими подкаталогами на последующих
уровнях. Таким образом, после завершения установки и настройки, необходимо
произвести конфигурирование корневого каталога и всех подкаталогов, не имеющих
отношения к Windows, в соответствии с требованиями безопасности организации и
параметрами используемых приложений.
В Таблице 2 приведен список прав, предоставляемых по
умолчанию при "чистой" установке пользователям рабочих станций и
серверам — членам домена. Они отличаются только правом на завершение работы
системы. По отношению к серверам это право членам группы Users по умолчанию не
предоставляется.
|
Таблица 2. Права, предоставляемые по умолчанию членам
группы Users
|
|
Права пользователей
|
Рабочая станция по умолчанию
|
Сервер по умолчанию
|
|
Замена маркера доступа на уровне процессов
|
|
|
|
Аудит системы безопасности
|
|
|
|
Регистрация в качестве пакетного задания
|
|
|
|
Резервное копирование файлов и каталогов
|
Administrators, Backup Ops
|
Administrators, Backup Ops
|
|
Просмотр оглавления при навигации
|
Administrators, Backup Ops, Power Users, Users, Everyone
|
Administrators, Backup Ops, Power Users, Users, Everyone
|
|
Создание файла подкачки
|
Administrators
|
Administrators
|
|
Создание постоянных общедоступных объектов
|
|
|
|
Создание объектов-маркеров
|
|
|
|
Отладка программ
|
Administrators
|
Administrators
|
|
Увеличение приоритета диспетчеризации
|
Administrators
|
Administrators
|
|
Увеличение квот на использование дискового пространства
|
Administrators
|
Administrators
|
|
Интерактивный вход в систему
|
Administrators, Backup Ops, Power Users, Users, Guest
|
Administrators, Backup Ops, Power Users, Users, Guest
|
|
Загрузка и выгрузка драйверов устройств
|
Administrators
|
Administrators
|
|
Фиксация страниц в памяти
|
|
|
|
Добавление рабочих станций к домену
|
|
|
|
Доступ к компьютеру из сети
|
Administrators, Backup Ops, Power Users, Users, Everyone
|
Administrators, Backup Ops, Power Users, Users, Everyone
|
|
Настройка профиля отдельного процесса
|
Administrators, Power Users
|
Administrators, Power Users
|
|
Принудительное удаленное завершение работы системы
|
Administrators
|
Administrators
|
|
Восстановление файлов и каталогов
|
Administrators, Backup Ops
|
Administrators, Backup Ops
|
|
Управление аудитом и журналом безопасности
|
Administrators
|
Administrators
|
|
Регистрация в качестве службы
|
|
|
|
Завершение работы системы
|
Administrators, Backup Ops, Power Users, Users
|
Administrators, Backup Ops, Power Users
|
|
Изменение установленных значений переменных среды
|
Administrators
|
Administrators
|
|
Измерение параметров производительности системы
|
Administrators
|
Administrators
|
|
Изменение системного времени
|
Administrators, Power Users
|
Administrators, Power Users
|
|
Назначать владельца файлов и других объектов
|
Administrators
|
Administrators
|
|
Работать в контексте ОС
|
|
|
|
Запрещать интерактивный вход в систему
|
|
|
|
Запрещать пакетный вход в систему
|
|
|
|
Запрещать служебный вход в систему
|
|
|
|
Запрещать вход в систему через сеть
|
|
|
|
Отключать компьютера от
стыковочной станции
|
Administrators, Power Users, Users
|
Administrators, Power Users, Users
|
|
Синхронизировать данные Служб каталогов
|
|
|
|
Разрешать учетным записям и компьютерам доверительное
делегирование полномочий
|
|
|
Кроме полномочий предоставленных настроенными по
умолчанию списками ACL и правами пользователей, члены группы Power Users
дополнительно могут:
·
Создавать локальные учетные записи пользователей и группы.
·
Изменять созданные ими учетные записи пользователей и группы.
·
Создавать и удалять неадминистративные файловые ресурсы общего
доступа.
·
Создавать, удалять локальные принтеры и управлять ими, а также
коллективным доступом к ним.
Администраторы также могут выполнять все эти задачи.
Однако члены группы Power Users могут изменять и удалять только самостоятельно
созданные учетные записи, в то время как администраторы могут создавать,
удалять и изменять любую учетную запись. Члены группы Users не могут выполнять
ни одно из этих дополнительных действий.
