Home Articles & Tutorials Authentic

Rumah artikel & Tutorial otentikasi, kontrol akses enkripsi Pengguna account, account Group, dan daftar kontrol aksesoleh Derek Melber [diterbitkan pada 15 Agustus 2012 / Terakhir Diperbarui pada 15 Agustus 2012]9Artikel ini melihat pentingnya benar confinguring daftar kontrol akses (ACL).PengenalanSeorang bijak pernah mengajari saya cara benar mengkonfigurasi daftar kontrol akses (ACL), yang masih memberitakan hari. Namun, saya menemukan bahwa setelah bertahun-tahun administrasi jaringan menjadi begitu sederhana, bahwa banyak tidak mengikuti ini mudah untuk mengikuti dan praktek keamanan terbaik. Jika pengguna dan kelompok yang tidak ditangani dengan benar saat pemberian akses ke sumber daya, melalui ACLs, bencana hanya menunggu untuk terjadi pada jaringan Anda. Berpikir tentang hal itu dengan cara ini, jika Anda hanya santai memberikan kunci rumah Anda tanpa menjaga melacak yang mereka, bagaimana Anda tahu dalam satu tahun atau dua yang memiliki kunci untuk rumah Anda? Jawabannya adalah Anda tidak akan. Jenis masalah yang sama terjadi pada jaringan Anda. Jika Anda memberikan izin yang salah untuk benda-benda yang salah, Anda akan berakhir tidak tahu siapa yang memiliki akses ke apa dalam satu atau dua tahun. Kerusakan yang dapat datang ini untuk data perusahaan Anda hampir sama buruknya tidak tahu siapa yang memiliki kunci untuk rumah Anda.IklanHal pertama yang pertamaKita perlu memahami apa yang saya maksud dengan daftar kontrol akses (ACL). Sebuah ACL adalah daftar "siapa" memiliki "apa" akses ke sumber daya. Kita juga perlu memahami apa definisi sumber daya dalam Windows lingkungan. Mari kita asumsikan bahwa kita memiliki domain Active Directory, yang akan memperluas definisi kita tentang sumber daya. Pertama, sumber daya adalah apa-apa dengan ACL. Aku tahu, Anda akan pernah mendefinisikan istilah satu dengan yang lain yang tidak diketahui. Namun, dalam kasus ini tidak ada banyak pilihan lain. Berikut adalah daftar lengkap dari objek di sebuah perusahaan Windows Active Directory dengan ACL: File Folder Printer Kunci registri Layanan Objek Active DirectorySekarang, apa adalah sebuah ACL? Sebuah ACL adalah daftar pengguna, grup, dan komputer dengan beberapa tingkat izin akses ke objek. Untuk mengakses ACL untuk suatu objek, Anda perlu untuk pertama kali mendapatkan untuk obyek properti. Biasanya ini adalah klik kanan pergi. Hanya klik kanan pada objek, kemudian pilih Properties dari menu. Sebagai contoh, ACL untuk folder System32 pada laptop saya ditunjukkan dalam gambar 1.Gambar 1: ACL untuk System32 folder.Catatan:Ada juga izin yang terkait dengan Shared folder, yang pada tab berbagi, yang terletak di sebelah tab Keamanan kotak dialog properti untuk objek. Izin ini berkaitan dengan folder berbagi yang tidak dengan cara apapun yang mirip dengan hak akses pada tab Keamanan. Mereka mungkin tampak mirip, tapi mereka sangat berbeda.Berikutnya, lingkup penggunaAda dua jenis account pengguna di domain direktori aktif. Ada account pengguna lokal, yang tinggal di Pengelola Akun keamanan lokal (SAM) setiap desktop dan server (bebas-domain controller) di seluruh domain. Pengguna dapat hanya terletak di ACLs pada sumber daya yang berada di depan komputer di mana pengguna disimpan.Ada juga account pengguna domain, yang terletak di pengontrol domain untuk domain. Pengontrol domain rumah database Active Directory, yang mana pengguna tersebut didefinisikan dan disimpan. Akun pengguna ini dapat ditempatkan pada setiap ACL pada sumber daya pada komputer manapun di seluruh domain.Berikutnya, lingkup kelompokAda dua jenis kelompok account di domain direktori aktif. Ada kelompok lokal account, yang tinggal di Pengelola Akun keamanan lokal (SAM) setiap desktop dan server (bebas-domain controller) di seluruh domain. Kelompok-kelompok ini dapat hanya terletak di ACLs pada sumber daya yang berada di depan komputer yang mana grup disimpan.Ada juga account domain group, yang terletak di pengontrol