Групповая безопасность

Учетные записи пользователей являются строительными блоками для построения безопасности групп. Группы можно создавать и управлять ими в зависимости от нужд организации. Например, можно разбить всех пользователей на группы, состоящие из руководителей высшего звена, среднего звена и простых служащих. Такая структура будет полезна, если вы хотите дать (или отобрать) разрешение определенной группе пользователей, не затрагивая всей организации. Например, в организации только что установили новый цветной принтер, но вы хотите, чтобы к нему имело доступ только руководство. Дав разрешение на доступ к принтеру только группам, включающим в себя руководителей высшего и среднего звена, вам не придется беспокоиться по поводу того, что все служащие компании будут пользоваться принтером. Более того, надо выдать всего два разрешения (по одному каждой группе пользователей), а не возиться целый день с учетными записями пользователей сети, чтобы выдавать разрешения каждому по отдельности.

Группы безопасности могут быть любого размера. Они включают от одного компьютера или пользователя до всего домена или леса. Все группы безопасности системы Windows XP Professional подпадают под одну из следующих категорий.

• Локальные группы компьютера. Эти группы определены только в рамках работы локального компьютера и не фигурируют нигде внутри домена.
• Локальные группы домена. Разрешения выдаются только устройствам, являющимся частями домена.
• Глобальные группы. Используются в рамках домена для объединения учетных записей пользователей, которым необходим доступ, на основании их работы внутри организации.
• Универсальные группы. Группы этой категории применяются в многодоменной сети для объединения пользователей, которым необходим доступ к сетевым ресурсам на основании их работы в данной организации.

Встроенные принципы безопасности применяются к любой учетной записи, которая использует компьютер определенным образом, по сути, не являясь группой безопасности, но подчиняясь тем же правилам. Например, встроенные принципы безопасности могут применяться к каждому, кто использует соединение наборного доступа, или к любому, кто входит в компьютер из сети.

В основном группы определяются на основании того, в какой части сети они могут использовать разрешения, и по количеству трафика, который генерирует группа. Другим преимуществом использования групп является то, что если они хорошо спланированы и реализованы, то сетевая нагрузка снижается в связи с отсутствием необходимости в обширной репликации контроллера домена.

Whoami

Нет, Whoami - это не группа мирового класса по брэйк-дансу начала 1980-х. Это инструмент командной строки системы Windows XP Professional, который позволяет просматривать разрешения и права, выданные пользователю.

Whoami находится на диске с Windows XP Professional в каталоге Support\Tools. Этот инструмент возвращает имя домена или компьютера наряду с именем текущего пользователя и компьютера, в системе которого работает Whoami. Он показывает имя пользователя и его SID, группы и их идентификаторы защиты, привилегии и статус.

Для инсталляции Whoami щелкните дважды на инструменте SETUP.EXE в каталоге Support/Tools на компакт-диске Windows XP Professional. Затем выполните действия в мастере установки (Support Tools Setup Wizard) для завершения инсталляции Whoami.

Для запуска Whoami в окне команд введите whoami.

Ниже перечислены опции команды Whoami для получения необходимых результатов:

• /all Показывает всю информацию текущего маркера доступа.
• /user Показывает информацию о пользователе, связанном с текущим маркером доступа.
• /groups Показывает группы, связанные с текущим маркером доступа.
• /priv Показывает привилегии, связанные с текущим маркером доступа.
• /logonid Показывает ID входа в систему, используемый в текущей сессии.
• /sid Показывает SID, связанный с текущей сессией. Этот аргумент должен добавляться в конце опций /USER, /GROUPS, /PRIV, /LOGONID.

Далее следуют два примера применения Whoami.

C:\Documents and Settings\Robert Elsenpeter>whoami /user /priv

[User] = "GEONOSIS\Robert Elsenpeter"

(X) SeChangeNotifyPrivilege = Bypass traverse checking

(O) SeSecurityPrivilege = Manage auditing and security log

(O) SeBackupPrivilege = Back up files and directories

(O) SeRestorePrivilege = Restore files and directories

(O) SeSystemtimePrivilege = Change the system time

(O) SeShutdownPrivilege = Shut down the system

(O) SeRemoteShutdownPrivilege = Force shutdown from a remote system

(O) SeTakeOwnershipPrivilege = Take ownership of files or other objects

(O) SeDebugPrivilege = Debug programs

(O) SeSystemEnvironmentPrivilege = Modify firmware environment values

(O) SeSystemProfilePrivilege = Profile system performance

(O) SeProfileSingleProcessPrivilege = Profile single process

(O) SeIncreaseBasePriorityPrivilege = Increase scheduling priority

(X) SeLoadDriverPrivilege = Load and unload device drivers

(O) SeCreatePagefilePrivilege = Create a pagefile

(O) SeIncreaseQuotaPrivilege = Adjust memory quotas for a process

(X) SeUndockPrivilege = Remove computer from docking station

(O) SeManageVolumePrivilege = Perform volume maintenance tasks

Для вывода SID используйте параметры /user и /sid вместе:

C:\Documents and Settings\Robert Elsenpeter>whoami /user /sid

[User] = "GEONOSIS\Robert Elsenpeter" S-1-5-21-606747145-113007714-17085377

68-1003

Листинг 9.1.