Payagan ang user na mag-log in bilang isang serbisyo. Pag-block sa pagsisimula ng mga session

Sa mga nakaraang artikulo sa mga lokal na patakaran sa seguridad, natutunan mo ang tungkol sa kung paano gumagana ang mga patakaran ng account at mga patakaran sa pag-audit. Sa kaalamang ito, maaari mong lubos na ma-secure ang mga kredensyal ng iyong mga user at masubaybayan ang mga hindi awtorisadong pagtatangka sa pag-access. Ito ay nagkakahalaga ng pagsasaalang-alang na ang mga gumagamit ay walang sapat na kaalaman sa seguridad, at kahit na ang isang ordinaryong gumagamit ay maaaring magkaroon ng sapat na mga pribilehiyo upang magdulot ng pinsala sa kanilang system at maging sa mga computer sa iyong intranet. Ang mga lokal na patakaran sa seguridad para sa pagtatalaga ng mga karapatan ng gumagamit ay nakakatulong upang maiwasan ang mga naturang problema, na, sa katunayan, ay tatalakayin sa artikulong ito. Gamit ang mga patakaran sa pagtatalaga ng mga karapatan ng user, matutukoy mo kung aling mga user o grupo ng user ang bibigyan ng iba't ibang karapatan at pribilehiyo. Gamit ang mga patakarang ito, hindi mo kailangang mag-alala tungkol sa mga user na nagsasagawa ng mga pagkilos na hindi nila dapat gawin. Mayroong 44 na patakaran sa seguridad na magagamit para sa pagtatalaga ng mga karapatan, ang aplikasyon nito ay tatalakayin pa.

Mga patakaran sa pagtatalaga ng mga karapatan ng user

Gaya ng nabanggit sa itaas, mayroong 44 na patakaran sa seguridad para sa pagtatalaga ng mga karapatan ng user. Susunod, maaari mong gawing pamilyar ang iyong sarili sa labingwalong patakaran sa seguridad na responsable para sa pagtatalaga ng iba't ibang mga karapatan sa mga user o grupo sa iyong organisasyon.

Pag-archive ng mga file at direktoryo. Gamit ang patakarang ito, maaari mong tukuyin ang mga user o pangkat na nilalayong magsagawa ng mga operasyon backup mga file, direktoryo, registry key at iba pang mga bagay na napapailalim sa pag-archive. Ang patakarang ito ay nagbibigay ng access para sa mga sumusunod na pahintulot:

Mag-browse ng Mga Folder/Ipatupad ang mga File
Mga Nilalaman ng Folder/Basahin ang Data
Mga katangian ng pagbabasa
Pagbabasa ng mga pinahabang katangian
Mga Pahintulot sa Pagbasa

"Mga Administrator" At "Mga Operator sa Pag-archive", at sa mga controller ng domain – "Mga Operator sa Pag-archive" At "Mga Operator ng Server".

Pag-lock ng mga pahina sa memorya. Gamit ang patakarang panseguridad na ito, maaari mong tukuyin ang mga partikular na user o grupo na pinapayagang gumamit ng mga proseso upang mag-save ng data sa pisikal na memorya upang maiwasang ma-flush ang data sa virtual memory sa disk.

Pagbawi ng mga file at direktoryo. Binibigyang-daan ka ng patakarang ito na tukuyin ang mga user at pangkat na maaaring magsagawa ng pagbawi ng file at direktoryo, pag-bypass sa pag-lock ng mga file, direktoryo, registry key, at iba pang mga bagay na matatagpuan sa mga naka-archive na bersyon ng mga file.

Sa mga workstation at server, ang mga pribilehiyong ito ay ibinibigay sa mga grupo "Mga Administrator" At "Mga Operator sa Pag-archive", at sa mga controller ng domain – "Mga Operator sa Pag-archive" At "Mga Operator ng Server".

Nagla-log in bilang isang batch job. Kapag ang isang trabaho ay ginawa gamit ang job scheduler, inila-log ng operating system ang user sa system bilang isang batch logon user. Ang patakarang ito ay nagpapahintulot sa isang grupo o isang partikular na user na mag-log in gamit ang paraang ito.

Bilang default, sa parehong mga workstation at domain controller, ang mga pribilehiyong ito ay ibinibigay sa mga grupo "Mga Administrator" At "Mga Operator sa Pag-archive".

Mag-login bilang isang serbisyo. Ang ilang mga serbisyo ng system ay nag-log in sa operating system sa ilalim ng iba't ibang mga account. Halimbawa, serbisyo "Windows Audio" tumatakbo sa ilalim ng account "Lokal na Serbisyo", serbisyo "Telepono" gumagamit ng account "Serbisyo sa Network". Tinutukoy ng patakarang ito sa seguridad kung aling mga account ng serbisyo ang maaaring magparehistro ng isang proseso bilang isang serbisyo.

