Вхід в якості служби додати користувача. Задаємо локальні політики безпеки

У попередніх статтях, присвячених локальним політикам безпеки, ви дізналися про принципи роботи політик облікових записів і політик аудиту. Володіючи набутими знаннями, ви можете значно убезпечити облікові дані ваших користувачів і відстежувати спроби несанкціонованого доступу. Варто врахувати, що користувачі не володіють достатньою базою знань щодо забезпечення безпеки і навіть у звичайного користувача може бути досить привілеїв для нанесення шкоди своїй системі і навіть комп'ютерів у вашій интрасети. Уникнути подібних проблем допомагають локальні політики безпеки призначення прав користувача, про що, власне, і піде мова в даній статті. За допомогою політик призначення прав користувача ви можете самі визначити, для яких користувачів або груп користувачів будуть надані різні права і привілеї. Оперуючи даними політиками, ви можете не хвилюватися за те, що користувачі будуть виконувати дії, які їм робити не годиться. Для призначення прав доступні 44 безпекової політики, про застосування яких далі піде мова.

Політики призначення прав користувачів

Як говорилося вище, для призначення прав користувачів існує 44 політики безпеки. Далі ви зможете ознайомитися з вісімнадцятьма політиками безпеки, які відповідають за призначення різних прав для користувачів або груп вашої організації.

  1. Архівація файлів та каталогів. За допомогою даної політики ви можете вказати осіб чи груп, призначені для виконання операцій резервного копіювання файлів, каталогів, розділів реєстру та інших об'єктів, які підлягають архівації. Дана політика надає доступ для наступних дозволів:
  • Огляд папок / Виконання файлів
  • Вміст папки / Читання даних
  • читання атрибутів
  • Читання розширених атрибутів
  • читання дозволів

«Адміністратори» і «Оператори архівації», А на контролерах домену - «Оператори архівації» і «Оператори сервера».

  • Блокування сторінок в пам'яті. Використовуючи цю політику безпеки, ви можете вказати конкретних осіб чи груп, яким дозволяється використовувати процеси для збереження даних у фізичній пам'яті для запобігання скиданню даних у віртуальну пам'ять на диску.
  • Відновлення файлів і каталогів. Ця політика дозволяє вам вказувати користувачів і групи, які можуть виконувати відновлення файлів і каталогів, в обхід блокування файлів, каталогів, розділів реєстру та інших об'єктів, розташованих в архівних версіях файлів.

    • На робочих станціях і серверах дані привілеї надаються групам «Адміністратори» і «Оператори архівації», А на контролерах домену - «Оператори архівації» і «Оператори сервера».

  • Вхід в якості пакетного завдання. При створенні завдання, використовуючи планувальник завдань, операційна система реєструє користувача в системі як користувача з пакетним входом. Дана політика дозволяє групі або певному користувачеві входити в систему за допомогою такого методу.

    • За замовчуванням, як на робочих станціях, так і на контролерах домену, дані привілеї надаються групам «Адміністратори» і «Оператори архівації».

  • Вхід в якості служби. Деякі системні служби здійснюють вхід в операційну систему під різними обліковими записами. Наприклад, служба «Windows Audio» запускається під обліковим записом «Локальна служба», служба «Телефонія» використовує обліковий запис «Мережева служба». Дана політика безпеки визначає, які облікові записи служб можуть зареєструвати процес в якості служби.

    • За замовчуванням, як на робочих станціях, так і на серверах, ні в однієї групи немає на це дозволів.

  • Виконання завдань по обслуговуванню томів. Використовуючи цю політику, ви можете вказати осіб чи груп, учасники яких можуть виконувати операції, призначені для обслуговування томів. У користувачів, що володіють такими привілеями, є права на читання і зміна запитаних даних після відкриття додаткових файлів, вони також можуть переглядати диски і додавати файли у пам'ять, зайняту іншими даними.

    • За замовчуванням, такими правами володіють тільки адміністратори робочих станцій і контролерів домену.

  • Додавання робочих станцій до домену. Ця політика відповідає за дозвіл користувачам або групам додавати комп'ютери в домен Active Directory. Користувач, що володіє даними привілеями, може додати в домен до десяти комп'ютерів.

    • За замовчуванням, всі користувачі, які пройшли перевірку автентичності, на контролерах домену можуть додавати до десяти комп'ютерів.

  • Доступ до диспетчера облікових даних від імені довіреної викликає. Диспетчер облікових даних - це компонент, який призначений для зберігання облікових даних, таких як імена користувачів і паролі, які використовуються для входу на веб-сайти або інші комп'ютери в мережі. Ця політика використовується диспетчером облікових даних в ході архівації та відновлення, і її не бажано надавати користувачам.

    • За замовчуванням, як на робочих станціях, так і на серверах, ні в однієї групи немає на це дозволів.

