Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

PV175 SPRÁVA MS WINDOWS I Podzim 2008 Řízení přístupu Manželka pošle svého manžela informatika nakoupit se slovy: "Kup chleba a když budou mít rohlíky,

ZveřejnilDiana Doležalová

Podobné prezentace

Prezentace na téma: "PV175 SPRÁVA MS WINDOWS I Podzim 2008 Řízení přístupu Manželka pošle svého manžela informatika nakoupit se slovy: "Kup chleba a když budou mít rohlíky,"— Transkript prezentace:

1 PV175 SPRÁVA MS WINDOWS I Podzim 2008 Řízení přístupu Manželka pošle svého manžela informatika nakoupit se slovy: "Kup chleba a když budou mít rohlíky, vezmi jich deset." Manžel přijde z obchodu a donese deset chlebů, protože rohlíky měli.

2 Motivace Systémové naplnění principu minimálních oprávnění ◦ Každý uživatel by měl mít možnost vykonávat pouze ty činnosti, které nezbytně potřebuje ke své práci Záznamy o přístupech ke zdrojům jsou základem auditu

3 Práva a oprávnění Diskrétní řízení přístupu – vlastník objektu rozhoduje o povolení přístupu NTFS permissions – oprávnění přiřazovaná složkám a souborům na úrovni souborového systému NTFS share permissions – oprávnění přiřazovaná zdrojům sdíleným v síti AD user rights – práva uživatelů nebo skupin provést v AD určitý úkon

4 ACL (Access Control List) Seznam uživatelských účtů a jim přidělených oprávnění, připojený k objektu (souboru, složce, klíči registru, sdílené položce,…) ACE (Access Control Entry) ◦ Obsahuje SID, oprávnění, příznaky dědičnosti a omezení působnosti Windows Vista ◦ http://technet.microsoft.com/en-us/magazine/cc138011.aspx

5 Dědičnost Defaultně se oprávnění z nadřazených složek dědí do podsložek Je možné zakázat dědění oprávnění, v takovém případě se složka stává novým kořenem oprávnění Je možné vynutit, aby se oprávnění na podsložkách a souborech shodovala s těmi na nadřazené složce

6 Vlastnictví Každý soubor nebo složka má svého vlastníka Vlastník má vždy neodstranitelné právo přidělovat oprávnění Vlastnictví může převzít člen skupiny Administrators nebo osoba s právem Take Ownership Na základě množství vlastněných souborů je možné specifikovat diskové kvóty

7 Uplatňování oprávnění Implicitní je Deny K povolení přístupu na dané úrovni stačí aspoň jedno Allow K nepovolení přístupu stačí jediné Deny Deny má vždy přednost před Allow Uživatel může efektivně využívat sjednocení všech ACE, pro která má Allow, pokud nemá ani jedno Deny

8 NTFS New Technology File System Nejběžnější souborový systém u počítačů s Windows Každá partition může využívat jiný souborový systém NTFS je vyžadován pro: ◦ Řízení přístupu, šifrování, diskové kvóty, kompresi na úrovni FS…

9 NTFS oprávnění na soubory Read ◦ Číst soubor, zobrazit jeho atributy a ACL Write ◦ Přepsat soubor Read & Execute ◦ Jako read a navíc je možné soubor spustit Modify ◦ Read, write, smazání souboru Full Control ◦ Cokoliv, včetně změn oprávnění a převzetí vlastnictví

10 NTFS oprávnění na složky Read ◦ číst soubory, podsložky a atributy složky Write ◦ read + vytvořit nové soubory, měnit atributy List Folder Contents ◦ vidět jména souborů a podsložek Read & Execute ◦ read, LFC + procházet složku a podsložky Modify ◦ Write, R&E + smazat složku Full Control

11 Ověření oprávnění 1. Přihlášení uživatele a vytvoření jeho access tokenu (SIDy uživatele a všech skupin, kterých je členem) 2. Pokus o přístup ke zdroji. Porovnání SIDů v jednotlivých ACE se SIDy v access tokenu. Pokud je nalezen aspoň jeden záznam (SID, oprávnění, Allow) a zároveň žádný (SID, oprávnění, Deny), je uživateli povolena požadovaná akce.

12 Share Zařízení nebo informace dostupná z jiného počítače, typicky v LAN př.: sdílené složky, disky, tiskárny Share může být skrytý ($) Přístup k sharu může být omezen přístupovými právy (FC, Read, Modify) ◦ Pokud se jedná o disky nebo soubory, tak jsou skutečná práva rovna průniku práv na sharu a na NTFS

13 Obecná práva uživatelů GPO: Computer Configuration – Windows Settings – User rights assignment Zde je možné specifikovat činnosti, které mohou provádět uživatelé nebo skupiny uživatelů (př. kdo může provádět zálohování, kdo se může přihlásit lokálně, přes síť atd.)

