Приложение для инвентаризации рабочих станций ЛВСРефераты >> Коммуникации и связь >> Приложение для инвентаризации рабочих станций ЛВС
Безопасность в Windows NT/2000/XP основана на именах пользователей и их паролях. Когда в этих версиях Windows заводится пользователь, то его учетной записи присваивается уникальный идентификатор безопасности (Security IDenttfier, SID). На основе SID для пользователя формируется маркер доступа (Access Token), в который также добавляется список групп, членом которых является пользователь, и список привилегий, которыми он обладает (например, остановка служб или выключение компьютера). Этот маркер доступа присваивается и всем процессам, которые запускает пользователь. Далее каждый объект операционной системы, доступ к которому определяет система безопасности (это может быть файл, процесс, служба и т. д.) имеет дескриптор безопасности (Security Descriptor, SD), в котором хранится таблица контроля доступа (Access Control List, ACL) для этого объекта. При обращении пользователя или процесса, запущенного пользователем, к объекту происходит сравнение маркера доступа этого пользователя с таблицей контроля доступа и в зависимости от результатов выдается или отклоняется разрешение на выполнение запрашиваемых действий над объектом.
Механизм безопасности WMI на уровне пространств имен соответствует общей модели безопасности Windows NT/2000/XP. Каждое пространство имен может иметь собственный дескриптор безопасности, в котором хранится таблица контроля доступа (ACL). Каждая запись таблицы контроля доступа (Access Control Entry, АСЕ) содержит информацию о том, какие права (разрешения) имеет определенный пользователь при выполнении различных операций в этом пространстве имен (список разрешений, используемых при работе с пространством имен, приведен в таблице 6.8).
Таблица 6.8 -Разрешения безопасности для пространства имен WMI
| Разрешение | Описание |
|
Выполнение методов (Execute Methods) |
Позволяет вызывать методы классов из определенного пространства имен. |
|
Продолжение таблицы 6.8 | |
|
Полная запись (Full Write) |
Позволяет создавать и модифицировать подпространства имен, системные классы и экземпляры классов |
|
Частичная запись (Partial Write) |
Позволяет создавать и модифицировать любые статические классы и экземпляры несистемных классов |
|
Запись поставщика (Provider Write) |
Позволяет записывать в репозиторий CIM классы провайдеров WMI и экземпляры этих классов |
|
Включить учетную запись (Enable Account) |
Предоставляет право чтения пространства имен WMI. Пользователи, имеющие это разрешение, могут запускать на локальном компьютере сценарии, которые читают данные WMI |
|
Включить удаленно (Remote Enable) |
Разрешает пользователям получить доступ к пространству имен WMI на удаленном компьютере. По умолчанию этим разрешением обладают только администраторы, обычные пользователи не могут получать данные WMI с удаленных машин |
|
Прочесть безопасность (Read Security) |
Позволяет читать дескриптор безопасности для пространства имен WMI без возможности его модификации |
|
Изменение правил безопасности (Edit Security) |
Позволяет изменять дескриптор безопасности для пространства имен WMI |
Все записи таблицы контроля доступа сохраняются в репозитории WMI, причем в Windows NT/2000/XP сохраняются действительные АСЕ, а в Windows 9x/Me — псевдо-АСЕ. Разрешения WMI, определенные для конкретного пространства имен, также применяются (наследуются) ко всем подпространствам имен и классам, которые определены в этом пространстве.
Собственные разрешения безопасности для отдельного класса WMI определить нельзя.
В Windows NT/2000/XP по умолчанию группа администраторов обладает всеми разрешениями из табл. 6.12, а для остальных пользователей включена учетная запись (Enable Account), разрешено вызывать методы (Execute Methods) и записывать в CIM экземпляры классов провайдеров (Provider Write).
На компьютерах с операционной системой Windows 9х/Ме все локальные пользователи имеют полный доступ к WMI. Однако здесь могут быть заданы отдельные разрешения для пользователей, которые будут управлять этим компьютером удаленно.
Для доступа к инфраструктуре WMI на удаленном компьютере используется коммуникационный протокол DCOM (Distributed COM). При этом пользователь, который запускает сценарий или подключается к WMI с помощью специальных утилит, выступает в качестве клиента, а объект WMI, к которому идет обращение, является сервером. Для того чтобы определить, какой маркер доступа будет применяться при работе с WMI на удаленном компьютере, используются стандартные уровни олицетворения протокола DCOM (DCOM Impersonation Levels), которые описаны в таблице 6.9.
Таблица 6.9 -Уровни олицетворения DCOM
| Уровень | Описание |
|
Анонимный доступ (Anonymous) |
Объект-сервер не имеет права получить информацию о пользователе или процессе, который обращается к данному объекту (иными словами, объект не может олицетворить клиента). Этот уровень олицетворения в WMI не используется |
|
Идентификация (Identify) |
Объект-сервер может запросить маркер доступа, связанный с клиентом, но не может произвести олицетворение. В сценариях WMI этот уровень олицетворения используется редко, т. к. в этом случае нельзя запускать сценарии WMI на удаленных машинах |
|
Олицетворение (Impersonate) |
Объект-сервер может пользоваться всеми правами и привилегиями, которыми обладает клиент. В сценариях WMI рекомендуется использовать именно этот уровень олицетворения, при этом сценарий WMI на удаленной машине сможет выполнять все действия, которые разрешено осуществлять пользователю, запустившему этот сценарий |
|
Продолжение таблицы 6.9 | |
|
Делегирование (Delegate) |
Объект-сервер, к которому обращается клиент, может обратиться от имени клиента к другому объекту-серверу. Делегирование позволяет сценарию использовать на удаленной машине маркер доступа запустившего его пользователя, а также использовать этот маркер для доступа к объектам WMI на других рабочих станциях. Применение данного уровня олицетворения связано с потенциальным риском, поэтому делегирование в сценариях WMI следует применять только в случае особой необходимости |
Скачать реферат