  • Доступ до комп'ютера з мережі. Дана політика безпеки відповідає за дозвіл підключення до комп'ютера по мережі зазначеним користувачам або групам.

    • На робочих станціях і серверах дані привілеї надаються групам «Адміністратори» і «Оператори архівації», «Користувачі» і "Усе". На контролерах домену - «Адміністратори», «Перевірені користувачі», «Контролери домену підприємства» і "Усе".

  • Завершення роботи системи. Використовуючи цей параметр політики, ви можете скласти список користувачів, які мають право на використання команди "Завершення роботи" після вдалого входу в систему.

    • На робочих станціях і серверах дані привілеї надаються групам «Адміністратори», «Оператори архівації» і «Користувачі» (Тільки на робочих станціях), а на контролерах домену - «Адміністратори», «Оператори архівації», «Оператори сервера» і «Оператори друку».

  • Завантаження і вивантаження драйверів пристроїв. За допомогою поточної політики ви можете вказати користувачів, яким будуть надані права на динамічне завантаження і вивантаження драйверів пристроїв в режимі ядра, причому ця політика не поширюється на PnP-пристрої.

    • На робочих станціях і серверах дані привілеї надаються групам «Адміністратори», А на контролерах домену - «Адміністратори» і «Оператори друку».

  • Заміна маркера рівня процесу. Використовуючи дану політику безпеки, ви можете обмежити користувачів або групу від використання API-функції CreateProcessAsUser для того, щоб одна служба могла запускати іншу функцію, процес або службу. Варто звернути увагу на те, що такий додаток як "Планувальник завдань" для своєї роботи використовує дані привілеї.

    • За замовчуванням, як на робочих станціях, так і на контролерах домену, дані привілеї надаються облікових записів «Мережева служба» і «Локальна служба».

  • Заборонити вхід в систему через службу віддалених робочих столів. За допомогою даної політики безпеки ви можете обмежити осіб чи груп від входу в систему в якості клієнта віддалених робочих столів.

    • За замовчуванням, як на робочих станціях, так і на серверах, всім дозволено входити в систему як клієнтові віддалених робочих столів.

  • Заборонити локальний вхід. Дана політика забороняє окремим користувачам або групам виконувати вхід в систему.

    • За замовчуванням всім користувачам дозволено вхід в систему.

  • Зміна мітки об'єктів. Завдяки цій політиці призначення прав, ви можете надати можливість зазначеним користувачам або групам змінювати мітки цілісності об'єктів інших користувачів, таких як файли, розділи реєстру або процеси.

    • За замовчуванням нікому не дозволено змінювати мітки об'єктів.

  • Зміна параметрів середовища виробника. Використовуючи цю політику безпеки, ви можете вказати осіб чи груп, яким буде доступна можливість читання змінних апаратної середовища. Змінні апаратної середовища - це параметри, які зберігаються в незалежній пам'яті комп'ютерів, архітектура яких відмінна від x86.

    • На робочих станціях і контролерах домену, за замовчуванням дані привілеї надаються групам «Адміністратори».

  • Зміна системного часу. Ця політика відповідає за зміну системного часу. Надавши дане право користувачам або групам, ви тим самим крім дозволу зміни дати і часу внутрішнього годинника дозволите їм змінювати відповідний час відслідковуються подій в оснащенні «Перегляд подій».

    • На робочих станціях і серверах дані привілеї надаються групам «Адміністратори» і «Локальна служба», А на контролерах домену - «Адміністратори», «Оператори сервера» і «Локальна служба».

  • Зміна часового поясу. За допомогою поточної політики безпеки, ви можете вказати осіб чи груп, яким дозволено зміна часового поясу свого комп'ютера для відображення місцевого часу, яке представляє собою суму системного часу комп'ютера і зміщення часового поясу.

    • На робочих станціях і контролерах домену за замовчуванням дані привілеї надаються групам «Адміністратори» і «Користувачі».

    Застосування політик призначення прав користувачів

    У цьому прикладі я розповім, як можна призначити права для однієї з груп вашої організації на контролері домену. Виконайте наступні дії:


    висновок

    У даній статті ми продовжили вивчення політик безпеки, а саме, дізналися про політиків призначення прав користувачів. За допомогою політик призначення прав користувача ви можете самі визначити, для яких користувачів або груп користувачів будуть надані різні права і привілеї. Докладно описані 18 з 44 політик безпеки. На наведеному в статті прикладі ви також дізналися про те, як можна застосувати дані політики в організації. У наступній статті ви дізнаєтеся політиків, керівників журналами подій.

    При створенні в планувальнику windows завдання і спробі його запустити вискакує помилка Дане завдання вимагає, щоб зазначена обліковий запис користувача мала права вхід в якості пакетного завдання. Справа в тому що облікового запису від імені якої намагаюся запустити не вистачає прав.

    Ця настройка безпеки дозволяє користувачеві входити в систему за допомогою засобу обробки пакетних завдань.

