Существует две группы полномочий пользователей NT - 11 стандартных и 16 расширенных. Как правило, только программисты пользуются расширенными правами, и предоставлять их пользователям и группам следует лишь в случае крайней необходимости. Права пользователя, назначаемые на любом контроллере домена (DC), действуют на всех контроллерах домена. Но полномочия, назначенные на рабочей станции или автономном сервере, члене домена, действуют только на данном компьютере. Приступая к назначению прав, необходимо иметь ясное представление об области применения каждого из прав, и уметь пользоваться ими.
Назначение прав
В утилите User Manager for Domains следует выбрать пункты Policies, User Rights. Появляется список прав пользователя (Экран 1). В окне Grant To приведены учетные записи и группы, уже располагающие конкретными правами. Чтобы ввести в это окно пользователя или группу (то есть предоставить полномочие), нужно щелкнуть на кнопке Add, а затем отметить пользователя или группу. Чтобы удалить пользователя или группу из этого списка (отменить полномочие), нужно выделить имя и щелкнуть на кнопке Remove. Чтобы распорядиться расширенным правом, следует установить флажок Show Advanced User Rights, и список пользовательских прав будет дополнен расширенными правами.
Администраторы, предпочитающие назначать права из командной строки или с помощью командного файла, могут воспользоваться утилитой ntrights.exe из Supplement 3 к Microsoft Windows NT Server 4.0 Resource Kit. Утилита ntrights.exe полезна при установке NT без участия пользователя, когда не нужно менять принимаемые по умолчанию права NT. Управлять правами проще, если назначать их группам, а не отдельным пользователям. После того, как администратор назначил или удалил полномочие, соответствующие пользователи должны завершить сеанс, а затем зарегистрироваться вновь, чтобы изменения получили отражение в маркере доступа. Следует помнить, что права можно назначать и процессам (обычно при программировании). Многие полномочия специально предназначены для процессов, а не для пользователей.
11 стандартных прав пользователей
Перечисленные ниже полномочия чаще всего используются администраторами. Они применяются для выполнения наиболее распространенных операций NT, требующих пользовательских прав.
Access this computer from network. Пользователи, обладающие этим правом, могут соединяться с компьютером через сеть. Его следует предоставить пользователям, которым необходимо обращаться к ресурсам (например, общим каталогам или принтерам) определенного компьютера сети. Чтобы запретить пользователям обращаться к ресурсам компьютера на время обслуживания, но не лишать компьютер возможности использовать необходимые ему ресурсы, можно временно лишить этого права группу Everyone. Если на сервере, члене домена, хранятся конфиденциальные общие ресурсы, можно организовать группу, объединяющую всех сотрудников, которые работают по контракту, и вторую группу - для остальных служащих. Чтобы «контрактники» случайно не обнаружили конфиденциальных данных, право Access this computer from network следует предоставить только сотрудникам, зачисленным в штат.
Add workstations to domain. Данное право позволяет пользователям, не принадлежащим к группам Administrators и Account Operators, вводить в состав домена рабочие станции. Например, если специалист, работающий по контракту, помогает ввести в эксплуатацию новую партию компьютеров NT, ему можно выделить учетную запись с этим полномочием, вместо того, чтобы предоставлять более высокие полномочия групп Administrators и Account Operators. Согласно статье Microsoft "Capabilities of the 'Add Workstations to Domain Right' ", пользователи, наделенные этим правом, могут получить доступ к утилите Server Manager (из Server Tools), чтобы добавлять и удалять учетные записи компьютеров. Проведя тщательное тестирование, я выяснила, что это право не дает такой возможности. Я попыталась дистационно обратиться к Server Manager, чтобы добавить в домен рабочую станцию, но получила сообщение об ошибке Access Denied. Однако в процессе "чистой" инсталляции NT пользователь, обладающий только этим полномочием, может создать учетную запись компьютера.
Back up files and directories. Пользователь, наделенный этим правом, может делать резервные копии всех файлов и каталогов, в том числе тех, к которым он не может обратиться в других ситуациях. Я рекомендую предоставлять данное право только группе Backup Operators и использовать утилиту User Manager for Domains, чтобы добавлять пользователей в эту группу по мере необходимости. Следует помнить, что с помощью некоторых утилит (например, Scopy из комплекта ресурсов) можно обойти ограничения доступа к файлам и каталогам.
Change the system time. Пользователи, наделенные данным правом, могут менять время на своем компьютере. Большинство администраторов синхронизируют настольные компьютеры с помощью утилит временной синхронизации (например, Net Time, представленной в комплекте ресурсов файлом timeserv.exe). Время - важное условие выполнения многих заданий, поэтому работа всех компьютеров в организации должна быть согласована по времени. Это право можно ограничить, чтобы пользователи не установили на своих машинах время, отличное от официального времени сервера компании.