Bilang default, sa parehong mga workstation at server, walang grupo ang may pahintulot na gawin ito.

Magsagawa ng mga gawain sa pagpapanatili ng dami. Gamit ang patakarang ito, maaari mong tukuyin ang mga user o grupo na ang mga miyembro ay maaaring magsagawa ng mga operasyon na nilayon upang mapanatili ang mga volume. Ang mga gumagamit na may ganitong mga pribilehiyo ay may mga karapatan na basahin at baguhin ang hiniling na data kapag nabuksan. karagdagang mga file, maaari din silang mag-browse ng mga drive at magdagdag ng mga file sa memorya na inookupahan ng ibang data.

Bilang default, ang mga administrator lang ng mga workstation at domain controller ang may mga karapatang ito.

Pagdaragdag ng mga workstation sa isang domain. Responsable ang patakarang ito sa pagpayag sa mga user o grupo na magdagdag ng mga computer sa Aktibong domain Direktoryo. Ang isang user na may ganitong mga pribilehiyo ay maaaring magdagdag ng hanggang sampung computer sa domain.

Bilang default, ang lahat ng na-authenticate na user sa mga controller ng domain ay maaaring magdagdag ng hanggang sampung computer.

I-access ang Credential Manager bilang Trusted Caller. Ang Credential Manager ay isang bahagi na idinisenyo upang mag-imbak ng mga kredensyal, tulad ng mga username at password, na ginagamit upang mag-log in sa mga website o iba pang mga computer sa network. Ang patakarang ito ay ginagamit ng Credential Manager sa panahon ng pag-backup at pag-recover at hindi nilayon na malantad sa mga user.

Bilang default, sa parehong mga workstation at server, walang grupo ang may pahintulot na gawin ito.

Pag-access sa isang computer mula sa network. Ang patakaran sa seguridad na ito ay may pananagutan sa pagpayag sa mga tinukoy na user o grupo na kumonekta sa isang computer sa network.

Sa mga workstation at server, ang mga pribilehiyong ito ay ibinibigay sa mga grupo "Mga Administrator" At "Mga Operator sa Pag-archive", "Mga Gumagamit" At "Lahat". Sa mga controller ng domain - "Mga Administrator", "Mga Na-verify na User", "Mga Kontroler ng Domain ng Enterprise" At "Lahat".

Pagsara ng sistema. Gamit ang setting ng patakarang ito, maaari mong ilista ang mga user na pinahintulutang gamitin ang command "Shutdown" pagkatapos ng matagumpay na pag-login.

Sa mga workstation at server, ang mga pribilehiyong ito ay ibinibigay sa mga grupo "Mga Administrator", "Mga Operator sa Pag-archive" At "Mga Gumagamit"(sa mga workstation lang), at sa mga domain controller - "Mga Administrator", "Mga Operator sa Pag-archive", "Mga Operator ng Server" At "Mga Operator ng Pag-print".

Naglo-load at nag-unload ng mga driver ng device. Gamit ang kasalukuyang patakaran, maaari mong tukuyin ang mga user na bibigyan ng mga karapatan na dynamic na mag-load at mag-unload ng mga driver ng device sa kernel mode, ngunit hindi nalalapat ang patakarang ito sa mga PnP device.

Sa mga workstation at server, ang mga pribilehiyong ito ay ibinibigay sa mga grupo "Mga Administrator", at sa mga controller ng domain – "Mga Administrator" At "Mga Operator ng Pag-print".

Pagpapalit ng marker sa antas ng proseso. Gamit ang patakarang panseguridad na ito, maaari mong paghigpitan ang isang user o grupo sa paggamit ng CreateProcessAsUser API function upang payagan ang isang serbisyo na magpatakbo ng isa pang function, proseso, o serbisyo. Ito ay nagkakahalaga ng pagbibigay pansin sa kung ano ang isang aplikasyon "Task Scheduler" ginagamit ang mga pribilehiyong ito para sa trabaho nito.

Bilang default, sa parehong mga workstation at domain controller, ibinibigay ang mga pribilehiyong ito sa mga account "Serbisyo sa Network" At "Lokal na Serbisyo".

Pigilan ang pag-login sa pamamagitan ng Remote Desktop Service. Sa pamamagitan ng paggamit ng patakarang ito sa seguridad, maaari mong paghigpitan ang mga user o grupo sa pag-log on bilang isang Remote Desktop client.