Установленные по умолчанию режимы безопасности в
Windows NT 4.0 и Windows 2000 существенно отличаются способом управления
доступом. В операционной системе Windows NT 4.0 любые права (через списки
ACL файловой системы, реестра и права пользователей) предоставлялись группе
Everyone. В определенном смысле группа Everyone не является традиционной
группой, потому что ее состав не может регулироваться администратором. Вместо
этого он управляется операционной системой или доменом Windows NT, так что
всякий пользователь автоматически становится членом группы Everyone. Если
администратору требуется более тщательное управление доступом, ему нужно
модифицировать заданные по умолчанию списки ACL, чтобы удалить группу Everyone
и добавить группы, которые он может контролировать.
Философия Windows 2000 иная. Такие группы, как
Everyone и Authenticated Users, состав которых автоматически определяется
операционной системой, не используются для выдачи разрешений. (Существуют,
правда, некоторые исключения. Например, членам группы Everyone предоставляется
право на чтение (Read) некоторых объектов файловой системы и реестра для
обеспечения обратной совместимости с приложениями, требующими анонимного
доступа для чтения. Кроме того, группа Interactive Users используется в
служебных ACL, которые управляют доступом в зависимости от того каким способом
— а не под каким именем — вы вошли в систему). Вместо этого, разрешения
выдаются только тем группам, состав которых может контролироваться
администратором. Прежде всего, это три группы, описанные в этом документе:
Users, Power Users и Administrators.
В Таблице 3 описано, какие
пользователи входят в состав этих групп по умолчанию. Становясь членом одной из
этих групп, пользователь автоматически получает все предоставленные ей права.
Таблица 3. Члены групп по умолчанию
|
Локальная группа
|
Рабочие станции
|
Серверы
|
|
Administrators
|
Administrator
|
Administrator
|
|
Power Users
|
|
|
|
Users
|
Authenticated Users, Interactive Users
|
Authenticated Users, Interactive Users
|
На компьютерах, работающих под управлением
Windows 2000 Professional и Windows 2000 Server, группы Authenticated
Users и Interactive Users по умолчанию добавляются в группу Users.
Состав этих групп автоматически контролируется операционной системой. Группа
Authenticated Users отличается от группы Everyone лишь отсутствием анонимных
пользователей. В состав группы Interactive Users включаются все пользователи,
регистрирующиеся локально, а не через сеть.
Поскольку состав группы Power Users не задается по
умолчанию, не имеющие статус администратора пользователи, которые
регистрируются на ПК, работающем под управлением впервые установленной в
разделе NTFS Windows 2000, автоматически подчиняются политике безопасного
доступа. Несмотря на то, что эти пользователи могут запускать любое
сертифицированное приложение,
разработанное для работы в среде Windows 2000, они не смогут использовать несертифицированные
унаследованные приложения. Для запуска унаследованных приложений необходимо,
чтобы выполнялось одно из следующих условий:
·
Пользователи должны стать членами группы Power Users
·
Ограничения прав, предоставляемых по умолчанию членам группы
Users, должны быть «ослаблены».
Так как члены группы Power Users имеют, по
крайней мере, такие же полномочия, какими обладали члены группы Users в Windows
NT 4.0, любое приложение, которое могло быть запущено членом группы Users в
среде Windows NT 4.0, может быть запущено и членом группы Power User в среде
Windows 2000.
Наконец, при присоединении рабочей станции или сервера к
домену те же группы домена, которые добавлялись в локальные группы
Windows NT 4.0 (а именно, группы Domain Administrators и Domain Users),
добавляются в локальные группы Windows 2000 (группы Administrators и
Users).
Характер работы системы безопасности Microsoft® Windows® 2000
в значительной степени определяется установленными по умолчанию правами
доступа, которые предоставляются трем группам: Administrators, Power Users и
Users. По умолчанию в установленной «с нуля» файловой системе NTFS группа
Administrators имеет полный доступ к важным компонентам ОС, а члены группы
Users имеют доступ только для чтения (Read) (или более ограниченный). Эти
значения параметров управления доступом, заданные по умолчанию для членов
группы Users (неадминистративной), обеспечивают нормальную, безопасную работу
легко тестируемой операционной среды Windows, на которую могут ориентироваться
разработчики приложений.