Force shutdown from a remote system. Полномочие, назначение которого ясно из его названия (принудительное завершение работы системы с удаленной машины), внесено в список NT, но не работает. Оно активизировано в Windows 2000 Server. Администраторы сетей NT могут воспользоваться утилитой shutdown.exe из комплекта ресурсов. До появления пакета исправлений SP4 утилиту shutdown.exe могли задействовать только пользователи NT, наделенные правом Shut down the system (завершить работу системы).
Load and unload device drivers. Пользователи, обладающие этим правом, могут загружать и удалять драйверы устройств. Такое право может быть предоставлено только членам группы Administrators. В Windows 2000 внесены изменения, и это право могут иметь пользователи, не принадлежащие к группе Administrators.
Log on locally. Пользователи, наделенные данным правом, могут непосредственно зарегистрироваться на локальном компьютере. Это право, наряду с полномочием Access this computer from network (доступ к данному компьютеру из сети), пожалуй, чаще всего упускается из виду администраторами. Я рекомендую предоставлять право регистрации на серверах только группе Administrators. В результате не имеющий соответствующих полномочий пользователь, даже получив физический доступ к серверу, не сможет зарегистрироваться на нем, так как не знает имени пользователя и пароля с административными привилегиями. Недопущенные к управлению пользователи получат сообщение The local policy of this system does not permit you to log on interactively («локальная политика данной системы не позволяет вам зарегистрироваться в интерактивном режиме»). Ограничение этого права не помешает пользователям соединяться с системой через сеть, а отмена только права Access this computer from network (доступ к компьютеру через сеть) не воспрещает локальной регистрации пользователей на компьютере.
Ограничение права Log on locally - один из самых эффективных способов предотвратить несанкционированный доступ к серверам. Несколько лет назад на хакерских сайтах была очень популярна утилита GetAdmin. С ее помощью любой пользователь, который имел возможность зарегистрироваться на компьютере (за пользователей с учетной записью Guests), мог присоединиться к группе Administrators данного компьютера. Если этот компьютер был главным контроллером домена (PDC), то пользователь мог стать членом группы Domain Admins, не оставив следов в журнале безопасности. В состав пакетов исправлений SP4 и более поздних входит заплата getadmin-fix, но авторы другой утилиты, sechole.exe, воспользовались другим пробелом в системе безопасности NT, и предоставили пользователю возможность запустить GetAdmin в обход имеющегося исправления. Однако пользователю опять же необходимо получить физический доступ к компьютеру и зарегистрироваться локально. Ограничение этого права дополнит систему безопасности сервера еще одним уровнем защиты.
Manage auditing and security log. Данное право позволяет управлять журналом безопасности (пользователи не могут назначать политики аудита через User Manager for Domains - это право администратора). Пользователи могут открыть окно Event Viewer, чтобы просматривать журнал и управлять им. До появления SP3 это полномочие не было задействовано, но пользователи и группы, не имеющие его, все же могли управлять журналом. Это полномочие пригодится в тех компаниях, где функции управления сетью и аудита сети разделены. Если лишить администратора этого права и одновременно активизировать аудит изменений в политике безопасности, то администратор не сможет удалить или изменить записи в журнале, не оставив следов (если только не воспользуется хакерским инструментом).
Restore files and directories. Это право похоже на Back up files and directories. С его помощью пользователи могут обойти ограничения NTFS и восстановить файлы и каталоги на обычно закрытых для них разделах.
Shut down the system. Данное полномочие позволяет завершить работу локального компьютера. Чтобы запретить пользователю завершать работу компьютера, достаточно лишить его этого полномочия. Предположим, что на двух компьютерах конструкторского отдела хранятся важные чертежи системы САПР. Программа резервного копирования настроена на сохранение копий этих файлов в конце каждого рабочего дня. Если пользователь выключает компьютеры, то попытка резервного копирования закончится неудачей. Если на следующее утро какой-нибудь из компьютеров не загрузится, то компания может потерять ценные данные. Наделив этим правом только администраторов, можно гарантировать, что системы остаются подключенными к сети и готовыми к копированию. Конечно, настойчивый пользователь может нажать на кнопку отключения питания и выдернуть вилку из розетки, и администратор может воспрепятствовать этим действиям, лишь поместив оборудование в защитные кожухи.
Take ownership of files and other objects. Данное право дает пользователям возможность стать владельцами не принадлежащих им объектов. Соответственно, это полномочие следует предоставлять только администраторам и руководителям высокого ранга. Право Take ownership of files and other objects полезно, если пользователь с исключительными правами доступа к личному каталогу уходит из компании, и право доступа к его файлам следует передать другому пользователю. Администратор может принять на себя владение этими файлами (Экран 2), а затем временно предоставить право другому пользователю, который впоследствии может стать владельцем файлов.
