Применение групп в сетях Microsoft

Примечание: далее в этом разделе речь пойдет только о группах безопасности (security groups). Группы распространения (distribution groups) не используются для обеспечения безопасности и здесь не рассматриваются.
Группы пользователей играют важную роль в обеспечении безопасности сети. Всего в сетях Microsoft существует 4 области действия групп (group scopes).

• Локальные группы (local groups) хранятся в локальной базе безопасности и «не видны» за пределами этого компьютера. Эти группы существуют на компьютерах, не являющихся контроллерами домена. Примерами локальных групп являются Power Users и Administrators.
• Локальные группы домена (domain local groups) главным образом используются для назначения разрешений на доступ к локальным ресурсам домена. Эти группы располагаются на контроллерах домена, «видны» во всем домене, но не видны за его пределами.
• Глобальные группы (global groups) также располагаются на контроллерах домена, но «видны» в пределах всего леса Active Directory. Недостатком таких групп является то, что члены такой группы могут принадлежать только домену, где эта группа была создана. Примерами глобальных групп являются Domain Users и Domain Admins.
• Универсальные группы (universal groups) в основном применяют для предоставления доступа к ресурсам во всех доверенных доменах. Однако такие группы могут использоваться только в доменах, функциональный уровень которых — основной режим Windows 2000 (Windows 2000 native) или режим Windows Server 2003 (Windows Server 2003). Универсальная группа может содержать членов из любого домена, и ей могут быть присвоены полномочия доступа к ресурсам любого домена.

Компания Microsoft рекомендует следующие стратегии применения групп для назначения разрешений доступа к ресурсам:

• В случае небольшого количества доменов — стратегию A-G-DL-P. Ее смысл состоит в том, что на контроллере домена создаются несколько глобальных групп (G), в которые пользователи (А) объединяются по общим характеристикам (например, в университете может быть глобальная группа G_Students и глобальная группа G_Tutors). В то же время для каждого из общих ресурсов, таких как общая папка или принтер, создается одна или несколько локальных групп домена (DL). Каждая такая группа определяет свой уровень доступа к ресурсу. Например, для общей папки Research могут быть созданы группы DL_Research_Read и DL_Research_Modify. Этим локальным группам домена назначаются разрешения (Р) на ресурс. В качестве финального шага глобальные группы включаются в нужные локальные группы домена.
• В случае большого количества доменов, когда пользователям разных доменов нужно получить доступ к однотипным ресурсам, расположенным в нескольких доменах — стратегию A-G-U-DL-P (учетные записи включаются в глобальные группы, глобальные группы включаются в одну универсальную группу, универсальная группа включается в соответствующие локальные группы домена, которым назначаются разрешения на ресурсы).

Следование этим стратегиям приведет к созданию на первом этапе большого числа локальных групп домена, но это в последующем будет полностью компенсировано удобством назначения разрешений на ресурсы. При этом от прямого назначения разрешений глобальным группам следует полностью отказаться..
Ниже перечислены основные группы в домене Active Directory (располагаются на контроллерах домена) и их возможности.

Основными инструментами для управления группами являются административное средство Active Directory Users and Computers и утилиты командной строки dsadd и dsmod. Просмотреть собственное членство в группах можно с помощью команды whoami.

Поскольку хорошей административной практикой является минимизация членства в критических группах (таких как Administrators, Domain Admins и Enterprise Admins), можно воспользоваться групповой политикой для контроля над группами. С помощью раздела Restricted Groups (Computer configuration -Windows Settings - Security Settings) можно задать, кто должен входить в ту или иную группу на целевом компьютере (компьютере, который подпадает под действие GPO). При этом если на целевом компьютере нужный пользователь отсутствует в группе, он будет автоматически добавлен, если же в группе присутствуют пользователи, не определенные групповой политикой, они будут удалены из группы.

Обзор технологий защиты данных

Одной из задач администратора безопасности является обеспечение безопасности данных. В это понятие входит как привычное разграничение доступа (access contrul), так и предотвращение потери данных, и обеспечение сохранности данных при сбоях. Поэтому администратор должен выработать единую стратегию защиты, включающую в себя ответы наследующие вопросы.

• Где хранятся данные — локально на каждом клиентском компьютере или централизованно на сервере?
• Как часто выполняется резервное копирование данных, и какие именно данные попадают в резервную копию?
• Какие технологии используются для обеспечения доступности данных при сбоях аппаратного обеспечения? Примерами таких технология являются RAID, серверные кластеры, автономное кэширование данных на клиентских компьютерах.
• Применяется ли защита от вирусов?
• Как будет проводиться разграничение доступа к данным?
• Как будет обеспечена защита данных на локальном жестком диске?