Приложения, соответствующие нормам спецификации
приложений для Windows 2000, могут успешно выполняться в обычном
пользовательском контексте члена группы Users. Для запуска несертифицированных
унаследованных приложений, скорее всего, потребуются расширенные привилегии,
предоставленные, в частности, членам группы Power Users. Таким образом, защита
компьютеров обеспечивается за счет использования сертифицированных приложений,
выполняемых в пользовательском контексте. До тех пор, пока подобные приложения
не внедрены, группа Power Users реализует удобный, но недостаточно безопасный
механизм обратной совместимости с унаследованными приложениями, которые не
могут быть запущены обычным пользователем Windows 2000.
Если вы являетесь разработчиком ПО, убедитесь, что ваши
программы отвечают требованиям спецификации
приложений для Windows 2000, а именно Главе 4: «Управление данными и
настройками» (“Data and Settings Management”). Соответствие им обеспечивает
максимум безопасности без ущерба функциональным возможностям приложений и
поэтому гарантирует успешные продажи ваших продуктов.
Если вы являетесь испытателем, убедитесь, что
тестируемое вами приложение соответствует требованиям спецификации
приложений для Windows 2000, а именно Главе 4: «Управление данными и
настройками» (“Data and Settings Management”). Оценка работоспособности
приложения может быть произведена в соответствии со следующим простым
сценарием:
1. Произведите
установку ОС Windows 2000 в раздел NTFS (при необходимости присоединитесь
к домену).
2. Зарегистрируйтесь
в системе в качестве администратора.
3. Установите
приложение в каталог Program Files.
4. Создайте
пробную учетную запись пользователя (не обладающего административными
полномочиями).
5. Зарегистрируйтесь
в системе под именем этого пользователя.
6.
Запустите приложение.
Если Вы являетесь
системным администратором, свяжитесь с собственными или независимыми
разработчиками и поставщиками всех приложений, поддерживаемых в вашей
корпоративной среде. Windows 2000 является стандартной платформой,
обеспечивающей создание безопасного и легко тестируемого программного
обеспечения, на которую может ориентироваться любой разработчик ПО. Нужно
отобрать приложения, которые будут успешно запускаться на этой платформе. По
мере внедрения приложений, которые могут успешно выполняться в контексте члена
группы Users, пользователи могут быть перемещены в нее из группы Power Users,
что приведет к значительному повышению безопасности, надежности и улучшению
управления. Приложения, соответствующие требованиям Главы 4 спецификации
приложений для Windows 2000 «Управление данными и настройками» (“Data and
Settings Management”), будут успешно запускаться членами группы Users.
Я установил
Windows 2000, но у меня не действуют заданные по умолчанию значения параметров
защиты?
Установленные по умолчанию значения параметров защиты
Windows 2000 вступают в силу только при установке операционной системы «с
нуля». При модернизации предыдущих версий Windows NT изменения
установленных ранее значений параметров защиты не происходит. Кроме того,
непременным условием для использования настроенных по умолчанию списков ACL
файловой системы является установка операционной системы Windows 2000 в
раздел NTFS.
Так как параметры системы защиты на модернизированных
компьютерах не подвергаются изменению во время установки ОС Windows 2000,
администратор должен настроить параметры защиты по умолчанию после завершения
установки: из каталога %windir%\security\templates можно выполнить на
рабочих станциях следующие команды:
Secedit /configure /cfg basicwk.inf /db basicwk.sdb /log
basicwk.log /verbose
Значения параметров защиты по умолчанию для серверов
указаны в файле basicsv.inf:
Secedit /configure /cfg basicsv.inf /db basicsv.sdb /log
basicsv.log /verbose
Основные конфигурационные файлы настраивают все
параметры защиты по умолчанию, кроме прав пользователей (User Rights) и состава
групп (Group Membership).
Для использования настроенных по умолчанию списков ACL
файловой системы, операционная система Windows 2000 должна быть
установлена в раздел NTFS.
Разрешения на доступ к корневому каталогу не изменяются
при установке, потому что применение модели наследования прав доступа через ACL
инициирует попытку конфигурирования всех подкаталогов. Это может привести к
нежелательным изменениям в каталогах, не имеющих отношения к Windows 2000,
но, возможно, существующих в разделе, где устанавливается система. В результате
администратор должен производить настройку защиты корневого каталога в
соответствии с конфигурацией всей системы и требованиями приложений.