16 расширенных прав пользователя
Помимо 11 стандартных прав пользователя, в NT предусмотрено 16 расширенных прав, обратиться к которым можно, установив флажок Show advanced user rights (показать расширенные права пользователя) в диалоговом окне User Rights Policy. Эти права применяются реже, чем стандартные, но с помощью многих прав расширенного набора можно разрешить пользователю выполнять действия на уровне ядра и службы LSA (Local Security Authoruty - диспетчер локальной безопасности) операционной системы. Наделяя группы и пользователей этими правами, следует соблюдать осторожность; опрометчивость может поставить под угрозу безопасность сети. Более подробная информация о расширенных правах пользователя NT содержится в статье Microsoft "Definition and List of Windows NT Advanced User Rights".
Act as part of operating system. Данное право позволяет процессу работать в качестве доверенной части операционной системы. Как правило, это право назначается подсистемам, нуждающимся в привилегированном доступе. Например, программа инсталляции Microsoft Exchange Server создает учетную запись, наделенную таким правом; данная учетная запись используется Exchange для авторизации связи между серверами Exchange.
Bypass traverse checking. Пользователи, наделенные этим правом, могут перемещаться по дереву каталогов, к которому они не могут обратиться иным способом. Однако пользователи не могут читать и изменять файлы в каталогах (если у них нет соответствующих прав). Используя данное право, пользователь сможет перейти к своему файлу, и при этом не возникает опасности, что он обратится к файлам, для доступа к которым у него нет полномочий. По умолчанию, этим правом наделена группа Everyone. Следует быть чрезвычайно осторожным, изменяя стандартный режим; в таком случае я рекомендую предоставить это право, по крайней мере, группам Domain Users и Administrators. Данное полномочие используется в сценариях регистрации и прочих стандартных функциях.
Create a pagefile. Если пользователь получает предупреждение, что системе не хватает виртуальной памяти, он может воспользоваться этим правом, чтобы увеличить размер виртуальной памяти с помощью модуля System панели управления Control Panel. Пользователь, имеющий данное право, может узнать коэффициент использования файла подкачки с помощью Performance Monitor и изменить размер файла подкачки, чтобы добиться максимальной производительности.
Create a token object. Пользователи и процессы, обладающие этим правом, могут создавать маркеры доступа. Возможности данного полномочия столь велики, что я не рекомендую давать его пользователям и учетным записям. По умолчанию, это право предоставляется только LSA (LSA отсутствует в списке Grant To, в котором указываются только учетные записи пользователей). Создав маркер доступа, пользователь или процесс получают доступ к любым локальным ресурсам.
Create permanent shared objects. С помощью этого полномочия пользователи могут создавать специальные общие объекты, используемые NT. Как правило, данное полномочие предоставляется процессам. Ни одна учетная запись из списка Grant To не имеет этого права, но по умолчанию оно предоставляется многим процессам операционной системы. С помощью такого права можно определить круг участников одноранговой сети. Администраторы имеют данную возможность по умолчанию. Пользователи, не наделенные этим правом, не видят закладки Share при обращении к списку свойств папки. Отменив данное право, можно закрыть доступ к серверам Quake II, поглощающим всю полосу пропускания канала связи во время обеденного перерыва.
Debug programs. Пользователи (как правило, программисты) могут применить это право для отладки программ. Пользователи, обладающие данным правом, могут получить полный доступ к любому процессу системного уровня. Я рекомендую предоставлять это право лишь доверенным пользователям, которые не будут злоупотреблять мощным потенциалом данного полномочия. Например, уполномоченный пользователь может запустить утилиту GetAdmin (которая рассматривалась в разделе Log on locally), даже если на машине установлено специальное исправление против этой утилиты. Пользователи могут запускать и останавливать процессы и инициировать новые потоки. Таким образом легко дезорганизовать весь домен.
Generate security audits. Данное право позволяет пользователям и процессам вносить записи в журнал безопасности. Программисты пользуются этим правом, чтобы наделить свои программы способностью делать в журнале записи об определенных действиях. Как правило, программе, которой требуется данное право, оно предоставляется автоматически в процессе инсталляции или администратором с помощью назначения служебной учетной записи для программы. Например, это право необходимо для корректного функционирования служебных учетных записей SNA, поэтому его предоставляют во время инсталляции SNA.
Increase quotas. Данное право позволяет пользователям и процессам увеличивать квоты дискового пространства, выделенные объекту. Это право не действует в NT, но применяется в Windows 2000.
Increase scheduling priority. С помощью данного полномочия пользователи могут повысить приоритет процесса при составлении расписания. Это право необходимо пользователям, желающим запустить процесс с приоритетом реального времени. Данное право следует применять осмотрительно, так как повышение приоритета может нарушить стабильность системы.