domain untuk domain. Pengontrol domain rumah database Active Directory, yang mana kelompok-kelompok ini didefinisikan dan disimpan. Akun grup ini dapat ditempatkan pada setiap ACL pada sumber daya pada komputer manapun di seluruh domain.Ada enam kelompok yang berbeda yang dapat dibuat di Active Directory. Kelompok didefinisikan sebagai berikut: Grup distribusi Universal- Grup aman universal- Grup distribusi global- Grup keamanan global- Grup distribusi domain lokal- Grup keamanan domain lokal- Setiap dan semua kelompok-kelompok keamanan yang dapat didefinisikan dalam Active Directory mungkin muncul di sebuah ACL untuk sumber daya domain.Benar pengguna, grup, dan penggunaan ACLSekarang, kita kembali ke mentor saya yang disebut penggunaan account pengguna, account group dan ACLs "mantra". Dia adalah cukup jelas tentang penggunaan pengguna, grup, dan ACLs, seperti tujuan utama nya adalah kemudahan administrasi dan keamanan.Untuk satu domain, cara ideal untuk mengatur pengguna, grup, dan ACLs adalah sebagai berikut: Account pengguna domain harus ditempatkan dalam kelompok-kelompok keamanan global Kelompok-kelompok keamanan global harus ditempatkan dalam kelompok-kelompok lokal domain (atau kelompok-kelompok lokal) Kelompok-kelompok lokal domain (atau kelompok-kelompok lokal) harus terdapat di ACLKelompok-kelompok keamanan global harus didefinisikan dan digunakan untuk mengatur pengguna berdasarkan mereka itu. Misalnya, Anda mungkin memiliki kelompok-kelompok yang bernama manajer, insinyur, pengeluaran kas, dll. Kelompok-kelompok lokal domain (atau kelompok-kelompok lokal) harus didefinisikan dan digunakan untuk mengatur kelompok global berdasarkan akses ke sumber daya. Kelompok-kelompok ini dapat dinamai kontrol penuh untuk DB, akses ke Intranet, memodifikasi dokumen, dll.Alasan untuk mantra adalah bahwa saya dapat menentukan siapa yang memiliki akses ke sumber daya dengan melihat sumber daya, kemudian enumerasi kelompok yang tercantum pada ACL dan disimpan dalam iklan.

Rumah Artikel & Tutorial Authentication, Access Control & Encryption Pengguna Account, Account Group, dan Access Control Lists oleh Derek Melber [Diterbitkan pada 15 Agustus 2012 / Terakhir Diperbarui pada 15 Agustus 2012] 9 Artikel ini melihat pentingnya benar confinguring akses daftar kontrol (ACL). Pendahuluan Seorang bijak pernah mengajarkan saya bagaimana benar mengkonfigurasi daftar kontrol akses (ACL), yang saya masih memberitakan hari ini. Namun, saya menemukan bahwa setelah bertahun-tahun dari administrasi jaringan yang begitu mudah, banyak yang tidak mengikuti ini mudah diikuti dan praktek keamanan terbaik. Jika pengguna dan kelompok yang tidak ditangani dengan benar ketika memberikan akses ke sumber daya, melalui ACL, bencana hanya menunggu untuk terjadi pada jaringan Anda. Pikirkan tentang cara ini, jika Anda hanya santai memberikan kunci rumah Anda tanpa melacak mereka, bagaimana Anda akan tahu dalam satu atau dua tahun yang memiliki kunci rumah Anda? Jawabannya adalah Anda tidak akan. Jenis yang sama dari masalah terjadi pada jaringan Anda. Jika Anda memberikan izin yang salah ke objek yang salah, Anda akan berakhir tidak mengetahui siapa yang memiliki akses ke apa yang di satu atau dua tahun. Kerusakan yang bisa datang dari ini untuk data perusahaan Anda hampir seburuk tidak tahu yang memiliki kunci rumah Anda. Advertisement First Things First Kita perlu memahami apa yang saya maksud dengan Access Control List (ACL). ACL adalah daftar "yang" memiliki "apa" akses ke sumber daya. Kita juga perlu memahami apa definisi dari sumber daya di lingkungan Windows. Mari kita asumsikan bahwa kita memiliki domain Active Directory, yang akan memperluas definisi kita tentang sumber daya. Pertama, sumber daya sesuatu dengan ACL. Aku tahu, Anda tidak pernah mendefinisikan satu istilah dengan yang lain yang tidak diketahui. Namun, dalam kasus ini tidak ada banyak pilihan lain. Berikut adalah daftar lengkap objek dalam Active Directory perusahaan