Sa mga nakaraang artikulo sa mga lokal na patakaran sa seguridad, natutunan mo ang tungkol sa kung paano gumagana ang mga patakaran ng account at mga patakaran sa pag-audit. Sa kaalamang ito, maaari mong lubos na ma-secure ang mga kredensyal ng iyong mga user at masubaybayan ang mga hindi awtorisadong pagtatangka sa pag-access. Ito ay nagkakahalaga ng pagsasaalang-alang na ang mga gumagamit ay walang sapat na kaalaman sa seguridad, at kahit na ang isang ordinaryong gumagamit ay maaaring magkaroon ng sapat na mga pribilehiyo upang magdulot ng pinsala sa kanilang system at maging sa mga computer sa iyong intranet. Ang mga lokal na patakaran sa seguridad para sa pagtatalaga ng mga karapatan ng gumagamit ay nakakatulong upang maiwasan ang mga naturang problema, na, sa katunayan, ay tatalakayin sa artikulong ito. Gamit ang mga patakaran sa pagtatalaga ng mga karapatan ng user, matutukoy mo kung aling mga user o grupo ng user ang bibigyan ng iba't ibang karapatan at pribilehiyo. Gamit ang mga patakarang ito, hindi mo kailangang mag-alala tungkol sa mga user na nagsasagawa ng mga pagkilos na hindi nila dapat gawin. Mayroong 44 na patakaran sa seguridad na magagamit para sa pagtatalaga ng mga karapatan, ang aplikasyon nito ay tatalakayin pa.
Mga patakaran sa pagtatalaga ng mga karapatan ng user
Gaya ng nabanggit sa itaas, mayroong 44 na patakaran sa seguridad para sa pagtatalaga ng mga karapatan ng user. Susunod, maaari mong gawing pamilyar ang iyong sarili sa labingwalong patakaran sa seguridad na responsable para sa pagtatalaga ng iba't ibang mga karapatan sa mga user o grupo sa iyong organisasyon.
- Pag-archive ng mga file at direktoryo. Gamit ang patakarang ito, maaari mong tukuyin ang mga user o pangkat na nilalayong magsagawa ng mga operasyon backup mga file, direktoryo, registry key at iba pang mga bagay na napapailalim sa pag-archive. Ang patakarang ito ay nagbibigay ng access para sa mga sumusunod na pahintulot:
- Mag-browse ng Mga Folder/Ipatupad ang mga File
- Mga Nilalaman ng Folder/Basahin ang Data
- Mga katangian ng pagbabasa
- Pagbabasa ng mga pinahabang katangian
- Mga Pahintulot sa Pagbasa
"Mga Administrator" At "Mga Operator sa Pag-archive", at sa mga controller ng domain – "Mga Operator sa Pag-archive" At "Mga Operator ng Server".
Sa mga workstation at server, ang mga pribilehiyong ito ay ibinibigay sa mga grupo "Mga Administrator" At "Mga Operator sa Pag-archive", at sa mga controller ng domain – "Mga Operator sa Pag-archive" At "Mga Operator ng Server".
Bilang default, sa parehong mga workstation at domain controller, ang mga pribilehiyong ito ay ibinibigay sa mga grupo "Mga Administrator" At "Mga Operator sa Pag-archive".
Bilang default, sa parehong mga workstation at server, walang grupo ang may pahintulot na gawin ito.
Bilang default, ang mga administrator lang ng mga workstation at domain controller ang may mga karapatang ito.
Bilang default, ang lahat ng na-authenticate na user sa mga controller ng domain ay maaaring magdagdag ng hanggang sampung computer.
Bilang default, sa parehong mga workstation at server, walang grupo ang may pahintulot na gawin ito.
Sa mga workstation at server, ang mga pribilehiyong ito ay ibinibigay sa mga grupo "Mga Administrator" At "Mga Operator sa Pag-archive", "Mga Gumagamit" At "Lahat". Sa mga controller ng domain - "Mga Administrator", "Mga Na-verify na User", "Mga Kontroler ng Domain ng Enterprise" At "Lahat".
