Professional Documents
Culture Documents
PRZYKADOWY ROZDZIA
SPIS TRECI
KATALOG KSIEK
KATALOG ONLINE
ZAMW DRUKOWANY KATALOG
Bezpieczestwo w Windows
Server 2003. Kompendium
Autor: Roberta Bragg
Tumaczenie: Pawe Gonera, Piotr Pilch
ISBN: 83-246-0232-1
Tytu oryginau: Windows Server
2003 Security: A Technical Reference
Format: B5, stron: 1170
TWJ KOSZYK
DODAJ DO KOSZYKA
CENNIK I INFORMACJE
ZAMW INFORMACJE
O NOWOCIACH
ZAMW CENNIK
CZYTELNIA
FRAGMENTY KSIEK ONLINE
Wydawnictwo Helion
ul. Chopina 6
44-100 Gliwice
tel. (32)230-98-63
e-mail: helion@helion.pl
Podzikowania ...........................................................................................17
O autorze ....................................................................................................19
Przedmowa ................................................................................................21
CZ II
Podstawy zabezpiecze
27
CZ II
Zabezpieczanie serwera
47
Spis treci
Spis treci
10
CZ III
375
Spis treci
11
12
Spis treci
CZ IV
13
695
CZ V
811
14
CZ VI
Konserwacja i przywracanie
947
Spis treci
15
1067
16
ROZDZIA 4.
186
Cz II Zabezpieczanie serwera
gdy szkodliwy program nie moe zosta uaktywniony, nie bdzie w stanie spowodowa szkd. By moe lepsze rezultaty od tworzenia kodu rdowego aplikacji zgodnie z reguami bezpieczestwa przyniesie zastosowanie w oprogramowaniu rodkw pozwalajcych zarzdza na poziomie aplikacji prawami
uytkownika i dostpem do zasobw. Mona to osign przy uyciu skadnikw
systemu Windows Server 2003 takich jak:
t Listy kontroli dostpu ACL plikw, rejestru, drukarek i obiektw
187
Narzdzie Meneder autoryzacji umoliwia projektowanie aplikacji RBAC (Role-Based Access Control) kontrolujcych dostp w oparciu o role, a take pozwala
na administrowanie nimi. Tworzc aplikacje RBAC i definiujc uywane przez
nie role uytkownikw, projektanci korzystaj z interfejsu API (Application Programming Interface) narzdzia Meneder autoryzacji. Aby mc zarzdza aplikacjami, co polega na przypisywaniu grupom uytkownikw definicji rl, administratorzy posuguj si przystawk Meneder autoryzacji konsoli MMC (Microsoft
Management Console).
Zanim bdzie mona administrowa aplikacjami RBAC, trzeba zrozumie, w jaki
sposb s projektowane i jak dziaaj. Kluczem do opanowania narzdzia Meneder autoryzacji jest uwiadomienie sobie, e w jego przypadku odpowiedzialno
za podzia dostpu do zasobw przechodzi z administratora na aplikacj.
Aplikacja zgodna z narzdziem Meneder autoryzacji jest tak zaprojektowana,
aby reagowa na rol uytkownika, ktry z niej korzysta. Rola, bdca czci
aplikacji, ma na celu przekazanie praw i uprawnie zezwalajcych posiadaczowi
roli wykona powierzone mu zadania i nic ponadto. Przykadowo, rola moe
umoliwia uaktywnianie wybranych skadnikw aplikacji, a take pozwala na
odczyt okrelonych danych i jednoczenie zapisywanie, usuwanie lub przetwarzanie innych danych. Pocztkowo mona odnie wraenie, e rola umoliwia projektantowi sprawowanie nadzoru nad zasobami komputera. Jednak w przypadku
waciwie zarzdzanego rodowiska projektowania programici bazuj na specyfikacjach opracowanych przez wacicieli danych i musz ich przestrzega.
Przykadowo, aplikacja stworzona w celu drukowania listy pac moe dysponowa rol pracownika i kierownika, ktrzy s za to odpowiedzialni. Pracownicy
dziau obsugujcego listy pac musz przygotowa specyfikacje okrelajce, na
188
Cz II Zabezpieczanie serwera
189
administrator zostanie zwolniony z obowizku nadawania praw i uprawnie. Narzdzie Meneder autoryzacji jest w stanie zaoferowa infrastruktur, z myl
o ktrej mog by projektowane aplikacje. Infrastruktura pozwoli zmieni model
zarzdzania, ktrym posugiwa si dotd administrator. W przypadku aplikacji
zgodnych z narzdziem Meneder autoryzacji administrator nie musi udziela dostpu do obiektw poszczeglnym uytkownikom lub grupom. Wystarczy, e dostosuje si do specyfikacji wacicieli aplikacji, w ktrej okrel, kto i jak moe
w nich peni rol.
Jeli takie rozwizanie jest zadowalajce, trzeba bdzie rozpocz wspprac
z wacicielami danych i projektantami aplikacji, aby uzyska programy, ktre
bd mogy by zarzdzane za pomoc narzdzia Meneder autoryzacji. Omawianie tworzenia aplikacji RBAC wykracza poza zakres ksiki, natomiast zarzdzanie nimi przy uyciu narzdzia Meneder autoryzacji bdzie tu omwione. Moe
si okaza, e zostanie si poproszonym o administrowanie tego typu aplikacj
lub bdzie si miao duy wpyw na to, czy tworzone aplikacje bd zgodne z narzdziem Meneder autoryzacji, a tym samym czy zapewni kontrol dostpu
opart na rolach.
UWAGA: Dostpno narzdzia Meneder autoryzacji
w przypadku innych wersji systemu Windows
Interfejs API narzdzia Meneder autoryzacji dla systemu Windows 2000 umoliwiajcy tworzenie aplikacji RBAC mona pobra pod adresem http://www.
microsoft.com/downloads/details.aspx?FamilyID=7edde11f-bcea-4773-a292-84525f23baf7&display-lang=en. Aplikacje zgodne z tym narzdziem mog
by zarzdzane wycznie za pomoc przystawki Meneder autoryzacji oferowanej przez system Windows Server 2003 lub Windows XP Professional (z zainstalowanym pakietem Windows Server 2003 Administration Tools Pack).
Aby moliwe byo utworzenie w bazie danych usugi Active Directory magazynw narzdzia Meneder autoryzacji, dla domeny musi by ustawiony poziom funkcjonalnoci systemu Windows Server 2003.
190
Cz II Zabezpieczanie serwera
t Dodanie kont do utworzonych grup lub ich usunicie, gdy poszczeglne osoby
Nie ma nic zego w tego typu modelu postpowania. Jednak powodzenie jego wdroenia w duej mierze zaleao od zarzdzania uprawnieniami duej liczby obiektw.
Gdy jest to dobrze robione, uytkownicy mog wykonywa powierzone im obowizki.
