Повышение безопасности с ограниченными учетными записями пользователей и ограниченными группами

В Windows XP Home Edition существует два основных типа локальных учетных записей пользователей (помимо учетной записи гостя): администраторы и пользователи с ограниченными правами. С XP Pro все немного сложнее. Пользователей можно объединять в группы, чтобы контролировать, что они могут и чего не могут делать, или можно использовать групповую политику для назначения определенных прав отдельным пользователям. Во многих случаях стандартные встроенные группы работают нормально. По умолчанию новые пользователи являются членами группы «Пользователи». Эти учетные записи ограничены, чтобы они не могли вносить общесистемные изменения конфигурации, но могут быть случаи, когда желательно создать более настраиваемую группу «Ограниченные пользователи» для особых ситуаций.

Проблемы могут возникнуть из-за того, что пользователи могут быть членами нескольких групп. В доменной среде вы можете определить группы с ограниченным доступом для управления членством в важных группах (например, в группах администраторов).

Локальные пользователи против пользователей домена

Все администраторы Windows знают, что в доменной среде существуют как локальные, так и доменные учетные записи пользователей, но многие до сих пор путаются в использовании каждой из них. Локальная учетная запись создается на одном компьютере и хранится в его базе данных Security Account Manager (SAM) на его жестком диске. Учетные записи домена создаются на контроллере домена и хранятся в Active Directory. Чтобы войти на локальный компьютер (выбрав его имя в диалоговом окне входа), вам потребуется локальная учетная запись. Чтобы войти в домен, выбрав сетевое имя в диалоговом окне входа, вам нужна учетная запись домена. Чтобы еще больше запутать ситуацию, один и тот же пользователь может иметь локальную учетную запись и учетную запись домена с одним и тем же именем пользователя и паролем. Однако это по-прежнему две совершенно отдельные учетные записи с разными идентификаторами безопасности (SID).

Пользователь может быть администратором на локальном компьютере, не будучи администратором домена. Однако по умолчанию администраторы домена добавляются в группу локальных администраторов компьютеров, принадлежащих домену. Контроллеры домена (серверы Windows 2000 или компьютеры Windows Server 2003) не имеют функциональных учетных записей локальных администраторов; учетная запись локального администратора создается при настройке сервера, но отключается при повышении уровня до DC. Контроллеры домена управляются членами группы администраторов домена.

Некоторые приложения требуют, чтобы вы вошли в систему как локальный администратор для их запуска. Предоставляя пользователям административные права для этой цели, убедитесь, что вы предоставляете им только локальные административные права; не делайте их администраторами домена. Вы можете добавить учетные записи пользователей Active Directory в группу локальных администраторов с помощью сценария входа или с помощью групп с ограниченным доступом для получения инструкций о том, как это сделать.

Группы по умолчанию и встроенные группы

Здесь снова мы говорим о двух разных группах групп: встроенных локальных группах и встроенных доменных группах. Затем в каждом случае мы должны снова разделить его на встроенные группы (принципы безопасности) и группы пользователей по умолчанию. Это не одно и то же. В Windows XP встроенные группы включают:

• Анонимный вход (в эту группу помещаются те, кто вошел в систему без учетных данных)
  
• Пользователи, прошедшие проверку подлинности (не включая гостевую учетную запись)
  
• Группа создателя (в записи управления доступом основная группа владельца объекта)
  
• Dialup (пользователи, которые получают доступ к компьютеру через коммутируемое соединение)
  
• Интерактивный (пользователи, которые вошли в систему локально)
  
• Сеть (пользователи, которые входят в систему по сети)
  
• Удаленный интерактивный вход (пользователи, которые входят в систему через соединение RDP)
  
• Пользователь терминального сервера (пользователи, получающие доступ к компьютеру через сеанс терминала)
  
• Все (все пользователи, имеющие доступ к компьютеру, включая гостей и пользователей из других доменов. В XP это не включает анонимных пользователей)

Существует также ряд встроенных участников безопасности, которые не являются группами, содержащими пользователей (например: пакетная служба, локальная служба, сетевая служба, служба, система, контроллеры домена предприятия).

С другой стороны, локальные группы по умолчанию — это группы пользователей, которые создаются при установке операционной системы. Это группы, которые вы увидите в узле «Локальные пользователи и группы» консоли «Управление компьютером» в разделе «Инструменты системы». В Windows XP Pro к ним относятся:

• Администраторы (имеют полный доступ к локальному компьютеру)
  
• Опытные пользователи (могут устанавливать программы и изменять общесистемные настройки)
  
• Пользователи (по умолчанию в эту группу добавляются все аутентифицированные пользователи и интерактивные пользователи; однако, если ОС была обновлена до XP с NT 4.0, интерактивные пользователи добавляются в группу опытных пользователей)
  
• Гости (имеют ограниченный доступ)
  
• Пользователи удаленного рабочего стола (разрешен доступ к компьютеру через соединение RDP)
  
• Операторы резервного копирования (могут создавать резервные копии и восстанавливать файлы независимо от разрешений)

Существуют также группы специального назначения, такие как группа Replicator, группа пользователей Debugger, HelpServicesGroup и группа RS_Query.