Sa mga workstation at server, ang mga pribilehiyong ito ay ibinibigay sa mga grupo "Mga Administrator", "Mga Operator sa Pag-archive" At "Mga Gumagamit"(sa mga workstation lang), at sa mga domain controller - "Mga Administrator", "Mga Operator sa Pag-archive", "Mga Operator ng Server" At "Mga Operator ng Pag-print".
Sa mga workstation at server, ang mga pribilehiyong ito ay ibinibigay sa mga grupo "Mga Administrator", at sa mga controller ng domain – "Mga Administrator" At "Mga Operator ng Pag-print".
Bilang default, sa parehong mga workstation at domain controller, ibinibigay ang mga pribilehiyong ito sa mga account "Serbisyo sa Network" At "Lokal na Serbisyo".
Bilang default, sa parehong mga workstation at server, lahat ay pinapayagang mag-log in bilang isang Remote Desktop client.
Bilang default, pinapayagan ang lahat ng mga user na mag-log in.
Bilang default, walang sinuman ang pinapayagang baguhin ang mga label ng bagay.
Sa mga workstation at domain controller, bilang default, ibinibigay ang mga pribilehiyong ito sa mga grupo "Mga Administrator".
Sa mga workstation at server, ang mga pribilehiyong ito ay ibinibigay sa mga grupo "Mga Administrator" At "Lokal na Serbisyo", at sa mga controller ng domain – "Mga Administrator", "Mga Operator ng Server" At "Lokal na Serbisyo".
Sa mga workstation at domain controller, ang mga pribilehiyong ito ay ibinibigay sa mga grupo bilang default "Mga Administrator" At "Mga Gumagamit".
Paglalapat ng mga patakaran at pagtatalaga ng mga karapatan ng user
Sa halimbawang ito, ipapakita ko sa iyo kung paano ka makakapagtalaga ng mga karapatan sa isa sa mga grupo ng iyong organisasyon sa isang domain controller. Sundin ang mga hakbang na ito:
Konklusyon
Sa artikulong ito, ipinagpatuloy namin ang aming pag-aaral ng mga patakaran sa seguridad, ibig sabihin, natutunan namin ang tungkol sa mga patakaran para sa pagtatalaga ng mga karapatan ng user. Gamit ang mga patakaran sa pagtatalaga ng mga karapatan ng user, matutukoy mo kung aling mga user o grupo ng user ang bibigyan ng iba't ibang karapatan at pribilehiyo. Ang 18 sa 44 na patakaran sa seguridad ay inilarawan nang detalyado. Gamit ang halimbawa sa artikulong ito, natutunan mo rin kung paano mailalapat ang mga patakarang ito sa isang organisasyon. Sa susunod na artikulo, matututunan mo ang tungkol sa mga patakarang namamahala sa mga log ng kaganapan.
Kapag gumawa ka ng gawain sa Windows Scheduler at sinubukan itong patakbuhin, may lalabas na error: Ang gawaing ito ay nangangailangan na ang tinukoy na user account ay may mga karapatang mag-log in bilang isang batch job. Ang katotohanan ay ang account kung saan sinusubukan kong tumakbo ay walang sapat na mga karapatan.
Ang setting ng seguridad na ito ay nagpapahintulot sa user na mag-log in gamit ang Batch Job Processor.
Halimbawa, kung ang isang user ay nagpasimula ng isang trabaho gamit ang task scheduler, tinitiyak ng scheduler na ang user ay naka-log in bilang isang batch user sa halip na bilang isang interactive na user.
Tandaan
- Sa mga operating room Mga sistema ng Windows 2000 Server, Windows 2000 Professional, Windows XP Professional. at mga pamilya Windows Server Awtomatikong ibinibigay ng 2003 Task Scheduler ang karapatang ito kung kinakailangan.
Magpasya ang problemang ito Maaari mong itakda ang kinakailangang parameter sa patakarang lokal o pangkat at ibigay ang mga kinakailangang karapatan ng user sa landas Account, sa ngalan kung saan ang gawain ay isasagawa, sa "Local Security Policy\Computer Configuration\Windows Configuration\Security Settings\Local Policies\Assign User Rights" dapat piliin ang tamang "Login as a batch job" (Sa dayuhan interface ng wika ito ay nasa "Lokal na patakaran \Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\" ay magha-highlight ng "Mag-log on bilang isang batch job").