Ale gdy tak nie jest, niewaciwe osoby czsto uzyskuj dostp, ktrym nie powinny
dysponowa, natomiast uytkownicy faktycznie wymagajcy praw i uprawnie mog
nie by w stanie pracowa. Frustracja staje si czci dnia kadego administratora i uytkownika. Ostatecznie w zabezpieczeniach mog zosta utworzone luki tylko dlatego,
aby uytkownicy mogli wykona swoje zadania. Skalowanie tego typu modelu jest szczeglnie utrudnione, gdy ma miejsce wysoki poziom zmian kadrowych i szybko pojawiaj
si nowe stanowiska. Cho model jest bardzo elastyczny i w zakresie uprawnie do obiektw umoliwia szczegow kontrol, nie pozwala na precyzyjne zarzdzanie sposobem
wykorzystania oprogramowania.
Problem nie polega na koniecznoci znalezienia metody kontrolowania aplikacji RBAC,
ale bardziej na tym, w jaki sposb powinny by realizowane nastpujce zadania:
t Definiowanie rl. Kto, co, na jakich komputerach i za pomoc jakich aplikacji
Narzdzie Meneder autoryzacji zwalnia administratora systemu z koniecznoci definiowania szczegw zwizanych z rolami. Projektanci tworz aplikacje posiadajce role
zdefiniowane na podstawie specyfikacji dostarczonych przez osoby wiedzce, w jaki
sposb nowe programy powinny funkcjonowa. W ramach definicji rl aplikacji projektanci przypisuj uprawnienia do obiektw i prawa umoliwiajce jej uruchamianie.
Po zdefiniowaniu rola moe zosta przydzielona grupie. Aby uytkownikom lub czonkom grup systemu Windows umoliwi wykonanie powierzonych zada, administratorzy musz jedynie doda ich do grup, ktrym przypisano role. Administratorzy i waciciele danych mog bra udzia w projektowaniu aplikacji i jej rl. Waciciele danych
okrelaj, jakie role zostan przydzielone osobom pracujcym w organizacji.
191
Zamieszczone poniej informacje mog by pomocne w zrozumieniu podstaw dotyczcych narzdzia Meneder autoryzacji i krokw, ktre musz by wykonane,
aby mona byo z niego skorzysta.
Podstawowe informacje
na temat narzdzia Meneder autoryzacji
Narzdzie Meneder autoryzacji oferuje jeden interfejs, za pomoc ktrego administratorzy mog zarzdza wieloma aplikacjami. Tego typu aplikacje musz
by tak tworzone, aby zawieray skadniki niezbdne do bardziej precyzyjnej
kontroli dostpu.
Projektanci aplikacji tworz komponenty definiujce role. Program instalacyjny
aplikacji uaktywnia zasad autoryzacji, ktra jest zestawem regu definiujcych
role aplikacji. Zasada autoryzacji jest przechowywana w magazynie autoryzacji
i udostpniana administratorowi za porednictwem przystawki Meneder autoryzacji. Jeli program instalacyjny nie uwzgldni zasady autoryzacji, jej skadniki
mog zosta utworzone bezporednio w oknie przystawki Meneder autoryzacji.
UWAGA: Rola administratora
Administrator jest przede wszystkim odpowiedzialny za przypisywanie rl grupom aplikacji oraz grupom i uytkownikom systemu Windows. Dodatkowo
musi dodawa do tych grup uytkownikw, przez co wie ich z odpowiednimi
rolami. Administratorzy powinni te wiedzie, na czym polega cay proces, aby
nie byy dla nich zaskoczeniem prawa i uprawnienia przypisywane w zarzdzanych przez nich systemach uytkownikowi posiadajcemu rol.
192
Cz II Zabezpieczanie serwera
Kompletna aplikacja zgodna z narzdziem Meneder autoryzacji wymaga zdefiniowania nastpujcych komponentw:
t Magazyn autoryzacji. Suy do przechowywania zasad zabezpiecze.
t Grupy. Jednostki, ktrym mona przypisa role.
t Aplikacja. Definiuje relacj midzy aplikacjami, ktre maj by zarzdzane
193
wykona zadanie.
Magazyn autoryzacji
Aplikacja zgodna z narzdziem Meneder autoryzacji w czasie uruchamiania swoj
zasad zabezpiecze pobiera z magazynu autoryzacji, z ktrym jest powizana.
Zasada zabezpiecze skada si z regu okrelajcych, na co wybrana rola pozwala. Nie istnieje domylny magazyn autoryzacji. Jest on tworzony w okrelonym celu. Magazyny autoryzacji mog znajdowa si w bazie danych usugi Active
Directory lub w pliku XML systemu plikw NTFS (lokalnym lub zdalnym). Plik
taki jest zabezpieczany przy uyciu listy ACL. W tabeli 4.1 wymieniono rnice
wystpujce midzy dwoma typami magazynw.
Tabela 4.1. Definicja magazynu autoryzacji
Usuga Active Directory
Plik XML
Obsuga delegowania
Definiowanie autoryzacji
Zgodno z systemem
Windows
Obsuga inspekcji
fazy wykonywania
Obsuga inspekcji
modyfikacji magazynu
autoryzacji
Magazyn autoryzacji mona zdefiniowa programowo lub rcznie w oknie przystawki Meneder autoryzacji. Gdy w oknie przystawki s tworzone takie elementy
jak grupy, role, operacje zada, ich dane trafiaj do magazynu autoryzacji. W celu
zdefiniowania magazynu naley wykona nastpujce kroki:
1. Uruchomi przystawk Meneder autoryzacji.
2. Prawym przyciskiem myszy klikn wze Meneder autoryzacji i z menu
194
Cz II Zabezpieczanie serwera
Rysunek 4.2. Tworzenie magazynu autoryzacji polega na zdefiniowaniu jego nazwy i lokalizacji
5. W celu dodania magazynu klikn przycisk OK. Na rysunku 4.3 pokazano
UWAGA: Delegowanie
Delegowanie w przypadku usugi Active Directory jest metod nadawania
uprawnie administracyjnych uytkownikom, ktrzy nie s czonkami grupy
Administratorzy. Operacja polega na przypisywaniu grupie uytkownikw
uprawnie do obiektw usugi Active Directory. Poniewa magazyn autoryzacji
znajdujcy si w bazie usugi Active Directory te jest obiektem, mona delegowa uprawnienia do niego i umieszczonych w nim obiektw. Magazyny autoryzacji przechowywane w pliku XML nie s obiektami usugi Active Directory,
dlatego nie pozwalaj na delegowanie.