Bilang default, sa parehong mga workstation at server, lahat ay pinapayagang mag-log in bilang isang Remote Desktop client.

Tanggihan ang lokal na pag-login. Pinipigilan ng patakarang ito ang mga indibidwal na user o grupo na mag-log on sa system.

Bilang default, pinapayagan ang lahat ng mga user na mag-log in.

Pagbabago ng label ng bagay. Sa patakaran sa pagtatalaga ng mga karapatan na ito, maaari mong paganahin ang mga tinukoy na user o grupo na baguhin ang mga label ng integridad ng mga object ng ibang user, gaya ng mga file, registry key, o mga proseso.

Bilang default, walang sinuman ang pinapayagang baguhin ang mga label ng bagay.

Pagbabago ng mga setting ng kapaligiran ng tagagawa. Gamit ang patakaran sa seguridad na ito, maaari mong tukuyin kung aling mga user o grupo ang makakabasa ng mga variable ng kapaligiran ng hardware. Ang mga variable ng kapaligiran ng hardware ay mga setting na nakaimbak sa hindi pabagu-bagong memorya ng mga hindi x86 na computer.

Sa mga workstation at domain controller, bilang default, ibinibigay ang mga pribilehiyong ito sa mga grupo "Mga Administrator".

Pagbabago ng oras ng system. Ang patakarang ito ay responsable para sa pagbabago ng oras ng system. Sa pamamagitan ng pagbibigay ng karapatang ito sa mga user o grupo, bilang karagdagan sa pagpapahintulot sa mga pagbabago sa petsa at oras ng panloob na orasan, papayagan mo silang baguhin ang kaukulang oras ng mga sinusubaybayang kaganapan sa snap-in "Viewer ng Kaganapan".

Sa mga workstation at server, ang mga pribilehiyong ito ay ibinibigay sa mga grupo "Mga Administrator" At "Lokal na Serbisyo", at sa mga controller ng domain – "Mga Administrator", "Mga Operator ng Server" At "Lokal na Serbisyo".

Pagbabago ng iyong time zone. Gamit ang iyong kasalukuyang patakaran sa seguridad, maaari mong tukuyin kung aling mga user o grupo ang pinapayagang baguhin ang time zone ng kanilang computer upang ipakita ang lokal na oras, na siyang kabuuan ng oras ng system ng computer at ang offset ng time zone nito.

Sa mga workstation at domain controller, ang mga pribilehiyong ito ay ibinibigay sa mga grupo bilang default "Mga Administrator" At "Mga Gumagamit".

Paglalapat ng mga patakaran at pagtatalaga ng mga karapatan ng user

Sa halimbawang ito, ipapakita ko sa iyo kung paano ka makakapagtalaga ng mga karapatan sa isa sa mga grupo ng iyong organisasyon sa isang domain controller. Sundin ang mga hakbang na ito:

Konklusyon

Sa artikulong ito, ipinagpatuloy namin ang aming pag-aaral ng mga patakaran sa seguridad, ibig sabihin, natutunan namin ang tungkol sa mga patakaran para sa pagtatalaga ng mga karapatan ng user. Gamit ang mga patakaran sa pagtatalaga ng mga karapatan ng user, matutukoy mo kung aling mga user o grupo ng user ang bibigyan ng iba't ibang karapatan at pribilehiyo. Ang 18 sa 44 na patakaran sa seguridad ay inilarawan nang detalyado. Gamit ang halimbawa sa artikulong ito, natutunan mo rin kung paano mailalapat ang mga patakarang ito sa isang organisasyon. Sa susunod na artikulo, matututunan mo ang tungkol sa mga patakarang namamahala sa mga log ng kaganapan.

Kapag gumawa ka ng gawain sa Windows Scheduler at sinubukan itong patakbuhin, may lalabas na error: Ang gawaing ito ay nangangailangan na ang tinukoy na user account ay may mga karapatang mag-log in bilang isang batch job. Ang katotohanan ay ang account kung saan sinusubukan kong tumakbo ay walang sapat na mga karapatan.

Ang setting ng seguridad na ito ay nagpapahintulot sa user na mag-log in gamit ang Batch Job Processor.

Halimbawa, kung ang isang user ay nagpasimula ng isang trabaho gamit ang task scheduler, tinitiyak ng scheduler na ang user ay naka-log in bilang isang batch user sa halip na bilang isang interactive na user.

Tandaan

Sa mga operating room Mga sistema ng Windows 2000 Server, Windows 2000 Professional, Windows XP Professional. at mga pamilya Windows Server Awtomatikong ibinibigay ng 2003 Task Scheduler ang karapatang ito kung kinakailangan.