Bilang default, ang mga Administrator at Archive Operator ay may mga karapatan sa pangkat na ito, huwag kalimutang idagdag sila dito sa Patakaran ng Grupo, kung hindi, mawawala ang kanilang mga karapatan.
Hindi ko ilalarawan ang anumang bagay nang detalyado dito, at hindi ako kasangkot sa pangangasiwa ng network, mas mabuti para sa isang master ng kanyang craft, isang system administrator, na gawin ito.2. I-block ang simula ng mga session
Ilunsad ang 1C:Enterprise server administration console, mga bukas na property base ng impormasyon at lagyan ng check ang kahon para sa ari-arian Pinagana ang pag-block sa pagsisimula ng session. Pakitandaan na kapag nag-apply ka ibinigay na mga ari-arian, ang pagsisimula ng anumang mga session ay haharangin, kaya upang maisagawa ang susunod na hakbang, dapat ilunsad ang configurator bago ilapat ang property.3. Gumawa ng backup na kopya
Narito ito tulad ng sinasabi sa iyo ng iyong kaluluwa. Sa aking opinyon, ang pinakasimpleng at maaasahang paraan paglikha backup na kopya- ito ay pag-upload ng base ng impormasyon sa pamamagitan ng configurator.4. Magtakda ng mga lokal na patakaran sa seguridad
Buksan ang console na "Local Security Policy" (sa command line i-type ang secpol.msc). Pumunta sa seksyon Mga lokal na patakaran -> Pagtatalaga ng mga karapatan ng user at idagdag ang gumagamit ng domain sa mga patakaran (tingnan ang Larawan 1):- Nagla-log in bilang isang batch job(Mag-log on bilang batch job) - tinitiyak ang paggana ng Task Scheduler nang hindi kailangan ng user na personal na mag-log in sa computer sa ilalim ng kanyang account;
- Mag-login bilang isang serbisyo(Mag-log on bilang serbisyo) - nagbibigay-daan sa iyong magpatakbo ng proseso bilang serbisyo sa ngalan ng user.
- Pag-access sa isang computer mula sa network(I-access ang computer na ito mula sa network) - ang gumagamit ay may karapatang kumonekta sa isang computer mula sa network;
- Lokal na pag-login y (Allow log on locally) - ang user ay may karapatang maglunsad ng interactive na session sa computer;
- Payagan ang pag-login sa pamamagitan ng Remote Desktop Service(Pahintulutan ang pag-log on sa pamamagitan ng Remote Desktop Services) - ang user ay may karapatang mag-log in malayong computer sa pamamagitan ng koneksyon sa Remote Desktop Services.
5. Magdagdag ng user ng domain sa mga pangkat
Buksan ang "Computer Management" console, pumunta sa seksyon Mga Utility -> Mga Lokal na Gumagamit -> Mga Gumagamit at tingnan kung aling mga pangkat ang lokal na gumagamit ay nasa ngalan kung saan tumatakbo ang serbisyo ng 1C:Enterprise Server Agent (karaniwang ito ay ang user na USR1CV8) (tingnan ang Larawan 2).Idinaragdag namin ang user ng domain sa parehong mga pangkat.
6. Ilunsad ang ahente sa ngalan ng gumagamit ng domain
Buksan ang "Services" console, hanapin ang "1C:Enterprise Server Agent" na serbisyo sa listahan at buksan ang mga katangian nito. Sa tab Heneral itigil ang serbisyo, sa tab Mag-login sa halip na lokal na gumagamit ipahiwatig ang domain (tingnan ang Larawan 3).Bumalik sa tab Heneral at simulan ang serbisyo. Kung ang lahat ay na-configure nang tama, ang serbisyo ay magsisimula nang walang mga problema.
Maaari mong sabihin na ang ika-2 at ika-3 na puntos ay kalabisan, ngunit mas mahusay na maging masyadong maingat kaysa maging masyadong maingat. Ang mga tagubilin ay may bisa hindi lamang para sa isang gumagamit ng domain, ngunit para rin sa isang lokal.