195
Grupy
Grupy su do przypisywania rl uytkownikom. Role s przydzielane grupom,
natomiast administratorzy dodaj do nich konta uytkownikw. W oknie przystawki Meneder autoryzacji mog by tworzone specjalne grupy. Mona te uy
grup systemu Windows. Jeli zastosuje si grupy narzdzia Meneder autoryzacji,
mona je tak zdefiniowa, aby byy wykorzystywane tylko przez aplikacj, a nawet
jej zakres. Terminologia zwizana z grupami jest nastpujca:
t Grupa aplikacji. Grupa uytkownikw aplikacji zgodnej z narzdziem
196
Cz II Zabezpieczanie serwera
Aplikacja
W trakcie projektowania aplikacji zgodnej z narzdziem Meneder autoryzacji
jest okrelane, na co bd pozwalay jej role. Przypisujc do grup role i uytkownikw, definiuje si, kto i jakie bdzie mg realizowa zadania. Obiekt aplikacji
tworzony w oknie przystawki Meneder autoryzacji jest umieszczany w powizanym z ni magazynie autoryzacji. Obiekt aplikacji zawiera obiekty definiujce
zastosowan w niej kontrol dostpu opart na rolach. Cho aplikacja moe znajdowa si tylko w jednym magazynie autoryzacji, on sam moe zawiera wiele
197
Zwyka aplikacja
198
Cz II Zabezpieczanie serwera
Zakres
Zakresy s tworzone dla kadej aplikacji w celu ograniczenia dostpu do zasobw. Zakres identyfikuje takie zasoby, jak foldery systemu plikw, kontenery usugi
Active Directory, rnego typu pliki (np. wszystkie pliki *.doc), adresy URL i gazie rejestru. Zamiast z aplikacj, tworzone grupy narzdzia Meneder autoryzacji,
przypisania i definicje rl bd definicje zada kojarzy si z zakresem aplikacji.
Jednak operacje nie mog by definiowane na poziomie zakresu.
Grupy tworzone w obrbie zakresu dysponuj dostpem do zasobw okrelonych
dla zakresu. Z kolei grupy zdefiniowane na poziomie aplikacji mog uzyska dostp do zasobw caej aplikacji, cznie z jej zakresem. Uycie zakresw jest dobr
metod ograniczania dostpu wybranym uytkownikom i zwikszania go innym.
199
Zakresem moe by folder systemu plikw NTFS, kontener usugi Active Directory, zbir plikw identyfikowanych przez mask, tak jak na przykad *.doc, adres
URL itd. Wymienione obiekty znajduj si w kontenerze aplikacji zlokalizowanym
w oknie przystawki Meneder autoryzacji.
W celu utworzenia zakresu naley wykona nastpujce kroki:
1. Prawym przyciskiem myszy klikn wze aplikacji i z menu wybra
Definiujc zakresy, trzeba zadba o to, aby identyfikoway zasoby w sposb zrozumiay dla aplikacji. Trzeba tu wspomnie o dwch istotnych rzeczach. Po pierwsze, zasb powinien by identyfikowany przez lokalizacj, okrelan na przykad
przy uyciu cieki pliku, gazi rejestru lub kompletnego adresu URL. Zasb moe te by identyfikowany przez istniejce jednostki organizacyjne usugi Active
Directory. Po drugie, sama aplikacja musi by w stanie obsugiwa zasb. W roli
identyfikatorw zakresu aplikacje internetowe mog uywa adresw URL, natomiast programy oparte na systemie plikw mog korzysta ze cieek plikw.
Aby skutecznie ograniczy dostp do zasobw, korzystajc z ich lokalizacji, naley
wykona nastpujce kroki:
200
Cz II Zabezpieczanie serwera
ochrony.
Rysunek 4.9. Lokalizacja grupy decyduje o tym, z jakich zasobw bd mogli korzysta
jej czonkowie
3. Do odpowiednich grup przypisa uytkownikw, ktrzy powinni
201
202
Cz II Zabezpieczanie serwera
Role
Zanim za pomoc rl bdzie mona kontrolowa autoryzacj, trzeba je zdefiniowa. W tym celu do rl naley doda utworzone zadania i operacje. Role mona
definiowa dla wielu aplikacji i zarzdza nimi z jednego miejsca. Role mog te
dotyczy tylko wybranych aplikacji, a nawet by ograniczone do ich niektrych
zasobw.
Pierwszy krok polega na zidentyfikowaniu wymaganych rl. Aby utworzy role,
naley je potraktowa jak abstrakcj odpowiadajc rzeczywicie wykonywanym
operacjom i zadaniom. Pracownik dziau wsparcia i administrator systemu s
rolami, ktre mona zdefiniowa, gdy aplikacj stworzono w celu nadzorowania
operacji systemowych. Osoba zajmujca si listami pac, ksigowy i gwny ksigowy s rolami, ktre mona utworzy na potrzeby programu ksigujcego. Na
etapie projektowania aplikacji jest okrelana specyfikacja, ktra uwzgldnia rzeczywiste zadania realizowane przez kadego typu pracownika. Wszystkie zadania
s dzielone na mniejsze jednostki lub operacje.
Dobrze zdefiniowana rola odwzorowuje kategori stanowiska lub zakres odpowiedzialnoci. Cho z atwoci w nazwach stanowisk mona doszuka si oglnej definicji rl, w celu stwierdzenia, co faktycznie robi osoba penica okrelone
stanowisko, konieczne bdzie przeprowadzenie dokadniejszej analizy. Trzeba
pamita, e wielu pracownikw jest zaangaowanych w specjalne procesy biznesowe, natomiast nazwy stanowisk nie zawsze odpowiadaj okrelonym rolom
aplikacji. Proces tworzenia roli w obrbie aplikacji skada si z nastpujcych operacji:
t Wybranie nazwy.
t Okrelenie definicji.
t Utworzenie zada niszego poziomu, rl i operacji wchodzcych w skad
Cho zatwierdzanie listy czonkw okrelonej roli aplikacji nie jest zadaniem
administratora, samo przypisywanie kont uytkownikw do roli ju tak. Jak zwykle, krytyczne znaczenie ma zrozumienie, jakie w ramach takiej operacji przydziela si prawa i dostp. Trzeba wiedzie, kiedy dostp udzielany uytkownikowi i wykonywane przez niego operacje s normalne i zatwierdzone, a kiedy
realizowane dziaania naruszaj reguy, tak jak w przypadku ataku, ktrego celem
jest system.
203
W celu zdefiniowania roli za pomoc przystawki Meneder autoryzacji w pierwszej kolejnoci trzeba utworzy zadania i operacje, a nastpnie odpowiednio je
przypisa. Pierwszym krokiem procedury tworzenia roli jest okrelenie jej definicji. W tym celu naley wykona nastpujce kroki:
1. Zlokalizowa kontener aplikacji, a nastpnie rozwin zawarto wza
Definicje.
Rysunek 4.10. Role s definiowane przez powizane z nimi zadania i tworzone skrypty autoryzacji
4. Jeli dla roli utworzono role niszego poziomu, zadania lub skrypty
204
Cz II Zabezpieczanie serwera
Zadania
Role skadaj si z zada. Zadania s zbiorem operacji, skryptw autoryzacji
i ewentualnie innych zada. Zadania musz by dobrze zdefiniowane i powizane
z rolami. Dobrze zdefiniowane zadania reprezentuj rozpoznawalne elementy pracy. Oto przykady takich zada:
t zmiana hasa,
t uaktywnienie konta,
t utworzenie konta uytkownika,
t przedstawienie kosztw,
t zatwierdzenie kosztw,
t podpisanie czeku.