Lock pages in memory. Данное право позволяет NT оставлять страницы данных в памяти, в результате операционная система не будет сохранять их в файле pagefile.sys. Программа, которая имеет это право, может выделить себе фрагмент памяти. В результате программа будет выполняться быстрее, так как она не пользуется механизмом подкачки. Недостаток данного метода заключается в том, что на ту же величину уменьшается объем памяти, доступный другим процессам и системе (для систем с ограниченным количеством памяти).
Log on as a batch job. Многие администраторы NT пользуются программами-планировщиками, такими как Task Scheduler из состава Microsoft Internet Explorer (IE), чтобы автоматически выполнять рутинные задачи с помощью командных файлов. Полномочие должно быть предоставлено учетной записи, используемой IE для запуска пакетного задания. Право Log on as a batch job позволяет администратору задействовать учетную запись, запускающую пакетное задание, без физической регистрации на компьютере.
Log on as service. Данное право позволяет работать с учетными записями в контексте безопасности службы. Иногда для выполнения задачи службе требуется повышенный уровень доступа, которого не имеет пользователь, зарегистрированный в данный момент. Это полномочие позволяет службе выполнить задачу, не повышая уровня полномочий пользователя, и не требуя, чтобы текущий пользователь завершил работу, а вместо него зарегистрировался пользователь с надлежащими правами доступа. Данное право часто используется учетной записью Replication, которая обеспечивает тиражирование данных между серверами. Это право необходимо также специальным учетным записям, с которыми работают определенные службы.
Modify firmware environment values. Пользователи, наделенные этим правом, могут изменять системные переменные среды с помощью модуля System (например, изменяя параметры Startup/Shutdown) или с помощью программного процесса.
Profile single process. Данное право позволяет получить выборку показателей производительности NT и наблюдать за несистемным процессом. По умолчанию, NT предоставляет это право администраторам и опытным пользователям. Как правило, полномочие используется только программистами и процессами.
Profile system performance. Данное право похоже на право Profile single process, но уполномоченный пользователь может задействовать выборку показателей производительности NT, чтобы наблюдать за системными процессами. Обычно данное полномочие используется только программистами и процессами.
Replace a process level token. Уполномоченный пользователь может изменить маркер доступа процесса. Например, данное право необходимо учетной записи службы Microsoft SQL Server 2000, чтобы запустить xp_cmdshell для пользователя, не имеющего прав администратора SQL Server. Более подробная информация о xp_cmdshell приведена в справочном руководстве MS SQL Server Transact-SQL and Utilities Reference (Microsoft TechNet CD-ROM).
Что дальше?
Знание прав пользователей NT полезно администратору в особых ситуациях, которые необходимо разрешить, не увеличивая число членов привилегированных групп. Следующий шаг - гарантировать, чтобы пользователи не злоупотребляли своими правами. Об аудите прав пользователей рассказывается во врезке "Как избежать злоупотреблений".
Как избежать злоупотреблений
Как добиться того, чтобы пользователи не злоупотребляли правами, о которых рассказано в данной статье? Первый шаг - обратиться к утилите User Manager for Domains и активизировать аудит. Выбрав режим аудита успешного применения пользовательских прав (Use of User Rights), можно контролировать успешные действия, совершаемые пользователями в рамках определенных полномочий. В режиме аудита неудачных попыток можно выявить пользователей, пытающихся некорректно распорядиться своими правами. Функция аудита не контролирует всех пользовательских прав, так как некоторые права могут генерировать тысячи записей. Например, право Back up files and directories. Если пользователь, располагающий таким правом, приступает к резервному копированию сервера, и активизирован режим аудита успешного использования прав, то в журнале появится запись для каждого скопированного файла. Ни один администратор не пожелает разбираться в таком огромном количестве лишних записей.
Чтобы активизировать режим аудита полномочий Back up files and directories и Restore files and directories, следует изменить раздел реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Lsa. Нужно создать или отредактировать параметр FullPrivilegeAuditing типа REG_BINARY, присвоив ему значение 1. Новое значение вступит в силу после перезагрузки системы. Следует также обновить диск аварийного восстановления ERD (Emergency Repair Disk).
Даже после того, как указанные изменения внесены в реестр, система не сможет выполнить аудит следующих прав: Bypass traverse checking, Create a token object, Debug programs и Generate security audits. Она выполняет аудит для этих полномочий лишь в момент их назначения пользователю или группе. Более подробную информацию об аудите прав пользователей можно найти в статье Microsoft "Auditing User Right Assignment Changes".
Мелисса Вайс - системный администратор сетей Windows NT с десятилетним стажем. С ней можно связаться по адресу: mwise@the-lair.com.