Special identity: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Roparn (talk | contribs)
Roparn (talk | contribs)
Line 59: Line 59:
Niisiis, mis on nende salajaste identifikaatorite mõte? Need identifikaatorid täidavad Windowsi maailmas tähtsat eesmärki ning on töötatud välja ning täiendatud mitmete aastate jooksul, alates Windows NT'st. Loomulikult on osade gruppidega ja nende default õigustega eksitud, mis on tekitanud turvaauke. Näiteks vanemates Windows Server operatsioonisüsteemides lisati Anonymous grupp samamoodi Everyone gruppi nagu Authenticated Users jt. Kui laisk admin jättis Everyone grupile liiga palju õiguseid, võis soovimatu isik näha klassifitseeritud informatsiooni või faile. Microsoft aga on oma operatsioonisüsteemi olemasolevaid ja võimalikke turvaauke lappinud hoolega ning on adminnide peavalu tublisti kergendanud, sest juba vaikeseaded failide kasutusõiguste üle on loogiliselt ülesehitatud.
Niisiis, mis on nende salajaste identifikaatorite mõte? Need identifikaatorid täidavad Windowsi maailmas tähtsat eesmärki ning on töötatud välja ning täiendatud mitmete aastate jooksul, alates Windows NT'st. Loomulikult on osade gruppidega ja nende default õigustega eksitud, mis on tekitanud turvaauke. Näiteks vanemates Windows Server operatsioonisüsteemides lisati Anonymous grupp samamoodi Everyone gruppi nagu Authenticated Users jt. Kui laisk admin jättis Everyone grupile liiga palju õiguseid, võis soovimatu isik näha klassifitseeritud informatsiooni või faile. Microsoft aga on oma operatsioonisüsteemi olemasolevaid ja võimalikke turvaauke lappinud hoolega ning on adminnide peavalu tublisti kergendanud, sest juba vaikeseaded failide kasutusõiguste üle on loogiliselt ülesehitatud.


Kuidas näevad spetsiaalsed grupid välja sinu ''desktop'' Windowsis? Ka tavakasutaja Windows on varustatud mitmete spetsiaalsete identiteetidega. Et näha mis õigused on spetsiaalsetel gruppidel sinu faili üle, vajuta paremklõps failil > ''Properties'' > ''Security'' sakk.
Kuidas näevad spetsiaalsed grupid välja sinu ''desktop'' Windowsis? Ka tavakasutaja Windows on varustatud spetsiaalsete identiteetidega. Et näha mis õigused on spetsiaalsetel gruppidel sinu faili üle, vajuta paremklõps failil > ''Properties'' > ''Security'' sakk.


[[File:Õigused2.png]]
[[File:Õigused2.png]]


Siin on näha 4 gruppi või kasutajat. Esiteks olen mina ise, kasutaja robertp, siis kasutajate grupp Administrators ning lisaks kaks abstraktset gruppi SYSTEM ja INTERACTIVE. Nagu aimata võid, on kaks viimast spetsiaalsed identifikaatorid. Tasub ära märkida seejuures, et spetsiaalsed grupid on alati suurte tähtedega. Kuna ma olen antud faili omanik, on mul ka õigused, et öelda, mida teised grupid sellega teha võivad. Selleks tuleb
Siin on näha 4 gruppi või kasutajat. Esiteks olen mina ise, kasutaja robertp, siis kasutajate grupp Administrators ning lisaks kaks abstraktset gruppi SYSTEM ja INTERACTIVE. Nagu aimata võid, on kaks viimast spetsiaalsed identifikaatorid. Tasub ära märkida seejuures, et spetsiaalsed grupid on enamasti suurte tähtedega. Kuna ma olen antud faili omanik, on mul ka õigused, et öelda, mida teised grupid sellega teha võivad. Selleks tuleb vajutada ''Advanced'' nuppu.
 
[[File:Õigused.jpg]]
 
Seekordselt on mul tegu teise failiga, nimega testifail.txt, mille asetasin jagatud (''Shared'') kataloogi. Spetsiaalselt selle demo jaoks tegin ka uue kasutaja, et näidata, mis ''default'' spetsiaalsed identiteedid Windows selle jaoks loob. Nagu näha on need: Everyone, SYSTEM, INTERACTIVE, SERVICE, BATCH. Selles programmis annab veelgi detailsemalt muuta gruppide/kasutajate õiguseid (annab valikuks rohkem parameetreid) ning omanikku. Nagu pildilt näha, siis modifitseerisin ma enda Everyone grupi õiguseid nii, et keegi seda üle ei saaks kirjutada, küll aga antakse lugemis/käivitusõigus. Mis seepeale juhtus? Otseloomulikult ei saa nüüd keegi seda faili üle kirjutada või kustutada, kaasarvatud selle looja, kelleks on robertp.