Aby stwierdzi, jakie zadania powinny zosta zdefiniowane dla wybranej roli,
trzeba bdzie zidentyfikowa elementy pozwalajce okreli, jakie s obowizki
osoby penicej rol. Przykadowo, administrator sieci moe modyfikowa listy
ACL routera. Pracownik dziau wsparcia moe zmienia hasa lub resetowa zablokowane konta. Podobnie jak role, zadania s definiowane w oknie przystawki
Meneder autoryzacji. Polega to na podaniu nazwy i opisu. Zadanie skada si
z zada niszego poziomu lub operacji, a take skryptw autoryzacji.
W celu utworzenia zadania naley wykona nastpujce kroki:
1. Prawym przyciskiem myszy klikn kontener Definicje zada i z menu
205
Operacje
Operacje s zbiorem uprawnie powizanych z procedurami zabezpiecze na
poziomie systemu lub interfejsu API. Przykadowe uprawnienia to odczyt lub zapis atrybutw. Operacje peni rol elementw tworzcych zadania. Operacje s
definiowane na poziomie aplikacji. W przypadku poziomu magazynu autoryzacji
lub zakresu nie jest to moliwe. Definicja operacji uwzgldnia nazw, opis i warto. Warto identyfikuje operacj w obrbie aplikacji. Ma ona istotne znaczenie,
poniewa wie ze sob wszystkie dziaania majce miejsce midzy narzdziem
Meneder autoryzacji i aplikacj. Ze wzgldu na to, e operacje wchodz w skad
zada, role identyfikuj zadania, ktre mog by wykonane, natomiast grupom
s przydzielane role, po dodaniu do grupy uytkownik bdzie mg realizowa
wszystkie operacje tworzce zadania przypisane rolom.
OSTRZEENIE: Unikanie bdw dotyczcych wartoci operacji
Warto musi by liczb cakowit z przedziau od 0 do 2147483647. Jeli trzeba
rcznie poda warto, naley sprawdzi, czy poprawnie j wprowadzono.
Nieprawidowa warto spowoduje wystpienie bdu w aplikacji.
Jeli na przykad kilka operacji definiujcych niskopoziomowe czynnoci niezbdne do sformatowania dysku twardego tworzy zadanie formatowanie dysku,
ktre z kolei jest przypisane roli Zarzdca serwera powizanej z grup aplikacji
Zarzdca_serwera, po dodaniu do niej uytkownika umoliwi mu si sformatowanie dysku.
206
Cz II Zabezpieczanie serwera
Definiowanie zada
Aby zdefiniowa zadanie, co polega na przypisaniu operacji, naley wykona nastpujce kroki:
1. Dwukrotnie klikn zadanie, ktre ma by zdefiniowane.
2. Uaktywni zakadk Definicja, klikn przycisk Dodaj i uaktywni
zakadk Operacje.
207
(rysunek 4.13).
Definiowanie rl
Aby zdefiniowa rol, co polega na przypisaniu jej listy zada, naley wykona
nastpujce kroki:
1. Dwukrotnie klikn rol, ktra ma by zdefiniowana.
2. Uaktywni zakadk Definicja, klikn przycisk Dodaj i uaktywni
zakadk Zadania.
Przypisywanie rl do grup
W celu przydzielenia grupom rl naley wykona nastpujce kroki:
1. Prawym przyciskiem myszy klikn kontener Przypisania rl i z menu
208
Cz II Zabezpieczanie serwera
(rysunek 4.16).
209
Podstawowe informacje
dotyczce narzdzia Meneder autoryzacji podsumowanie
W obrbie narzdzia Meneder autoryzacji i okrelonych aplikacji kadej roli jest
przypisywane prawo do wykonywania zada i operacji. Rola jest przydzielana
grupie bdcej interfejsem, za pomoc ktrego administrator bdzie upowania
uytkownikw lub grupy systemu Windows do uywania aplikacji i przetwarzania
zasobw. Zamiast zarzdza zasobami aplikacji nadzoruje si dziaania i obieg zada. Przykadowo, zamiast korzysta z narzdzia Kreator delegowania kontroli
bd bezporednio przypisywa kontu uytkownika lub grupy uprawnienie pozwalajce na resetowanie hase kont znajdujcych si w jednostce organizacyjnej,
wystarczy konto uytkownika doda do grupy narzdzia Meneder autoryzacji,
ktrej przydzielono rol pracownik dziau wsparcia.
Jeli zdefiniuje si dostp do obiektw i prawa pozwalajce na uaktywnianie
skadnikw aplikacji, rola administracyjna bdzie prosta. Zamiast wykonywa tysice niezalenych czynnoci polegajcych na tworzeniu grup systemu Windows
i przypisywaniu im praw, a take uprawnie do obiektw usugi Active Directory,
plikw, gazi rejestru i innych zasobw, wystarczy jedynie konta uytkownikw
lub grup systemowych doda do grup, z ktrymi powizano role.
210
Cz II Zabezpieczanie serwera
Rysunek 4.17. Plik XML magazynu autoryzacji zawiera zasad zabezpiecze aplikacji
211
W celu uaktywnienia inspekcji naley uy opcji umieszczonych w zakadce Inspekcja (rysunek 4.18). Jeli okrelonego typu inspekcja nie jest dostpna, powizana z ni opcja nie pojawi si. Jeli nie s widoczne opcje udanych (Sukces)
i nieudanych (Niepowodzenie) operacji, oznacza to, e inspekcj zdefiniowano
na wyszym poziomie. Aby to zmieni, trzeba bdzie najpierw stwierdzi, gdzie
inspekcja jest zarzdzana (lokalnie lub za pomoc zasad grupy na poziomie domeny lub jednostki organizacyjnej) i wprowadzi modyfikacje. Dziedziczone bd
wszystkie moliwe inspekcje obiektw. Przykadowo, dziedziczona jest inspekcja
dostpu do obiektu zdefiniowana dla pliku systemu plikw, bdcego zasobem
magazynu autoryzacji. W celu skonfigurowania inspekcji musz zosta spenione
nastpujce wymagania:
t trzeba dysponowa przywilejem Generowanie zdarze inspekcji
zabezpiecze;
212
Cz II Zabezpieczanie serwera
Rysunek 4.18. Inspekcja jest definiowana w oknie waciwoci magazynu autoryzacji i aplikacji
213
Mona sobie wyobrazi, e mogoby si uniemoliwi nowemu wirusowi uaktywnienie w zarzdzanych systemach nawet przed przygotowaniem sygnatury przez
producenta oprogramowania antywirusowego i jej publicznym udostpnieniem.