Для контроля доступа в сетях Microsoft применяют как разрешения NTFS, так и разрешения на общие папки. Защиту данных на локальном жестком диске может обеспечить технология Encrypting File System (EFS).

Контроль доступа к ресурсам

Файловая система NTFS позволяет контролировать доступ к данным на уровне файлов и папок. С каждым файлом и папкой ассоциируется список контроля доступа (Access Contrul List, ACL). В этом списке перечисляются SID'ы пользователей и групп, а также соответствующие им разрешения, такие как Read, Write, Full Contrul. При назначении разрешений можно не только явно разрешить действие, например, установив флажок Allow - Read, но и явно запретить действие (Deny - Read). Для упрощения назначения разрешений в NTFS используется механизм наследования (inheritance) — по умолчанию все дочерние объекты (файлы и папки) наследуют разрешения, назначенные родительскому объекту (папке или диску). Тем не менее, в любой момент можно прервать цепочку наследования и назначить на дочерний объект разрешения, отличающиеся от разрешений на родительский объект.
При контроле доступа средствами NTFS следует помнить следующие правила.

• Разрешение на файл имеет больший приоритет, чем разрешение на родительскую папку. Исключение составляет разрешение Full Contrul на папку. В этом случае пользователь может удалить файл из папки независимо от разрешений на файл.
• Разрешения типа Allow, полученные от членства в различных группах, суммируются.
• Явный запрет (Deny) имеет больший приоритет, чем явное разрешение (Allow). Например, если пользователь входит в две группы — Sales и Manages, и группе Sales назначено разрешение Allow Modify, а группе Manages — Deny Full Contrul, то пользователь не получит доступа к этому ресурсу.
• Явно назначенные разрешения имеют больший приоритет, чем унаследованные (это относится и к явному запрету).

Поскольку разрешения NTFS обеспечивают большую функциональность, для упрощения администрирования компания Microsoft рекомендует не пользоваться разрешениями на общую папку вообще (т.е. устанавливать на общую папку разрешение Authenticated users — Full Contrul или Users — Full Contrul), а контролировать доступ исключительно средствами NTFS. Тем не менее если требуется комбинировать разрешения NTFS и разрешения на общую папку, то эффективные (действующие) разрешения — это наиболее ограничивающие из двух типов. Примеры определения эффективных разрешений приведены в таблице 5.2.
Таблица 5.2. Примеры определения эффективных разрешений при одновременном использовании разрешений на общую папку и разрешений NTFS

Encrypting File System
Encrypting File System (EFS) — технология, реализованная в файловой системе NTFS и позволяющая выполнять шифрование данных на жестком диске компьютера. При этом обеспечивается прозрачная работа пользователя с зашифрованным файлом.
EFS использует комбинацию симметричных и асимметричных алгоритмов шифрования. Сам файл шифруется с помощью симметричного алгоритма (DESX в Windows 2000 и DESX, 3DES или AES 256 в Windows ХР SP1 и Windows Server 2003). Для шифрования генерируется случайный симметричный ключ шифрования файла (file encryption key), который, в свою очередь, шифруется с помощью алгоритма RSA открытым ключом пользователя. Зашифрованный симметричный ключ сохраняется вместе с зашифрованным файлом в структуре, которая носит название Data Decryption Field (DDF).

В Windows 2000 для работы EFS обязательно требовался Агент восстановления (Recovery Agent) — пользователь, который мог выполнить расшифровывание файла в случае, если этого не мог сделать пользователь. В Windows ХР Professional и Windows Server 2003 применение Агента восстановления рекомендуется, но не является обязательным. В случае использования Агента, заголовок файла включает также структуру Data Recovery Field (DRF) — симметричный ключ шифрования"файла, зашифрованный открытым ключом Агента восстановления. При необходимости в организации может быть назначено несколько Агентов восстановления. При этом в заголовке зашифрованного файла появится несколько структур DRF, как показано на рисунке 5.1
По сравнению с Windows 2000 в EFS Windows ХР/2003 появилась также возможность совместного использования зашифрованного файла. Пользователь, выполнивший шифрование, может указать других пользователей, которым требуется доступ к файлу. При этом в заголовке зашифрованного файла появится несколько структур DDF, как показано на рисунке 5.1.
Работа EFS несколько отличается для случаев рабочей группы и домена. Ниже приведены некоторые особенности работы EFS в рабочей группе и домене при использовании ОС Windows ХР Professional и Windows Server 2003.