Унаследованные приложения, которые
запускались в контексте User на компьютерах с ОС Windows NT 4.0, должны
свободно запускаться в контексте Power User на машинах с ОС Windows 2000.
По умолчанию не обладающие административными полномочиями пользователи,
регистрирующиеся во вновь установленной системе Windows 2000, являются членами
группы Users. Таким образом, для запуска несертифицированных унаследованных
приложений администратору придется добавлять этих пользователей в менее
безопасную группу Power Users. Для запуска приложений, соответствующих спецификации
приложений для Windows 2000 не требуется членство в группе Power User.
Унаследованные серверные приложения, которые запускались
в контексте User на компьютерах с ОС Windows NT 4.0, должны свободно
запускаться в контексте Power User на машинах с ОС Windows 2000. Таким
образом, для достижения обратной совместимости платформы Windows 2000 со
средой Windows NT 4.0 необходимо добавить учетные записи таких приложений
в группу Power Users
Установленные по умолчанию значения параметров защиты не
повлияют на служебные учетные записи, работавшие в контексте локальной системы
или в административном контексте.
Любое приложение, отвечающее требованиям Главы 4 спецификации
приложений для Windows 2000: «Управление данными и настройками» (“Data and
Settings Management”), может быть запущено членом группы Users. Узнать,
соответствует ли какое-либо приложение этим требованиям, можно в Каталоге приложений для Windows 2000. Имейте в виду, что не всякое приложение, которое
может успешно работать в контексте пользователя,
соответствует остальным требованиям спецификации.
С появлением Интернета возможности вторжения в систему значительно
расширились, поэтому потребители ищут для работы надежно защищенную среду. Хотя
механизмы защиты операционной системы Windows NT соответствуют этим
требованиям, их не всегда можно применять, т.к. это может отразиться на работе
с приложениями, написанными для более ранних версий ОС Windows. Наличие готовой
к употреблению безопасной политики управления доступом устанавливает стандарт,
на который могут ориентироваться независимые поставщики ПО. В сочетании с
запросами потребителей это будет стимулировать разработку приложений,
учитывающих требования безопасности, что необходимо для защиты среды любой
операционной системы. Другими словами, те, кто полностью перешли на
использование операционной системы Windows 2000, отдадут предпочтение
приложениям, с которыми можно начинать работать сразу после установки. Кроме
того, готовое приложение, предназначенное для использования на компьютерах,
функционирующих под управлением Windows 2000, позволяет лучше защитить систему
просто путем перевода конечных пользователей в группу Users, а не в группу
Power Users или Administrators. До тех пор, пока такие приложения не освоены,
группа Power Users может использоваться в качестве механизма обратной
совместимости для запуска унаследованных приложений.
Некоторые системные администраторы считают, что группа
Power Users является слишком «либеральной» из-за встроенных полномочий,
которыми наделены ее члены, позволяющих:
·
Создавать локальные группы и локальных пользователей
·
Изменять учетные записи созданных ими групп и пользователей
·
Создавать и удалять неадминистративные папки общего пользования.
·
Создавать, удалять локальные принтеры и управлять ими, а также их
коллективным использованием
Можно произвести переконфигурацию других дополнительных
полномочий группы Power User (например, изменение системного времени или
запуск-остановка служб, не запускаемых автоматически), модифицировав соответствующие
пользовательские права группы или списки ACL.
Поскольку нельзя отменить встроенные полномочия,
предоставляемые группе Power Users, то администраторам, собирающимся
поддерживать несертифицированные унаследованные приложения, придется расширить
полномочия членов группы Users, разрешив запуск установленных ими приложений.
Для этой цели в операционную систему Windows 2000 включен шаблон безопасности.
Этот шаблон называется compatws.inf и находится в каталоге
%windir%\security\templates. Его можно применить к системе с помощью утилит из
комплекта Security Configuration Toolset. Например, утилита командной строки
secedit.exe может быть использована следующим образом:
secedit /configure /cfg
compatws.inf /db compatws.sdb
Шаблон расширит полномочия членов группы Users в
соответствии с требованиями унаследованных приложений.