A moe byoby moliwe zapobiegnicie uruchomieniu w systemie przez dowoln osob oglnie znanego, lecz zabronionego oprogramowania, takiego jak gry
lub narzdzia administracyjne. By moe daoby si cakowicie wyeliminowa
moliwo zaadowania jeszcze nieznanego szkodliwego programu. Czy podjoby si decyzj o zakupie produktu pozwalajcego na to wszystko?
Wcale nie trzeba tego robi. Jeli dysponuje si systemem Windows Server 2003
lub Windows XP Professional, ju mona skorzysta z takiego produktu. Zasady
ogranicze oprogramowania s skadnikiem doczonym po raz pierwszy do systemu Windows XP Professional i umoliwiajcym zarzdzanie komputerem. Korzystajc z systemu Windows Server 2003, mona utworzy zasady grupy, ktre
bd kontroloway pojedynczy serwer lub stacj robocz bd tysice komputerw z systemem Windows XP Professional i Windows Server 2003. Poniej wyjaniono, na czym to polega.
214
Cz II Zabezpieczanie serwera
215
Na niektre aplikacje
zasady ogranicze oprogramowania nie oddziauj
Zasady ogranicze oprogramowania nie maj wpywu na nastpujce oprogramowanie:
t sterowniki lub inne programy trybu jdra;
t programy uruchamiane przy uyciu konta SYSTEM;
t makra dokumentw stworzonych za pomoc pakietw Microsoft
obowizywaa;
wystawcw.
W podrozdziale Tworzenie i stosowanie zasad ogranicze oprogramowania zamieszczono wicej informacji na temat regu.
Podstawowe informacje
dotyczce zasad ogranicze oprogramowania
Ograniczanie dostpu do oprogramowania nie wydaje si by trudnym zadaniem. Sprowadza si jedynie do tego, aby nie instalowa okrelonych aplikacji
i nie zezwala innym na co takiego. Problem polega na tym, e mona nie mie
216
Cz II Zabezpieczanie serwera
217
Tworzenie i stosowanie
zasad ogranicze oprogramowania
Aby zdefiniowa zasady ogranicze oprogramowania, trzeba najpierw utworzy
podstawowe zasady, a nastpnie reguy. W tym celu naley wykona nastpujce kroki:
1. Utworzy zasad ogranicze oprogramowania.
2. Ustali poziom zabezpiecze.
3. Okreli zakres obowizywania zasady.
4. Zdefiniowa typy plikw identyfikujce pliki wykonywalne.
218
Cz II Zabezpieczanie serwera
219
220
Cz II Zabezpieczanie serwera
221
wszystkich uytkownikw, cznie z czonkami grupy Administratorzy. Jeli uytkownicy musz by na swoich komputerach czonkami lokalnej grupy Administratorzy, nie wolno stosowa reguy wymuszania Wszyscy uytkownicy oprcz
administratorw lokalnych.
Inny typ reguy wymuszania decyduje o tym, czy bd ograniczone biblioteki
oprogramowania, ktre s plikami z kodem nie uruchamianymi, lecz wykorzystywanymi przez pliki wykonywalne. W wikszoci przypadkw s to pliki bibliotek DLL. Naley zastosowa regu wymuszania Wszystkie pliki oprogramowania
oprcz bibliotek (takich jak DLL) lub Wszystkie pliki oprogramowania. Uycie
pierwszej reguy pozwala uproci tworzenie zasady i zapobiega spadkowi wydajnoci. Regua Wszystkie pliki oprogramowania oprcz bibliotek (takich jak DLL)
zakada, e gdy umoliwi si uruchomienie aplikacji, maj by dostpne jej biblioteki. Z kolei gdy zamierza si uniemoliwi uaktywnienie aplikacji, regua
zakada, e jej biblioteki nie maj by dostpne. Regua nie zarzdza bibliotekami.
Mona te wymaga bardziej cisej kontroli. Jednak w tym przypadku trzeba
pamita, e sprawdzanie biblioteki DLL moe przyczyni si do spadku wydajnoci. Kada aplikacja uruchamiana przez uytkownika spowoduje sprawdzenie
powizanej z ni zasady. Gdy uruchomi si 10 programw, bdzie miao miejsce
222
Cz II Zabezpieczanie serwera
223
dla uytkownikw.
Rysunek 4.24. W oknie Wyznaczone typy plikw znajduj si typy plikw wykonywalnych
obsugiwanych przez zasad ogranicze oprogramowania
224
Cz II Zabezpieczanie serwera
Aby sprawdzi lub zmodyfikowa wyznaczone typy plikw wykonywalnych, naley wykona nastpujce kroki:
1. Zaznaczy wze Zasady ogranicze oprogramowania.
2. W prawym panelu dwukrotnie klikn obiekt Wyznaczone typy plikw
225
226
Cz II Zabezpieczanie serwera
227
Kada regua mieszania moe by uyta tylko dla jednego pliku wykonywalnego,
uniemoliwiajc uytkownikowi jego uruchomienie niezalenie od tego, jaka bdzie rdowa lokalizacja pliku, jego cieka lub nazwa. Jeli jednak oprogramowanie zmieni si (wirus ulegnie mutacji lub pojawi si nowa wersja gry), konieczne
bdzie utworzenie kolejnej reguy. Najlepiej nie polega tylko na jednym typie
reguy, a zwaszcza nie definiowa regu i nie pozostawa w przekonaniu, e nigdy
nie bdzie trzeba ich ponownie konfigurowa. Ponadto warto nawet zastosowa
listy ACL plikw, aby dodatkowo kontrolowa dostp uytkownika do obiektw
wykonywalnych.
Tworzone mog by nastpujce cztery typy regu:
t reguy mieszania,
t reguy certyfikatw,
t reguy cieki uwzgldniajce reguy cieek plikw i rejestru,
t reguy strefy internetowej.
Aby sfinalizowa definiowanie zasad ogranicze oprogramowania, trzeba utworzy reguy. Najpierw naley stwierdzi, ktre programy musz by uruchamiane,
a ktre nie. W dalszej kolejnoci naley okreli typ uytych regu, a nastpnie
je utworzy. Zadanie polegajce na zidentyfikowaniu aplikacji, ktre powinny
i nie powinny by uaktywniane, nie jest proste. Konieczne bdzie sprawdzenie
zasady zabezpiecze i zada realizowanych przez uytkownikw komputerw,
a nastpnie skonsultowanie si z zarzdem. Sugestie zamieszczone w tabeli 4.3
mog by pomocne w podjciu decyzji dotyczcej typu regu, ktre zostan uyte.
Tabela 4.3. Najlepsze praktyki dotyczce okrelania typw regu
Regua
Przeznaczenie
Regua mieszania
Regua strefy
Regua cieki
Regua certyfikatu
228
Cz II Zabezpieczanie serwera
Gdy wiele regu dotyczy tego samego pliku programu, kolejno ich stosowania
bdzie zalee od ustalonej zasady pierwszestwa. Kolejno regu (wedug pierwszestwa) jest nastpujca:
t regua mieszania,
t regua certyfikatu,
t regua cieki,
t regua strefy internetowej.