dengan Windows ACL: File Folder Printer Registry Keys Jasa objek Active Directory Sekarang, apa yang merupakan ACL? ACL adalah daftar pengguna, kelompok, dan komputer dengan beberapa tingkat izin akses ke objek. Untuk mengakses ACL untuk sebuah objek, Anda harus terlebih dahulu sampai ke properti obyek. Ini biasanya klik kanan-jauh. Cukup klik-kanan pada objek, kemudian pilih Properties dari menu. Misalnya, ACL untuk folder System32 di laptop saya ditunjukkan pada Gambar 1. Gambar 1: ACL untuk System32 folder. Catatan: Ada juga izin terkait dengan Shared Folder, yang pada tab Sharing, yang terletak di sebelah tab keamanan dari kotak dialog Properties untuk suatu benda. Izin ini terkait dengan folder bersama tidak dengan cara apapun yang mirip dengan hak akses pada tab Security. Mereka mungkin tampak sama, tetapi mereka berbeda secara dramatis. Berikutnya, Lingkup Pengguna Ada dua jenis yang berbeda dari akun pengguna di domain Active Directory. Ada account pengguna lokal, yang berada di manajer account keamanan lokal (SAM) dari setiap desktop dan server (non-domain controller) di seluruh domain. Pengguna tersebut hanya dapat terletak di ACL pada sumber daya yang ada di komputer di mana pengguna disimpan. Ada juga account pengguna domain, yang terletak pada pengontrol domain untuk domain. Pengontrol domain rumah database Active Directory, yang mana pengguna ini didefinisikan dan disimpan. Account pengguna ini dapat ditempatkan pada ACL apapun pada sumber daya apapun di komputer manapun di seluruh domain. Berikutnya, Lingkup Grup Ada dua jenis rekening kelompok dalam domain Active Directory. Ada rekening kelompok lokal, yang berada di manajer account keamanan lokal (SAM) dari setiap desktop dan server (non-domain controller) di seluruh domain. Kelompok-kelompok ini hanya dapat terletak di ACL pada sumber daya yang ada di komputer di mana kelompok tersebut disimpan. Ada juga rekening kelompok domain, yang terletak pada pengontrol domain untuk domain. Pengontrol domain rumah database Active Directory, yang mana kelompok-kelompok ini didefinisikan dan disimpan. Rekening kelompok ini dapat ditempatkan pada ACL apapun pada sumber daya apapun di komputer manapun di seluruh domain. Ada enam kelompok yang berbeda yang dapat dibuat dalam Active Directory. Kelompok didefinisikan sebagai berikut: Universal Grup Distribusi - Universal Security Group - Global Group Distribution - Security Group global - Domain Local Group Distribusi - Domain Lokal Security Group - Setiap dan semua kelompok keamanan yang dapat didefinisikan dalam Active Directory mungkin muncul pada ACL untuk sumber daya di domain. Pengguna Benar, Group, dan ACL Penggunaan Sekarang, kita kembali ke mentor saya yang disebut penggunaan account pengguna, rekening kelompok, dan ACLS sebuah "mantra". Dia cukup jelas tentang penggunaan nya dari pengguna, kelompok, dan ACL, sebagai tujuan utamanya adalah kemudahan administrasi dan keamanan. Untuk satu domain, cara ideal untuk mengatur pengguna, kelompok dan ACL adalah sebagai berikut: account pengguna Domain harus ditempatkan dalam kelompok-kelompok keamanan global kelompok keamanan global harus ditempatkan ke dalam kelompok domain lokal (atau kelompok-kelompok lokal) kelompok-kelompok lokal Domain (atau kelompok-kelompok lokal) harus terletak di ACL kelompok keamanan global harus didefinisikan dan digunakan untuk mengatur pengguna berdasarkan siapa mereka adalah. Sebagai contoh, Anda mungkin memiliki kelompok bernama Manajer, Insinyur, Hutang Usaha, kelompok-kelompok lokal dll Domain (atau kelompok-kelompok lokal) harus didefinisikan dan digunakan untuk mengatur kelompok global berdasarkan akses ke sumber daya. Kelompok-kelompok ini mungkin diberi nama kontrol penuh untuk DB, Baca akses ke Intranet, Modify Dokumen, dll Alasan untuk mantra adalah bahwa saya bisa menentukan siapa yang memiliki akses ke sumber daya apapun dengan melihat sumber daya, maka enumerasi kelompok yang terdaftar pada ACL dan disimpan di AD.