По умолчанию администратор наделен следующими правами:
·
Устанавливать операционные системы
·
Устанавливать и конфигурировать драйверы устройств и
оборудования, хотя установка драйверов печати разрешена группе Power Users
·
Устанавливать системные службы
·
Устанавливать пакеты дополнений, обновлений и исправлений
·
Модернизировать операционную систему
·
Восстанавливать операционную систему
·
Устанавливать приложения, вносящие изменения в системные файлы
Windows
·
Настраивать политику управления паролями.
·
Настраивать политику аудита
·
Управлять журналами системы защиты
·
Создавать административные ресурсы общего доступа.
·
Создавать административные учетные записи
·
Изменять группы и учетные записи, созданные другими
пользователями.
·
Осуществлять удаленный доступ к реестру
·
Запускать и останавливать любую службу
·
Конфигурировать системные службы
·
Увеличивать квоты на использование дискового пространства
·
Менять приоритеты процессов.
·
Завершать работу системы в удаленном режиме
·
Назначать владельцев произвольных объектов
·
Назначать права пользователей
·
Обходить блокировку системы
·
Форматировать жесткий диск
·
Изменять значения общесистемных переменных среды
·
Осуществлять доступ к личным данным пользователей
·
Производить резервное копирование и восстанавливать файлы
Член группы Power User может:
·
Создавать локальные группы и пользователей.
·
Изменять учетные записи созданных им групп и пользователей.
·
Создавать и удалять неадминистративные общие ресурсы файловой
системы.
·
Создавать, удалять локальные принтеры и управлять ими, а также их
коллективным использованием.
·
Изменять системное время (право предоставляется по умолчанию).
·
Останавливать/запускать службы, не запускающиеся автоматически.
По умолчанию члены группы Power
Users также наделены правами на
·
Внесение изменений (Modify) в каталоге Program Files.
·
Внесение изменений (Modify) различных элементов ветви реестра HKEY_LOCAL_MACHINE\Software.
·
Запись (Write) в большинство системных каталогов, в том числе %windir%
и %windir%\system32.
Такие полномочия дают членам
группы Power Users возможность
·
Устанавливать на компьютер большое количество приложений.
Например, таких приложений, которые не вносят изменений в системные файлы
Windows или ветвь реестра HKEY_LOCAL_MACHINE\System.
·
Использовать унаследованные приложения, в которых хранение
пользовательских данных организовано некорректно (не получая сообщений об
ошибках).
К сожалению, именно эти полномочия позволяют членам
группы Power Users также
·
Устанавливать "троянские" программы (Trojan horses),
запуск которых администраторами или пользователями может привести к нарушению
защиты системы и данных.
·
Производить в операционной системе и приложениях изменения,
которые могут помешать работе других пользователей.
Пользователи не могут устанавливать приложения так,
чтобы они были доступны всем, кто работает на компьютере, т.к. они не имеют
права на запись в общесистемные каталоги. Однако нет никаких причин,
запрещающих пользователям (не наделенным административными или расширенными
правами) устанавливать приложения в собственные папки (при условии, что такая
возможность поддерживается программой установки). Подобное приложение должно
устанавливаться в каталог профиля пользователя и вносить изменения только в
настройки ветви реестра HKEY_CURRENT_USER и пункты меню Пуск этого
пользователя. В результате, с таким приложением может работать только
установивший его пользователь. Это единственный безопасный способ, позволяющий
не внушающим доверия пользователям устанавливать приложения.
Да. Поскольку системные администраторы наделены
неограниченным доступом (Full Control) ко всем ресурсам операционной системы,
важно, чтобы при выполнении неадминистративных задач они избегали регистрации в
качестве администраторов. Таким образом, можно защитить систему от разрушающих
кодов, запускаемых в привилегированном контексте. Наиболее распространен
сценарий, когда такой код загружается и запускается из Интернета.
Для того чтобы администраторы оценили преимущество
работы в менее привилегированном контексте, операционная система Windows 2000
предлагает инструмент — RUNAS.EXE, при помощи которого администратор может
регистрироваться в системе как обычный пользователь или член группы Power User
и при этом запускать проверенные утилиты администрирования в административном
контексте без завершения сеанса и повторной регистрации. К примеру, чтобы
запустить окно командной строки в административном контексте, введите:
RUNAS /u:computername\administrator cmd
Приложения, запущенные из этого окна унаследуют его
маркер безопасности. Runas интегрирован также в оболочку Windows 2000, что
позволяет запускать программы и ярлыки из пользовательского интерфейса в
контексте другого пользователя. Для запуска Runas из оболочки выберите
исполняемый файл и нажмите клавиши <Shift>+<Right>.