Przed zastosowaniem reguy w systemach produkcyjnych powinno si j sprawdzi w rodowisku testowym. Po skonfigurowaniu reguy, lecz jeszcze przed
rozpoczciem testowania jej naley ponownie uruchomi system, aby mie pewno, e regua zacza obowizywa.
Reguy mieszania
Dziaanie regu mieszania polega na generowaniu wartoci mieszania dla pliku
wykonywalnego. Funkcja mieszania jest w stanie pobra dowoln ilo informacji i zredukowa j do unikatowej wartoci mieszania o standardowym rozmiarze.
W idealnej sytuacji adne dwa pliki programw przetworzone przez ten sam algorytm mieszania nie spowoduj wygenerowania identycznej wartoci mieszania.
229
Za pomoc reguy mieszania mona ogranicza programy dysponujce podpisem i pozbawione go. W przypadku podpisanego programu warto mieszania
moe by generowana za pomoc algorytmu MD5 lub SHA-1. Tworzona regua
mieszania uyje dowolnej moliwej wartoci mieszania. Jeli plik nie jest podpisany, zostanie uyty algorytm mieszania MD5. Regua mieszania zawiera warto mieszania, dugo pliku i identyfikator okrelajcy zastosowany algorytm
mieszania.
UWAGA: Zawsze naley wybiera algorytmy mieszania
odporne na kolizj
Cho kolizja (wygenerowanie dla rnych danych identycznej wartoci mieszania) jest zawsze moliwa, jej wystpienie jest mao prawdopodobne. Wybierajc algorytmy mieszania, projektanci powinni rozway te, ktre w danej chwili s uwaane ze mniej podatne na kolizje. To samo powinni uwzgldni
administratorzy wybierajcy aplikacje. W celu uzyskania dodatkowych informacji
naley zapozna si z dokumentem dostpnym pod adresem http://www.rsasecurity.com/rsalabs/node.asp?id=2738, w ktrym zamieszczono wyniki bada
przeprowadzonych w 2004 r., dotyczcych kolizji zwizanych ze stosowaniem
algorytmu MD5.
regua mieszania.
230
Cz II Zabezpieczanie serwera
dialogowego.
231
Reguy certyfikatw
Reguy certyfikatw mog zezwala na uruchomienie oprogramowania lub blokowa tak moliwo na podstawie cyfrowego podpisu powizanego z plikiem.
Regua certyfikatu identyfikuje certyfikat wydawcy podpisujcy kod aplikacji.
Regua sprawdza plik, korzystajc z wartoci mieszania znajdujcej si w podpisie pliku. Pooenie pliku nie ma znaczenia. Jeli aplikacj podpisano przy uyciu
jednego z certyfikatw okrelonych w reguach certyfikatw, dla pliku wykonywalnego zostanie zastosowany poziom zabezpiecze ustawiony dla reguy.
Regu certyfikatu mona wykorzysta, gdy zasady zabezpiecze firmy wymagaj, aby wszystkie skrypty ActiveX byy podpisane za pomoc okrelonego cyfrowego podpisu.
Reguy certyfikatw obowizuj tylko typy plikw zdefiniowane w elemencie Wyznaczone typy plikw. Aby zdefiniowa tego typu regu, trzeba dysponowa kopi certyfikatu powizanego z podpisanymi plikami. Reguy certyfikatw mona
te uaktywnia za pomoc przystawki Zasady grupy. Przykadowo, aby zastosowa regu certyfikatu zezwalajc na wykonanie tylko tych skryptw jzyka Visual
Basic, ktre zostay podpisane przy uyciu certyfikatu organizacji, naley wykona
nastpujce operacje:
t umoliwienie za pomoc przystawki Zasady grupy stosowania regu
certyfikatw;
232
Cz II Zabezpieczanie serwera
Opcje zabezpiecze.
zabezpiecze.
233
Rysunek 4.29. Reguy strefy internetowej okrelaj, czy mona zainstalowa aplikacj
pochodzc z witryny WWW nalecej do kontrolowanej strefy
5. Klikn przycisk OK, aby zakoczy definiowanie reguy.
234
Cz II Zabezpieczanie serwera
235
Podobnie jak w przypadku kadego dobrego haka, tu omwiony nie jest przeznaczony dla kadego administratora systemu Windows ani nadajcy si do zastosowania
w dowolnej sytuacji. Ponadto wymaga dokadnego sprawdzenia w zarzdzanym rodowisku w celu stwierdzenia, czy bdzie si nadawa. Trzeba uprzedzi, e poniszy hak
moe uszkodzi aplikacje. Zalecane jest szczegowe zapoznanie si z artykuami dostpnymi pod adresami http://msdn.microsoft.com/library/default.asp?url=/library/en-us/
dncode/html/secure11152004.asp i http://msdn.microsoft.com/library/default.asp?url=/
library/en-us/dncode/html/secure01182005.asp. W artykuach omwiono inne metody
ograniczania praw uytkownikw bez stosowania niezalenej tosamoci uytkownika.
Zawarto w nich te ostrzeenie, e wymienione technologie mog ulec zmianie w przyszych wersjach systemu Windows.
Hak polega na zmodyfikowaniu rejestru w taki sposb, e dostpne staj si trzy
nowe poziomy zabezpiecze zasad ogranicze oprogramowania. Oto one:
t Uytkownik podstawowy. Uytkownik nie dysponuje prawami administratora
Kady z wymienionych poziomw umoliwia uruchomienie programu, dla ktrego ustalono poziom zabezpiecze Bez ogranicze, z tym e zmniejszajc przywileje uytkownika, ogranicza zakres operacji, ktre moe wykona. Jest to wane, poniewa uytkownicy mog wymaga okrelonych praw do uruchomienia wybranych aplikacji, ale
te bd w stanie uaktywni wiele innych programw, nie posiadajc tych uprawnie.
Uruchamianie dowolnej aplikacji z jak najmniejszymi przywilejami zawsze bdzie uwaane za polecan praktyk dotyczc zabezpiecze. Przykadowo, nie jest dobrym pomysem uruchomienie programu Internet Explorer z uprawnieniami administratora
w celu przegldania stron internetowych. Aby ograniczy to, kto moe korzysta z przegldarki Internet Explorer, naley zastosowa zasad ogranicze oprogramowania i ustawi poziom zabezpiecze Uytkownik podstawowy.
W celu udostpnienia w wle Zasady ogranicze oprogramowania nowego poziomu
zabezpiecze Uytkownik podstawowy naley zmodyfikowa rejestr. Po uruchomieniu
programu Edytor rejestru naley odszuka klucz HKEY_LOCAL_MACHINE\SOFTWARE\
Policies\Microsoft\Windows\Safer\CodeIdentifiers, a nastpnie utworzy wpis typu DWORD
o nazwie Levels i wartoci 0x00031000.