Revision as of 16:25, 8 October 2011

WORK IN PROGRESS!--Roparn 21:28, 6 October 2011 (EEST)

Sissejuhatus

Special Identities (edaspidi spetsiaalsed identiteedid) on spetsiaalsed grupid Windows Server 2003 ja 2008 operatsioonisüsteemi peal[1]. Neile viidatakse tihti, kui gruppidele ning on tuntud ka kui System groups. Omapärane on seejuures, et spetsiaalsetesse identiteedidesse kuulumist ei kontrolli otseselt süsteemi administraator või individuaalne kasutaja, vaid operatsioonisüsteem ise. Samuti ei ole võimalik kasutajatel ja administraatoritel vaadata nendesse gruppidesse kuulujaid. Tavakasutaja määratakse nendesse gruppidesse mitmete parameetrite alustel. Peamiselt on spetsiaalsed identiteedid seotud turvasätete konfigureerimisega ja NTFS failisüsteemi ligipääsuga. Kuigi administraatoril pole võimalik vaadata või muuta spetsiaalsetesse gruppidesse kuulumist, on tal võimalik muuta spetsiaalsete gruppide juurdepääsu ja muid õigusi failidele.[2][3]


Anonymous Logon (Anonüümne sisselogimine)

Anonüümne sisselogimine esindab kasutajaid või service’eid, mis ühinduvad arvuti või serveriga läbi võrgu ilma kasutajanime, parooli või domeeni nimeta. Anonüümsed on näiteks kasutajad, kes tahavad veebiserverist faili saada (enamasti html).

Authenticated Users (Autentitud kasutajad)

See identifikaator esindab kasutajaid, kes on sisenenud võrku oma kasutajanime, parooli ja domeeniga. Ühe domeeni kasutajatel on ligipääs selle konkreetse domeeni jagatud failidele võrgus.

Batch

Batch identifikaatorigrupp määratakse kasutajatele või protsessidele, mis sisenevad süsteemi läbi batch järjekorra või batch "töö". See annab neile õiguse lasta käima programme, mis täidavad oma rutiinseid ülesandeid. Hea näide on mingi cleanup programm, mis kustutab ajutisi faile.

Creator Group

Creator gruppi lisatakse kasutajad, kes kuuluvad sama(de)sse gruppi(desse), kui faili/kausta looja ning neile antakse automaatselt ligipääsuõigused.

Creator Owner

Kausta või faili looja on automaatselt selle grupi liige. Annab loojale automaatselt ligipääsuõigused ja modifitseerimisõigused. Teised kasutajad võivad omada lugemis- või käivitamisõigust failile, kuid ei pruugi omada muutmisõigust või õigust kustutada antud fail.

Näiteks kasutaja A paneb exceli faili jagatud kausta (Shared Folder), et kasutajal B ja C oleks mugav sellele ligi pääseda ning seda vaadata (ütleme, et tegu on mingi dokumendiga, mis on vaja manuaalselt sisestada andmebaasi). Omanikuõigus jääb by default kasutajale A ning seega keelab B'l ja C'l faili muuta, kustutada, liigutada jne. Tasub märkida, et see identifikaator tuleb kaasa Windows Server OS'idega. Töölaua Windowsis Creator Owner gruppi pole.

Dial-Up

Kasutaja, kes siseneb süsteemi läbi Dial-up ühenduse määratakse automaatselt siia gruppi. Eesmärk on eristada dial-up kasutajaid teistest. Tasub selguse huvides ära märkida, et siin all ei mõelda ainult legacy 56 kbit/s võrguseadet, mille kasutus reaalses elus tänapäeval praktiliselt olematu, vaid ka VPN (Virtuaalsed privaatvõrgud) ühendusi.

Enterprise Domain Controllers

Domeeni kontroller ettevõtte jaoks tähtsate rollidega määratakse siia gruppi. Neile on autentimine tehtud rangemaks. Sisselogimine toimub ID-kaardi või selletaolise kiipkaardiga. Kaardilugeja loeb kaardilt andmeid ning saadab need autentimiseks serverile.

Everyone

Esindab kõiki kasutajaid, sh kasutajaid teistest domeenidest ja guest’e. Kui kasutaja logib võrku, lisatakse ta automaatselt siia gruppi. Erand kehtib neile, kes sisse ei logi, need lisatakse Anonymous gruppi.