    Наприклад, якщо користувач ініціює завдання за допомогою планувальника завдань, планувальник забезпечує йому вхід в систему як пакетного користувачеві, а не як інтерактивного.

    Примітка

    • В операційних системах Windows 2000 Server, Windows 2000 Professional, Windows XP Professional. і сімейства Windows Server 2003 планувальник завдань автоматично надає це право як обов'язкове.

    Вирішити дану проблему можна або в локальній або в груповій політиці прописати потрібний параметр і дати потрібного користувачеві права шляхом облікового запису, від імені якої має виконуватися завдання, в "Локальної політиці безпеки \\ Конфігурація комп'ютера \\ Конфігурація Windows \\ Параметри безпеки \\ Локальні політики \\ Призначення прав користувача "має бути виділено право" Вхід в якості пакетного завдання "(в аноязичном інтерфейсі буде в" Local policy \\ Computer Configuration \\ Windows Settings \\ Security Settings \\ Local Policies \\ User Rights Assignment \\ "виділяться" Log on as a batch job " ).

    за замовчуванням права в цій групі мають Адміністратори і Оператори архіву, їх не забудьте сюди додати в груповій політиці, а то затреться їх права.

    Тут нічого докладно розписувати не буду, та й не займаюся я адмініструванням мережі, нехай краще цим займеться майстер своєї справи - системний адміністратор.

    2. Блокуємо початок сеансів

    Запускаємо консоль адміністрування серверів 1С: Підприємство, відкриваємо властивості інформаційної бази і встановлюємо галочку для властивості Блокування початку сеансів включена. Врахуйте, що як тільки ви застосуєте дане властивості, початок будь-яких сеансів буде блокуватися, тому для виконання наступного пункту конфигуратор повинен бути запущений до застосування властивості.

    3. Робимо резервну копію

    Тут вже як вам душа велить. Як на мене, найпростіший і надійний спосіб створення резервної копії - це вивантаження інформаційної бази через конфігуратор.

    4. Задаємо локальні політики безпеки

    Відкриваємо консоль "Локальна політика безпеки" (в командному рядку набираємо secpol.msc). Переходимо в розділ Локальні політики -\u003e Призначення прав користувача і додаємо доменного користувача в політики (див. малюнок 1):
    • Вхід в якості пакетного завдання (Log on as batch job) - забезпечує функціонування Планувальника завдань без необхідності для користувача особисто заходити в комп'ютер під своїм обліковим записом;
    • Вхід в якості служби (Log on as service) - дозволяє запустити від імені користувача будь-який процес як службу.
    Додатково, якщо потрібно, користувача можна додати в політики:
    • Доступ до комп'ютера з мережі (Access this computer from the network) - користувач має право підключатися до комп'ютера з мережі;
    • Локальний вхід в систему (Allow log on locally) - користувач має право запускати інтерактивний сеанс на комп'ютері;
    • Дозволити вхід через службу віддалених робочих столів (Allow log on through Remote Desktop Services) - користувач має право входу в систему віддаленого комп'ютера через підключення до служб віддалених робочих столів.

    5. Додаємо доменного користувача в групи

    Відкриваємо консоль "Управління комп'ютером", переходимо в розділ Службові програми -\u003e Локальні користувачі -\u003e Користувачі і дивимося в жодних гуртах складається локальний користувач від імені якого працює служба "Агент сервера 1С: Підприємство" (зазвичай це користувач USR1CV8) (див. рисунок 2).
    У ці ж групи додаємо доменного користувача.

    6. Запускаємо агента від імені доменного користувача

    Відкриваємо консоль "Служби", знаходимо в списку службу "Агент сервера 1С: Підприємство" і відкриваємо її властивості. на вкладці загальні зупиняємо службу, на вкладці Вхід у систему замість локального користувача вказуємо доменного (див. малюнок 3).
    Переходимо назад на вкладку загальні і запускаємо службу. Якщо все правильно налаштовано, то служба стартує без проблем.

    Ви можете сказати, що 2-ий і 3-й пункти надлишкові, але краще перебздеть, ніж недобздеть. Інструкція справедлива не тільки для доменного користувача, але і для локального.

    Схожі статті
    Сонячна батарея з транзисторів своїми руками: покрокова інструкція, відео по збірціСонячна батарея з транзисторів своїми руками: покрокова інструкція, відео по збірці Блок живлення: що можна зробити з енергозберігаючої лампи?Блок живлення: що можна зробити з енергозберігаючої лампи? Відгук на китайську ручну зарядку для мобільного телефону від інженера Генератор для зарядки телефону з моторчикаВідгук на китайську ручну зарядку для мобільного телефону від інженера Генератор для зарядки телефону з моторчика Світлодіодний екран своїми руками - можна реалізувати це завдання?Світлодіодний екран своїми руками - можна реалізувати це завдання?