236
Cz II Zabezpieczanie serwera
Rysunek 4.30. Reguy cieki plikw i rejestru identyfikuj lokalizacje, z ktrych aplikacje
mog by uruchamiane lub nie
237
238
Cz II Zabezpieczanie serwera
Czsto w identyfikacji przyczyny problemw z zasadami ogranicze oprogramowania pomocny bdzie zdrowy rozsdek, przegldanie ustawie i odwoywanie
si do typowych problemw, o ktrych wczeniej wspomniano. Jednak gdy
wszystko to nie umoliwi wykrycia przyczyny problemu, mona uaktywni rozszerzone rejestrowanie, ktre pozwala na zapisywanie kadej operacji zwizanej
z zasadami ogranicze oprogramowania. W celu wczenia rejestrowania naley
wykona nastpujce kroki:
1. Utworzy klucz rejestru HKLM\SOFTWARE\Policies\Microsoft\
Windows\Safer\Codeidentifiers.
wolno ich definiowa w obiekcie GPO domeny. Zawsze dla takich zasad
naley tworzy oddzielny obiekt GPO. Ze wzgldu na to, e domylnie nie
s definiowane adne zasady ogranicze oprogramowania, w celu wycofania
nieprawidowej zasady mona j usun lub wyczy, a nastpnie zezwoli
na ponowne zastosowanie obiektu GPO domeny.
239
system naley zaadowa w trybie awaryjnym. Gdy tryb ten jest aktywny,
tego typu zasady nie obowizuj. Dziki temu mona zalogowa si jako
administrator, a nastpnie zmodyfikowa zasad, uaktualni j za pomoc
narzdzia gpupdate i ponownie uruchomi komputer.
240
Cz II Zabezpieczanie serwera
Aplikacje COM (Component Object Model), COM+ i DCOM (Distributed Component Object Model) s zarzdzane przy uyciu konsoli Usugi skadowe pokazanej na rysunku 4.31. Zabezpieczeniami tych aplikacji mona zarzdza w takim
zakresie, na jaki pozwalaj odpowiednie interfejsy przez nie oferowane. Przykadowo, aplikacja COM+ moe definiowa role dysponujce w jej obrbie specyficznymi przywilejami i uprawnieniami. Jeli role utworzono w aplikacji, mona
nimi zarzdza za pomoc konsoli.
241
indywidualnie;
nimi dysponowa;
242
Cz II Zabezpieczanie serwera
Poziom uwierzytelniania mona okreli w konsoli Usugi skadowe lub przy uyciu kodu zawierajcego funkcje administracyjne pakietu SDK. Uwierzytelnienia
mog wymaga aplikacje serwera i klienta COM+. Mona zdefiniowa rny
poziom uwierzytelniania, poczwszy od jego braku, a skoczywszy na szyfrowaniu kadego pakietu i wszystkich parametrw wywoania metody. Ponisza lista
zaczyna si od poziomu, w przypadku ktrego nie zachodzi uwierzytelnianie,
a koczy na najwyszym poziomie uwierzytelniania. Sposb uwierzytelniania jest
negocjowany przez klienta i serwer. Zostan uyte bezpieczniejsze ustawienia,
ktrymi dysponuje jedna z dwch stron. Kontrolowanie uwierzytelniania po stronie serwera moe polega na ustawieniu dla procesu najwyszego danego poziomu. Jeli dla aplikacji nie okrelono poziomu uwierzytelniania, zostan uyte
ustawienia komputera (domylnym poziomem jest poziom czenia). Mona wyrni nastpujce poziomy uwierzytelniania:
243
nawizywania poczenia.
wywoania.
W celu ustalenia dla komputera poziomu uwierzytelniania naley wykona nastpujce kroki:
1. Uruchomi narzdzie administracyjne Usugi skadowe.
2. Prawym przyciskiem myszy klikn kontener Komputery i z menu wybra
pozycj Waciwoci.
Autoryzacja
Jeli aplikacja COM+ jest zabezpieczana przy uyciu rl, naley uaktywni przeprowadzanie autoryzacji. Zanim uytkownicy bd mogli wykona w aplikacji
jakkolwiek operacj, w trakcie uzyskiwania do niej dostpu zostanie sprawdzone
ich czonkostwo w rolach. W celu uaktywnienia przeprowadzania autoryzacji
naley wykona nastpujce kroki:
1. Uruchomi konsol Usugi skadowe.
2. Prawym przyciskiem myszy klikn aplikacj COM+ i z menu wybra
pozycj Waciwoci.
244
Cz II Zabezpieczanie serwera
Poziom zabezpiecze
Poziom zabezpiecze okrela, na jakim poziomie aplikacje COM+ dysponujce
rolami bd sprawdzay dostp. Kontrola dostpu moe by realizowana na poziomie komponentu lub procesu. Role umoliwiaj zdefiniowanie sprawdzania dostpu na poziomie komponentu. Role mona przypisa komponentom, interfejsom
i metodom aplikacji COM+. Sprawdzanie dostpu na poziomie procesu obowizuje jedynie w obrbie aplikacji.
W celu ustawienia poziomu zabezpiecze naley wykona nastpujce kroki:
1. Uruchomi konsol Usugi skadowe.
2. Prawym przyciskiem myszy klikn aplikacj i z menu wybra pozycj
Waciwoci.
245
testy dostpu tylko na poziomie procesu lub opcj Wykonaj testy dostpu
na poziomie procesu i skadnika.
Personifikacja i delegowanie
Gdy serwer realizuje wywoanie w imieniu klienta, korzystajc z jego danych
uwierzytelniajcych zamiast ze swoich, ma miejsce personifikacja. Zalenie od tego, co umoliwiono uytkownikowi, dostp do zasobw moe zosta rozszerzony lub zmniejszony. Przykadowo, moe by wymagane, aby aplikacja serwera
uzyskaa dostp do danych znajdujcych si w bazie, a ponadto eby byy to dowolne dane, do ktrych dostpem dysponuje klient.
246
Cz II Zabezpieczanie serwera
Waciwoci.
personifikacji.
247
dla ktrej nie zaznaczono opcji Konto jest poufne i nie moe by
delegowane.
Identyfikacja
Aplikacje COM i COM+ mog dziaa jako usugi. Gdy tak jest, korzystaj
z kontekstu zabezpiecze konta lub tosamoci System lokalny. Jeli aplikacje
nie s usugami, mog personifikowa tosamo lub korzysta z uprawnie konta
uytkownika, za pomoc ktrego zostay uruchomione.