Interactive

Esindab kasutajaid, kes parajasti üritavad läbi sama arvuti, kuhu nad sisse logitud on, mingile ressursile ligi pääseda (näiteks faili alla laadida). Siia ei lisata neid, kes on juba Võrgu grupis.

Network (võrk)

Esindab kasutajaid, kes parajasti üritavad läbi võrgu mingile ressursile ligi pääseda (näiteks faili alla laadida). Millal iganes kasutaja üritab läbi võrgu seda teha lisatakse ta Võrgu gruppi. Kohalikke kasutajaid, kes üritavad seda sama teha, sellese gruppi ei lisata.

Proxy

Kasutajad, kes sisenevad võrku läbi proxy saavad selle identifikaatori. Võimalik juhul, kui proxy’d on võrgus rakendatud.

Restricted (piiratud)

Piiratud identifikaatori saavad endale kasutajad, kellel riistvaralised või tarkvaralised võimekused on piiratud.

Self

Self viitab objektile endale ning lubab ennast muuta.

Service

Selle identifikaatori saab endale mingi service mis üritab pääseda süsteemile ligi. Võimaldab ligipääsu protsessidele, mida kasutavad Windows Server 2008 service’d.

System

Windows Server 2008 operatsioonisüsteem ise saab selle identifikaatori. Seda kasutatakse juhul, kui operatsioonisüsteem peab sooritama süsteemi tasemel funktsioone.

Terminal Server User

Kasutaja, kes siseneb süsteemi läbi Terminal Service’i (uuem mõiste sellele on Remote Desktop või kaugtöölaud) saab selle identifikaatori. See annab kasutajale õiguse ligipääsule terminal server programmidele ja lubab tal teha asju mida võimaldab kaugtöölaud.

Kokkuvõte ja näited

Niisiis, mis on nende salajaste identifikaatorite mõte? Need identifikaatorid täidavad Windowsi maailmas tähtsat eesmärki ning on töötatud välja ning täiendatud mitmete aastate jooksul, alates Windows NT'st. Loomulikult on osade gruppidega ja nende default õigustega eksitud, mis on tekitanud turvaauke. Näiteks vanemates Windows Server operatsioonisüsteemides lisati Anonymous grupp samamoodi Everyone gruppi nagu Authenticated Users jt. Kui laisk admin jättis Everyone grupile liiga palju õiguseid, võis soovimatu isik näha klassifitseeritud informatsiooni või faile. Microsoft aga on oma operatsioonisüsteemi olemasolevaid ja võimalikke turvaauke lappinud hoolega ning on adminnide peavalu tublisti kergendanud, sest juba vaikeseaded failide kasutusõiguste üle on loogiliselt ülesehitatud.

Kuidas näevad spetsiaalsed grupid välja sinu desktop Windowsis? Ka tavakasutaja Windows on varustatud spetsiaalsete identiteetidega. Et näha mis õigused on spetsiaalsetel gruppidel sinu faili üle, vajuta paremklõps failil > Properties > Security sakk.

Siin on näha 4 gruppi või kasutajat. Esiteks olen mina ise, kasutaja robertp, siis kasutajate grupp Administrators ning lisaks kaks abstraktset gruppi SYSTEM ja INTERACTIVE. Nagu aimata võid, on kaks viimast spetsiaalsed identifikaatorid. Tasub ära märkida seejuures, et spetsiaalsed grupid on enamasti suurte tähtedega. Kuna ma olen antud faili omanik, on mul ka õigused, et öelda, mida teised grupid sellega teha võivad. Selleks tuleb vajutada Advanced nuppu.

Seekordselt on mul tegu teise failiga, nimega testifail.txt, mille asetasin jagatud (Shared) kataloogi. Spetsiaalselt selle demo jaoks tegin ka uue kasutaja, et näidata, mis default spetsiaalsed identiteedid Windows selle jaoks loob. Nagu näha on need: Everyone, SYSTEM, INTERACTIVE, SERVICE, BATCH. Selles programmis annab veelgi detailsemalt muuta gruppide/kasutajate õiguseid (annab valikuks rohkem parameetreid) ning omanikku. Nagu pildilt näha, siis modifitseerisin ma enda Everyone grupi õiguseid nii, et keegi seda üle ei saaks kirjutada, küll aga antakse lugemis/käivitusõigus. Mis seepeale juhtus? Otseloomulikult ei saa nüüd keegi seda faili üle kirjutada või kustutada, kaasarvatud selle looja, kelleks on robertp.