Контроллеры доменов поддерживают более широкий набор
встроенных групп, чем рабочие станции и серверы, например, группы операторов
учетных записей (Account Operators) и печати (Print Operators). Разрешения на
доступ по умолчанию предоставляются не всем встроенным группам контроллеров
домена. Доступом к файловой системе и реестру, прежде всего, наделены группы:
·
Authenticated Users
·
Server Operators
·
Administrators
Члены группы Authenticated Users, будь то операторы
учетных записей или операторы печати или любые другие пользователи, имеющие
удаленный доступ к контроллеру домена, по умолчанию наделены теми же
ограниченными полномочиями, что и пользователи рабочих станций и серверов (то
есть, правом на чтение (Read) системных файлов и каталогов, полным доступом
(Full Control) к данным собственного профиля и пользовательской ветви реестра
HKCU).
Группа Server Operators на контроллерах доменов наделена
более широкими полномочиями, чем члены групп Power Users рабочих станций и
серверов. Например, ее члены имеют право заменять системные файлы Windows.
Таким образом, только внушающие полное доверие пользователи могут стать членами
группы Server Operators.
Имейте в виду, что в контроллерах доменов не существует
группы Power Users, т.е. невозможна обратная совместимость с приложениями,
работавшими в пользовательском контексте на контроллерах доменов системы
Windows NT 4.0. Microsoft не рекомендует работать с приложениями на
компьютерах, выполняющих функции контроллеров доменов. В особенности это касается
приложений, запуск которых требует более широких прав, чем те, которыми
обладают члены группы Authenticated users.
ПРИЛОЖЕНИЕ A: УСТАНОВЛЕННЫе
ПО УМОЛЧАНИЮ ПРАВа НА ДОСТУП К ФАЙЛОВОЙ СИСТЕМЕ ДЛЯ ГРУПП POWER USERS И users
|
В Таблице 4 перечислены установленные по умолчанию права
на доступ к объектам файловой системы, предоставляемые членам групп Power Users
и Users и вступающие в силу с момента установки операционной системы
Windows 2000 в раздел NTFS. Доступ разрешен к каталогам, подкаталогам и
файлам.
·
%systemdir% — то же, что %windir%\system32.
·
*.* относится ко всем файлам (но не каталогам), содержащимся в
каталоге.
·
RX означает Чтение и Выполнение (Read, Executе).
Таблица 4. Установленные по умолчанию значения параметров
защиты объектов
файловой системы
|
Объект
файловой системы
|
Права,
предоставляемые по умолчанию группе Power User
|
Права,
предоставляемые по умолчанию группе User
|
|
|
c:\boot.ini
|
RX
|
Нет
|
|
|
c:\ntdetect.com
|
RX
|
Нет
|
|
|
c:\ntldr
|
RX
|
Нет
|
|
|
c:\ntbootdd.sys
|
RX
|
Нет
|
|
|
c:\autoexec.bat
|
Modify
|
RX
|
|
|
c:\config.sys
|
Modify
|
RX
|
|
|
\ProgramFiles
|
Modify
|
RX
|
|
|
%windir%
|
Modify
|
RX
|
|
|
%windir%\*.*
|
RX
|
RX
|
|
|
%windir%\config\*.*
|
RX
|
RX
|
|
|
%windir%\cursors\*.*
|
RX
|
RX
|
|
|
%windir%\Temp
|
Modify
|
Synchronize (синхронизация), Traverse (Просмотр и
навигация), Add File (добавление файла), Add Subdir (добавление подкаталога)
|
|
|
%windir%\repair
|
Modify
|
List
|
|
|
%windir%\addins
|