Tosamo aplikacji jest okrelana podczas jej instalacji i dotyczy wycznie aplikacji serwerowych. Tosamo jest kontem uytkownika wykorzystywanym przez
aplikacj do uruchomienia i wykonywania wywoa dotyczcych innych aplikacji
i zasobw. W przypadku bibliotek tosamo nie jest stosowana. Biblioteki COM+
uywaj tosamoci hosta. Zastosowanie konkretnego konta (konta System lokalny
lub przydzielonego konta uytkownika) jest bezpieczniejsze od zezwolenia na
uycie interaktywnej tosamoci. Interaktywno oznacza, e aplikacje COM+ s
uruchamiane z uprawnieniami zalogowanego uytkownika. Jeli na przykad jest
zalogowany lokalny administrator, aplikacje COM+ mogyby zosta uaktywnione
z jego przywilejami, a take posuy do wykonania wywoa i uzyskania dostpu do zasobw, nawet w imieniu klientw. Jeli nikt nie jest zalogowany, aplikacje
nie mog zosta uruchomione. Mona wyrni nastpujce rodzaje tosamoci:
t Interaktywna. Aktualnie zalogowany uytkownik.
t Usuga lokalna. Konto z minimalnymi uprawnieniami pozwalajcymi
248
Cz II Zabezpieczanie serwera
249
Zdefiniowanie uprawnie uruchamiania jest dobrym sposobem ograniczenia moliwoci korzystania z aplikacji. Uprawnienia mona okreli dla dowolnej aplikacji widocznej w oknie konsoli Usugi skadowe i umoliwi jej uruchamianie
tylko niektrym uytkownikom. Przykadowo, w przypadku programu Media
Player domylnie uprawnienia uruchamiania nadano kontom Administrator, SYSTEM i Interaktywna. Jeli zamierza si ograniczy moliwoci uruchamiania
(uprawnienia uruchamiania), uywania (uprawnienia dostpu) i konfigurowania
(uprawnienia konfiguracji) aplikacji, odpowiednie zmiany mona wprowadzi
w oknie konsoli.
250
Cz II Zabezpieczanie serwera
Ograniczanie przywilejw
przez utworzenie aplikacji bdcej bibliotek
Mona wyrni dwa typy aplikacji COM+ aplikacje i biblioteki. Biblioteki
s obsugiwane przez inny proces. Oznacza to, e mog korzysta z zabezpiecze
hosta, a nie zabezpiecze wasnej tosamoci (konta uytkownika). Biblioteki
dysponuj tylko takimi przywilejami, jakie przypisano ich hostowi. Cho domylnie biblioteki mog bra udzia w uwierzytelnianiu, mona je tak skonfigurowa,
aby proces ten nie by realizowany (nie jest to zalecane). Gdy aplikacj COM+
wiadomie zaprojektuje si jako bibliotek, mona ograniczy jej moliwoci. Biblioteka bdzie moga uy tylko tych zasobw, do ktrych dostpem dysponuje
jej klient, czyli proces hosta. Klientami bd wywoania wykonywane poza obrbem aplikacji lub dostp do zasobw, takich jak pliki, zaleny od deskryptora
zabezpiecze. Jeli tworzy si aplikacj, ktra bdzie realizowaa istotne operacje,
i zaley nam, aby mogy z niej korzysta tylko te osoby, ktre dysponuj uprawnieniami do wykonywania takich operacji, naley zaprojektowa bibliotek.
Przypisywanie uytkownikw do rl
Role identyfikuj kategorie uytkownikw i s definiowane przez projektanta
aplikacji. Podobnie jak aplikacje zgodne z narzdziem Meneder autoryzacji aplikacje COM+ mog zawiera role okrelajce, jaki uytkownik jakie operacje moe wykonywa po uruchomieniu programu. Role wymuszaj przestrzeganie zasady kontroli dostpu zdefiniowanej dla aplikacji i s w niej umieszczane przez
projektantw. Administratorzy przypisuj do rl aplikacji uytkownikw i grupy
systemu Windows. Przykadowe role aplikacji COM+ mona przejrze w oknie
konsoli Usugi skadowe. W tym celu po uruchomieniu konsoli naley rozwin
wze Mj komputer/Aplikacje COM+/System Application/Role. W dalszej kolejnoci naley rozwija zawarto kadej roli i znajdujcego si w niej kontenera
Uytkownicy. Wyniki operacji pokazano na rysunku 4.36.
251
Rola
Opis
Administrator
Lokalni administratorzy
Dowolna aplikacja
Wszyscy
Zaufany uytkownik QC
Czytnik
Wszyscy
Aplikacja serwera
Wszyscy
252
Cz II Zabezpieczanie serwera
253
W ramach testu systemu postanowia wykrci wasny numer, uywajc telefonu znajdujcego si w serwerowni, a nastpnie odsucha wiadomo na swoim komputerze.
Nie bya w stanie nawiza poczenia. Nie byo sygnau wybierania. Zupenie nic.
Donna sprawdzia co najmniej tuzin numerw telefonw. Cay czas nie byo sygnau.
Sprawdzia wszystkie numery, jakimi dysponowaa. Czy wystpi jaki nowy problem
z systemem Windows Server 2003? Czy w dokumentacji nie wymieniono jakich krokw? Czy Donna zrobia co niepoprawnie?
W pewnym momencie pomylaa, czy przypadkiem role aplikacji COM+ nie s przyczyn problemw? Uruchomia konsol Usugi skadowe zupenie pewna, e znajdzie
w niej aplikacj systemu PBX. Dostpna bya rola Administrator, ktr przydzielono tylko kontu SYSTEM. Po sprawdzeniu uprawnie uruchamiania stwierdzia, e je rwnie
przypisano wycznie kontu SYSTEM. Ze wzgldu na to, e w pocztkowej konfiguracji usuga systemu PBX korzystaa z konta System lokalny, dziaa on bez zarzutw.
Gdy Donna zmienia konto, system PBX utraci uprawnienia do wasnych komponentw. Oznaczao to niedostpno usug telefonicznych. Aby mona byo z nich ponownie korzysta, trzeba byo jedynie zmodyfikowa przypisanie roli Administrator
i nada uprawnienia uruchamiania nowemu kontu usugi.
Nawet gdy nie zamierza si konfigurowa zabezpiecze aplikacji COM+ lub nie
dysponuje takimi, ktre maj wbudowane role pozwalajce na zarzdzanie, powinno si administrowa rolami znajdujcymi si w wle System Application.
Role te okrelaj, kto moe instalowa aplikacje COM+, a take kto moe zarzdza nimi i ich rodowiskiem. Domylnie czonkiem rl jest lokalna grupa
Administratorzy. Cho tylko czonkowie grupy Administratorzy mog zarzdza
zabezpieczeniami aplikacji COM+, mona jeszcze bardziej to ograniczy. W tym
celu naley wykona nastpujce kroki:
1. Uruchomi konsol Usugi skadowe (z menu Start naley wybra pozycj
uwzgldnione.
254
Cz II Zabezpieczanie serwera
255
Rysunek 4.37. Zasady ogranicze oprogramowania mog by zdefiniowane dla aplikacji COM+
w jej oknie waciwoci