Особенности работы EFS на компьютере, являющемся членом рабочей группы

• Если пользователь не использует смарт-карту или USB-токен, где хранится сертификат для шифрования файлов, то при первой попытке шифрования файла система автоматически создаст для пользователя пару асимметричных ключей и оформит открытый ключ в самостоятельно подписанный сертификат (self-signed certificate). И секретный ключ, и сертификат сохраняются в профиле пользователя, при этом секретный ключ шифруется с использованием дополнительного ключа, вычисляемого на основе пароля пользователя.
• В рабочей группе Агент восстановления по умолчанию отсутствует.
• Для добавления Агента восстановления для него сначала генерируется специальный сертификат и секретный ключ (команда CIPHER /R:LocalDRA). Затем с помощью редактора локальной политики (gpedit.msc) импортируется созданный на предыдущем шаге сертификат. Важно знать, что заданный Агент восстановления вступит в действие только для тех файлов, которые были зашифрованы после его назначения.
• При смене администратором пароля локального пользователя, секретный ключ, хранящийся в профиле этого пользователя, не сможет быть расшифрован пользователем. Это значит, что после сброса пароля пользователь больше не сможет расшифровать свои зашифрованные файлы. Это утверждение не действует, если пользователь сам изменяет свой пароль.
• Для предотвращения потери данных из-за смены пароля администратором, каждый пользователь, использующий EFS, должен создать для себя диск сброса пароля (password reset disk). Процедура создания диска описана в статье КВ305478 How to create and use a password reset disk for a computer that is not a domain member in Windows XP (http://support.microsoft.com/kb/305478).

•      Для выключения EFS нужно использовать редактор локальной политики gpedit.msc (раздел Computer Configuration - Windows Settings - Security Settings - Public Key Pulicies - Encrypting File System - Properties   снять флажок Allow users to encrypt files using Encrypting File System).

Особенности работы EFS на компьютере, являющемся членом домена

• Если пользователь не использует смарт-карту или USB-токен, где хранится сертификат для шифрования файлов, то при первой попытке шифрования файла система автоматически генерирует пользователю пару асимметричных ключей. Если на предприятии используется Центр сертификации типа Enterprise СА, то сертификат с открытым ключом подписывается этим центром сертификации и автоматически публикуется в свойствах учетной записи пользователя в Active Directory. Если Центр сертификации не используется, то открытый ключ оформляется в самостоятельно подписанный сертификат. И секретный ключ, и сертификат сохраняются в профиле пользователя.
• В домене Агентом восстановления по умолчанию является доменная учетная запись Administrator.
• Для добавления нового Агента восстановления для него требуется получить специальный сертификат (шаблон EFS Recovery Agent) у Центра сертификации. Затем Агент восстановления назначается с помощью групповой политики на уровне домена или подразделения.
• Сброс администратором пароля для доменной учетной записи пользователя не влияет на работу EFS.
• Шифрование файлов в общих папках на удаленных серверах поддерживается, но для этого требуется включение делегирования. Включение делегирования выполняется в свойствах учетной записи компьютера, на котором предполагается удаленное шифрование (закладка Delegation), выбором опции Trust this computer for delegation to any service (Kerberos only). Примечание: закладка Delegation видна только если функциональный уровень домена — Windows Server 2003. Также рекомендуется применение перемещаемых профилей пользователей (roaming user profiles).
• Для выключения EFS нужно использовать локальную или групповую политику (Computer Configuration - Windows Settings - Security Settings - Public Key Pulicies - Encrypting File System -Properties - снять флажок Allow users to encrypt files using Encrypting File System).
• При работе с зашифрованными файлами на удаленном сервере файлы передаются по сети в незашифрованном виде.

Методика восстановления шифрованных файлов EFS

При необходимости Агент восстановления может расшифровать файл двумя способами.

• Экспортировать сертификат Агента восстановления и секретный ключ в .pfx-файл, выполнить импорт сертификата и ключа на том компьютере, где находятся файлы, а затем расшифровать необходимые файлы.
• С помощью утилиты Windows Backup выполнить резервное копирование зашифрованных файлов, восстановить файлы на компьютере, где находится ключ восстановления, а затем расшифровать файлы. Этот вариант является более предпочтительным, так как не требует переноса ключа.