Встроенные доменные группы в домене Server 2003:

• Операторы учетных записей (могут создавать/управлять/удалять учетные записи, входить в систему локально, выключать систему)
  
• Администраторы (имеют полный доступ ко всем контроллерам домена в домене)
  
• Операторы резервного копирования (могут создавать резервные копии и восстанавливать файлы на всех контроллерах домена независимо от разрешений)
  
• Гости (ограниченный доступ, без прав пользователя по умолчанию)
  
• Операторы настройки сети (могут изменять настройки TCP/IP)
  
• Пользователи монитора производительности (могут отслеживать счетчики производительности)
  
• Пользователи журнала производительности (могут управлять счетчиками производительности, журналами и оповещениями)
  
• Операторы печати (могут управлять, создавать, совместно использовать и удалять принтеры в домене)
  
• Пользователи удаленного рабочего стола (могут удаленно входить в контроллеры домена через RDP-подключение)
  
• Операторы сервера (могут входить в систему в интерактивном режиме, создавать/удалять общие ресурсы и выполнять такие административные задачи, как запуск и остановка некоторых служб)
  
• Пользователи (могут выполнять общие задачи; включает в себя каждую учетную запись пользователя, созданную в домене).

Существуют также специальные группы, такие как группа Replicator и группа Incoming Forest Trust Builders, которые выходят за рамки этого обсуждения.

Группы пользователей по умолчанию в контейнере «Пользователи» на контроллере домена включают:

• Издатели сертификатов (могут публиковать сертификаты)
  
• DnsAdmins (может администрировать службы DNS-сервера)
  
• Администраторы домена (имеют полный доступ к домену, по умолчанию являются членами группы локальных администраторов на всех компьютерах в домене)
  
• Гости домена (ограниченный доступ)
  
• Пользователи домена (по умолчанию все учетные записи пользователей, созданные в домене, являются членами этой группы)
  
• Владельцы-создатели групповой политики (могут изменять групповую политику в домене)

Существуют дополнительные группы по умолчанию, такие как «Администраторы предприятия» и «Администраторы схемы», которые отображаются только в корневом домене леса. Существуют также дополнительные группы по умолчанию, такие как группа IIS_WPG, группа серверов RAS и IAS, группа DnsUpdateProxy и группа «Компьютеры домена и контроллеры домена», которые не содержат пользователей.

Примечание:
Может быть сложно определить действующие права и разрешения, применимые к конкретному пользователю, особенно если этот пользователь принадлежит более чем к одной группе. Вы можете использовать инструмент Whoami (находится в папке Support/Tools на установочном компакт-диске XP Pro) для просмотра содержимого маркера доступа вошедшего в систему пользователя.

Создание индивидуальных учетных записей пользователей с ограниченным доступом

У вас могут быть пользователи, которым нужен доступ к ограниченным ресурсам в сети (например, временные работники). Вы не хотите, чтобы у них был такой же доступ, как у обычных пользователей, но им нужен больший доступ, чем гостям. Вы можете создать для них учетные записи пользователей и поместить их в специальную группу, для которой вы настраиваете права пользователя. Вы также можете дать этой группе разрешения на определенные ресурсы (файлы/папки, общие принтеры и т. д.).

Создайте группу на том уровне, который будет необходим пользователю для выполнения его/ее работы. Если сетевые ресурсы не нужны, вы можете создать локальную учетную запись, и пользователь сможет войти на локальную машину вместо домена. В большинстве случаев вы захотите создать учетные записи домена, чтобы ими можно было управлять централизованно, и чтобы пользователь мог работать с разных компьютеров.

Использование групп с ограниченным доступом

Иногда бывает сложно уследить за тем, кто принадлежит к той или иной группе. В Windows XP/Server 2003 вы можете использовать группы с ограниченным доступом, чтобы лучше контролировать членство в группах. Для этого вы создаете политику групп с ограниченным доступом. Политика определяет, какие пользователи являются членами группы. Когда вы применяете политику, только те пользователи, которые разрешены в политике, будут членами группы с ограниченным доступом. Это предотвращает добавление членов, которые не должны быть разрешены. В группу могут входить только участники, добавленные в политику.

Группы с ограниченным доступом используются для локальных групп на рабочих станциях XP и рядовых серверах Server 2003. Политика определяется и применяется с помощью шаблона безопасности. Вот как создать политику групп с ограниченным доступом:

1. Войдите в систему как администратор.
   
2. Щелкните Пуск | Запустите и введите mmc, чтобы открыть пустую консоль управления.
   
3. Щелкните Файл | Добавить/удалить оснастки.
   
4. В диалоговом окне нажмите кнопку Добавить.
   
5. В разделе «Доступные автономные оснастки» прокрутите вниз и выберите «Шаблоны безопасности», затем нажмите кнопку «Добавить», а затем кнопку « Закрыть». Нажмите «ОК».
   
6. На левой панели MMC разверните узел Шаблоны безопасности, затем разверните папку пути к шаблону (например, c:WINDOWSsecurity empates), затем шаблон, который вы хотите использовать (например, securews для защищенной рабочей станции). ).
   
7. Щелкните правой кнопкой мыши «Группы с ограниченным доступом» и выберите «Добавить группу».
   
8. В диалоговом окне введите имя группы, для которой вы хотите создать политику групп с ограниченным доступом. Нажмите «ОК».
   
9. В диалоговом окне «Настроить членство для <группы>» нажмите кнопку «Добавить», чтобы добавить участников в группу или добавить группы, членом которых вы хотите, чтобы эта группа была.

Вы можете скопировать записи группы с ограниченным доступом из одного шаблона в другой, скопировав и вставив их в MMC шаблонов безопасности.

Резюме

Вы можете повысить безопасность на своих компьютерах с Windows XP и в домене Windows Server 2003, создав специальные ограниченные учетные записи пользователей. Лучший способ сделать это — поместить учетные записи в группы, которым были предоставлены ограниченные настраиваемые права пользователя.

Вы можете использовать функцию политики Restricted Groups в Windows XP/Server 2003, чтобы управлять тем, кому разрешено принадлежать к группам, и группам, которым группа должна принадлежать.