14 Best practices Každé významnější bezpečnostní nastavení by mělo být vynucováno písemnými nařízeními managementu nebo informačního oddělení ◦ Postižitelnost ◦ Psychologický efekt Vždy přidělovat oprávnění skupinám, ne přímo jednotlivcům Vyvarovat se použití Deny

15 Best practices Vhodně využívat dědičnost pro minimalizaci velikostí ACL ◦ Nastavovat oprávnění na úrovni složek, nikoliv jednotlivých souborů Adresářům s aplikacemi přiřadit práva podle masky: ◦ Users: Read & Execute ◦ Administrators: Full Control Poučit uživatele o právech

16 Windows 7 28.10. poprvé představeno Změny oproti Vistě víceméně pouze vzhledové http://www.winsupersite.com/win7/win7_preview.asp http://www.winsupersite.com/win7/win7_preview_02.asp http://blogs.technet.com/sieben/archive/2008/10/29/windows-7- installation-walkthrough.aspx http://blogs.technet.com/sieben/archive/2008/10/29/windows-7- installation-walkthrough.aspx http://www.neowin.net/news/live/08/10/28/introducing-the- windows-7-ui http://www.neowin.net/news/live/08/10/28/introducing-the- windows-7-ui

17 Dotazy? Díky za pozornost

Stáhnout ppt "PV175 SPRÁVA MS WINDOWS I Podzim 2008 Řízení přístupu Manželka pošle svého manžela informatika nakoupit se slovy: "Kup chleba a když budou mít rohlíky,"

Podobné prezentace

Obecně o operačních systémech

Obecně o operačních systémech
Windows 8 ZMVS. Windows 8 Nové 3D uživatelské rozhraní s kódovým názvem Wind. Nové uživatelské rozhraní bude požadovat minimálně 170MB video paměti a.

Windows 8 ZMVS. Windows 8 Nové 3D uživatelské rozhraní s kódovým názvem Wind. Nové uživatelské rozhraní bude požadovat minimálně 170MB video paměti a.
Skupinová politika Windows 200x - požadavky

Skupinová politika Windows 200x - požadavky
Operační systémy a aplikační servery Tomáš ZACHAT SPŠ Praha 10, STIC.

Operační systémy a aplikační servery Tomáš ZACHAT SPŠ Praha 10, STIC.
Příkazový řádek Windows

Příkazový řádek Windows
ZMVŠ. Bezpečnost Windows 8 Dynamic Access Control (DAC) Volně – Dynamický kontrolní přístup) rozšíření NTFS access control listů (ACL) o složitá pravidla.

ZMVŠ. Bezpečnost Windows 8 Dynamic Access Control (DAC) Volně – Dynamický kontrolní přístup) rozšíření NTFS access control listů (ACL) o složitá pravidla.
Uživatelé, Role, Schémata

Uživatelé, Role, Schémata
INFORMATIKA 4_10_1 19.-20. HODINA 10. TÝDEN 18. - 22. 11. 2013.

INFORMATIKA 4_10_ HODINA 10. TÝDEN
Přístupová práva, maska přístupových práv Jiří Hořejší.

Přístupová práva, maska přístupových práv Jiří Hořejší.
Gymnázium, SOŠ a VOŠ Ledeč nad Sázavou I NFORMAČNÍ A KOMUNIKAČNÍ TECHNOLOGIE Ing. Jan Roubíček.

Gymnázium, SOŠ a VOŠ Ledeč nad Sázavou I NFORMAČNÍ A KOMUNIKAČNÍ TECHNOLOGIE Ing. Jan Roubíček.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/34.0292 Číslo materiálu: VY_32_INOVACE_PSK-4-05.

Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-4-05.
OS Windows. Tento operační systém byl vytvořen pro snazší ovládání počítače běžnými uživateli. Například stačí jednou definovat připojená zařízení (tiskárny…)

OS Windows. Tento operační systém byl vytvořen pro snazší ovládání počítače běžnými uživateli. Například stačí jednou definovat připojená zařízení (tiskárny…)
1 | Kaspersky Endpoint Security Přehled. 2 | Kaspersky Endpoint Security Kaspersky Endpoint Security for Windows Kaspersky Endpoint Security for Mac Kaspersky.

1 | Kaspersky Endpoint Security Přehled. 2 | Kaspersky Endpoint Security Kaspersky Endpoint Security for Windows Kaspersky Endpoint Security for Mac Kaspersky.
Příkazový řádek CMD.

Příkazový řádek CMD.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/34.0292 Číslo materiálu: VY_32_INOVACE_PSK-4-14.

Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-4-14.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost 1. KŠPA Kladno, s. r. o., Holandská 2531, 272 01 Kladno, www.1kspa.cz.

Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost 1. KŠPA Kladno, s. r. o., Holandská 2531, Kladno,
Serverové systémy Windows

Serverové systémy Windows
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/34.0292 Číslo materiálu: VY_32_INOVACE_PSK-4-08.

Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-4-08.
Celní služby 2000 Radek Sedláček TranSoft a.s. +420 38 7009111 www.transoft.cz Radek Sedláček TranSoft a.s. +420 38 7009111 www.transoft.cz.

Celní služby 2000 Radek Sedláček TranSoft a.s Radek Sedláček TranSoft a.s
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost 1. KŠPA Kladno, s. r. o., Holandská 2531, 272 01 Kladno, www.1kspa.cz.

Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost 1. KŠPA Kladno, s. r. o., Holandská 2531, Kladno,

Podobné prezentace

Reklamy Google