Magpasya ang problemang ito Maaari mong itakda ang kinakailangang parameter sa patakarang lokal o pangkat at ibigay ang mga kinakailangang karapatan ng user sa landas Account, sa ngalan kung saan ang gawain ay isasagawa, sa "Local Security Policy\Computer Configuration\Windows Configuration\Security Settings\Local Policies\Assign User Rights" dapat piliin ang tamang "Login as a batch job" (Sa dayuhan interface ng wika ito ay nasa "Lokal na patakaran \Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\" ay magha-highlight ng "Mag-log on bilang isang batch job").

Bilang default, ang mga Administrator at Archive Operator ay may mga karapatan sa pangkat na ito, huwag kalimutang idagdag sila dito sa Patakaran ng Grupo, kung hindi, mawawala ang kanilang mga karapatan.

Hindi ko ilalarawan ang anumang bagay nang detalyado dito, at hindi ako kasangkot sa pangangasiwa ng network, mas mabuti para sa isang master ng kanyang craft, isang system administrator, na gawin ito.

2. I-block ang simula ng mga session

Ilunsad ang 1C:Enterprise server administration console, mga bukas na property base ng impormasyon at lagyan ng check ang kahon para sa ari-arian Pinagana ang pag-block sa pagsisimula ng session. Pakitandaan na kapag nag-apply ka ibinigay na mga ari-arian, ang pagsisimula ng anumang mga session ay haharangin, kaya upang maisagawa ang susunod na hakbang, dapat ilunsad ang configurator bago ilapat ang property.

3. Gumawa ng backup na kopya

Narito ito tulad ng sinasabi sa iyo ng iyong kaluluwa. Sa aking opinyon, ang pinakasimpleng at maaasahang paraan paglikha backup na kopya- ito ay pag-upload ng base ng impormasyon sa pamamagitan ng configurator.

4. Magtakda ng mga lokal na patakaran sa seguridad

Buksan ang console na "Local Security Policy" (sa command line i-type ang secpol.msc). Pumunta sa seksyon Mga lokal na patakaran -> Pagtatalaga ng mga karapatan ng user at idagdag ang gumagamit ng domain sa mga patakaran (tingnan ang Larawan 1):

Nagla-log in bilang isang batch job(Mag-log on bilang batch job) - tinitiyak ang paggana ng Task Scheduler nang hindi kailangan ng user na personal na mag-log in sa computer sa ilalim ng kanyang account;
Mag-login bilang isang serbisyo(Mag-log on bilang serbisyo) - nagbibigay-daan sa iyong magpatakbo ng proseso bilang serbisyo sa ngalan ng user.

Bukod pa rito, kung kinakailangan, maaaring idagdag ang user sa mga patakaran:

Pag-access sa isang computer mula sa network(I-access ang computer na ito mula sa network) - ang gumagamit ay may karapatang kumonekta sa isang computer mula sa network;
Lokal na pag-login y (Allow log on locally) - ang user ay may karapatang maglunsad ng interactive na session sa computer;
Payagan ang pag-login sa pamamagitan ng Remote Desktop Service(Pahintulutan ang pag-log on sa pamamagitan ng Remote Desktop Services) - ang user ay may karapatang mag-log in malayong computer sa pamamagitan ng koneksyon sa Remote Desktop Services.

5. Magdagdag ng user ng domain sa mga pangkat

Buksan ang "Computer Management" console, pumunta sa seksyon Mga Utility -> Mga Lokal na Gumagamit -> Mga Gumagamit at tingnan kung aling mga pangkat ang lokal na gumagamit ay nasa ngalan kung saan tumatakbo ang serbisyo ng 1C:Enterprise Server Agent (karaniwang ito ay ang user na USR1CV8) (tingnan ang Larawan 2).
Idinaragdag namin ang user ng domain sa parehong mga pangkat.

6. Ilunsad ang ahente sa ngalan ng gumagamit ng domain

Buksan ang "Services" console, hanapin ang "1C:Enterprise Server Agent" na serbisyo sa listahan at buksan ang mga katangian nito. Sa tab Heneral itigil ang serbisyo, sa tab Mag-login sa halip na lokal na gumagamit ipahiwatig ang domain (tingnan ang Larawan 3).
Bumalik sa tab Heneral at simulan ang serbisyo. Kung ang lahat ay na-configure nang tama, ang serbisyo ay magsisimula nang walang mga problema.

Maaari mong sabihin na ang ika-2 at ika-3 na puntos ay kalabisan, ngunit mas mahusay na maging masyadong maingat kaysa maging masyadong maingat. Ang mga tagubilin ay may bisa hindi lamang para sa isang gumagamit ng domain, ngunit para rin sa isang lokal.