Modify (для каталогов и вложенных каталогов)
RX (для файлов)
|
RX
|
|
|
%windir%\Connection Wizard
|
Modify (для каталогов и вложенных каталогов)
RX (для файлов)
|
RX
|
|
%windir%\fonts\*.*
|
RX
|
RX
|
|
%windir%\help\*.*
|
RX
|
RX
|
|
%windir%\inf\*.*
|
RX
|
RX
|
|
%windir%\java
|
Modify (для каталогов и подкаталогов)
RX (для файлов)
|
RX
|
|
%windir%\media\*.*
|
RX
|
RX
|
|
%windir%\msagent
|
Modify (для каталогов и подкаталогов)
RX (для файлов)
|
RX
|
|
%windir%\security
|
RX
|
RX
|
|
%windir%\speech
|
Modify (для каталогов и подкаталогов)
RX (для файлов)
|
RX
|
|
%windir%\system\*.*
|
RX
|
RX
|
|
%windir%\twain_32
|
Modify (для каталогов и подкаталогов)
RX (для файлов)
|
RX
|
|
%windir%\Web
|
Modify (для каталогов и подкаталогов)
RX (для файлов)
|
RX
|
|
%systemdir%
|
Modify
|
RX
|
|
%systemdir%\*.*
|
RX
|
RX
|
|
%systemdir%\config
|
List
|
List
|
|
%systemdir%\dhcp
|
RX
|
RX
|
|
%systemdir%\dllcache
|
Нет
|
Нет
|
|
%systemdir%\drivers
|
RX
|
RX
|
|
%systemdir%\CatRoot
|
Modify (для каталогов и подкаталогов)
RX (для файлов)
|
RX
|
|
%systemdir%\ias
|
Modify (для каталогов и подкаталогов)
RX (для файлов)
|
RX
|
|
%systemdir%\mui
|
Modify (для каталогов и подкаталогов)
RX (для файлов)
|
RX
|
|
%systemdir%\OS2\*.*
|
RX
|
RX
|
|
%systemdir%\OS2\DLL\*.*
|
RX
|
RX
|
|
%systemdir%\RAS\*.*
|
RX
|
RX
|
|
%systemdir%\ShellExt
|
Modify (для каталогов и подкаталогов)
RX (для файлов)
|
RX
|
|
%systemdir%\Viewers\*.*
|
RX
|
RX
|
|
%systemdir%\wbem
|
Modify (для каталогов и подкаталогов)
RX (для файлов)
|
RX
|
|
%systemdir%\wbem\mof
|
Modify
|
RX
|
|
%UserProfile%
|
Полный доступ
|
Полный доступ
|
|
All Users
|
Modify
|
Read
|
|
All Users\Documents
|
Modify
|
Read, Create File (Создание файла)
|
|
All Users\Application Data
|
Modify
|
Read
|
Имейте в виду, что член группы Power Users может
записывать новые файлы в перечисленные ниже каталоги, но не может изменять
файлы, записанные туда в процессе установки на ее первом этапе (когда программа
установки работает в текстовом режиме). Другие члены группы Power Users
наследуют разрешения изменять файлы, созданные в этих каталогах.
·
%windir%
·
%windir%\config
·
%windir%\cursors
·
%windir%\fonts
·
%windir%\help
·
%windir%\inf
·
%windir%\media
·
%windir%\system
·
%systemdir%
·
%systemdir%\OS2
·
%systemdir%\OS2\DLL
·
%systemdir%\RAS
·
%systemdir%\Viewers
В каталоги, доступ к которым обозначен [Modify (для
каталогов и подкаталогов) RX (для файлов)], члены группы Power Users могут
записывать новые файлы, к которым другие члены этой группы будут иметь доступ
только на чтение (Read).
ПРИЛОЖЕНИЕ B: УСТАНОВЛЕННЫе
ПО УМОЛЧАНИЮ ПРАВа НА ДОСТУП К РЕЕСТРУ ДЛЯ ГРУПП POWER USERS И users
|
В Таблице 5 перечислены установленные по умолчанию права
на доступ к объектам реестра, предоставляемые членам групп Power Users и Users
и вступающие в силу с момента установки операционной системы Windows 2000.
Полномочия распространяются на все указанные объекты и их дочерние объекты, если
они не упомянуты в таблице самостоятельно.
Таблица 5.
Установленные по умолчанию права на доступ к реестру
|
Объект реестра
|
Права,
предоставляемые по умолчанию группе Power User
|
Права,
предоставляемые по умолчанию группе User
|
|
HKEY_LOCAL_MACHINE
|
|
|
|
HKLM\Software
|
Modify
|
Read
|
|
HKLM\SW\Classes\helpfile
|
Read
|
Read
|
|
HKLM\SW\Classes\.hlp
|
Read
|
Read
|
|
HKLM\SW\MS\Command Processor
|
Read
|
Read
|
|
HKLM\SW\MS\Cryptography
|
Read
|
Read
|
|
HKLM\SW\MS\Driver Signing
|
Read
|
Read
|
|
HKLM\SW\MS\EnterpriseCertificates
|
Read
|
Read
|
|
HKLM\SW\MS\Non-Driver Signing
|
Read
|
Read
|
|
HKLM\SW\MS\NetDDE
|
Нет
|
Нет
|
|
HKLM\SW\MS\Ole
|
Read
|
Read
|
|
HKLM\SW\MS\Rpc
|
Read
|
Read
|
|
HKLM\SW\MS\Secure
|
Read
|
Read
|
|
HKLM\SW\MS\SystemCertificates
|
Read
|
Read
|
|
HKLM\SW\MS\Windows\CV\RunOnce
|
Read
|
Read
|
|
HKLM\SW\MS\W NT\CV\DiskQuota
|
Read
|
Read
|
|
HKLM\SW\MS\W NT\CV\Drivers32
|
Read
|
Read
|
|
HKLM\SW\MS\W NT\CV\Font Drivers
|
Read
|
Read
|
|
HKLM\SW\MS\W NT\CV\FontMapper
|
Read
|
Read
|
|
HKLM\SW\MS\W NT\CV\Image File Execution Options
|
Read
|
Read
|
|
HKLM\SW\MS\W NT\CV\IniFileMapping
|
Read
|
Read
|
|
HKLM\SW\MS\W NT\CV\Perflib
|
Read (через группу Interactive)
|
Read (через группу Interactive)
|
|
HKLM\SW\MS\W NT\CV\SecEdit
|
Read
|
Read
|
|
HKLM\SW\MS\W NT\CV\Time Zones
|
Read
|
Read
|
|
HKLM\SW\MS\W NT\CV\AsrCommands
|
Read
|
Read
|
|
HKLM\SW\MS\W NT\CV\Classes
|
Read
|
Read
|
|
HKLM\SW\MS\W NT\CV\Console
|
Read
|
Read
|
|
HKLM\SW\MS\W NT\CV\ProfileList
|
Read
|
Read
|
|
HKLM\SW\MS\W NT\CV\Svchost
|
Read
|
Read
|
|
HKLM\SW\Policies
|
Read
|
Read
|
|
HKLM\System
|
Read
|
Read
|
|
HKLM\SYSTEM\CCS\Control\SecurePipeServers\winreg
|
Нет
|
Нет
|
|
HKLM\SYSTEM\CCS\Control\Session Manager\Executive
|
Modify
|
Read
|
|
HKLM\SYSTEM\CCS\Control\TimeZoneInformation
|
Modify
|
Read
|
|
HKLM\SYSTEM\CCS\Control\WMI\Security
|
Нет
|
Нет
|
|
HKLM\Hardware
|
Read (через группу Everyone)
|
Read (через группу Everyone)
|
|
HKLM\SAM
|
Read (через группу Everyone)
|
Read (через группу Everyone)
|
|
HKLM\Security
|
Нет
|
Нет
|
|
|
|
|
|
HKEY_USERS
|
|
|
|
USERS\.DEFAULT
|
Read
|
Read
|
|
USERS\.DEFAULT\SW\MS\NetDDE
|
Нет
|
Нет
|
|
|
|
|
|
HKEY_CURRENT_CONFIG
|
= HKLM\System\CCS\HardwareProfiles\Current
|
|
|
|
|
|
|
HKEY_CURRENT_USER
|
Full Control
|
Full Control
|
|
|
|
|
|
HKEY_CLASSES_ROOT
|
= HKLM\SW\Classes
|
|
В таблице
использованы следующие обозначения и сокращения:
·
HKLM = HKEY_LOCAL_MACHINE
·
SW = Software
·
MS = Microsoft
·
CV = CurrentVersion
·
CCS = CurrentControlSet
·
W NT = Windows NT
За информацией об операционной системе Windows 2000,
опубликованной позднее настоящего документа, обращайтесь на нашу Web-страницу
или в Форум Windows 2000 Forum на Microsoft Network (ищите по слову:
MSNTS).
