Настройка служб Windows

Изменения в настройках служб Windows могут быть сгруппированы в две основные категории:

Службы, запускаемые при включении: Некоторые, наиболее уязвимые службы, такие как Clipbook, Network DDE (и Network DDE DSDM), Telnet и WebClient, являются отключенными по умолчанию. Другие активируются только по мере необходимости (например, Intersite Messaging в ходе повышения статуса контроллера домена; или Routing and Remote Access Service (служба маршрутизации и удаленного доступа) при конфигурировании Windows 2003 server в качестве маршрутизатора или сервера подключения по требованию или удаленного доступа).

Службы, запускаемые в контексте учетной записи: Некоторые службы запускаются в контексте безопасности Local System, потому что эта учетная запись имеет неограниченные локальные привилегии. И, наоборот, во многих случаях учетная запись Local System заменяется на Local Service или Network Service. Обе они имею права, незначительно превышающие те, что даны аутентифицированным пользователям. Как следует из ее названия, учетная запись Local Service предназначена для локальных системных служб (и не имеет возможности аутентифицироваться в сети), в то время как Network Service назначается для служб, требующих сетевого доступа. (Она имитирует компьютерные учетные записи при аутентификации по сети).

Аутентификация

Усовершенствования механизмов аутентификации применяются для проведения аутентификации как в локальных системах, так и в доменах Active Directory.

Настройки аутентификации в локальной системе по умолчанию ограничивают использование локальных учетных записей с пустым паролем только для работы с консоли. Это означает, что подобные учетные записи (без назначения пароля) не могут использоваться для любого другого типа доступа, исходящего с удаленных систем (таких, как подключение дисков или соединения "удаленный рабочий стол/удаленная поддержка").

Изменения аутентификации в Active Directory являются более заметными, когда имеешь дело с доверительными отношениями между деревьями (cross-forest trust). Доверительные отношения между деревьями позволяют создавать основанные на Kerberos доверительные отношения между корневыми доменами лесов (что требует, чтобы оба леса находились на функциональном уровне Windows 2003, что, в свою очередь, подразумевает, что все контроллеры доменов работают под управлением ОС Windows 2003 Server и все домены являются доменами функционального уровня Windows 2003).

Подобные доверительные отношения являются транзитивными, что означает, что они распространяются на все домены более низкого уровня в каждом из этих лесов. Это позволяет любому пользователю из одного леса получить защищенный доступ к любому ресурсу, расположенному в другом лесе, включая вход в систему из другого леса (используя соглашение об именовании UPN). При настройках по умолчанию, аутентификация осуществляется в пределах всего леса, давая всем участникам безопасности из других лесов такие же возможности доступа к локальным ресурсам, что и у пользователей и компьютеров локального леса. Но, в любом случае, доступ пользователей к ресурсам зависят от разрешений, определенных на этих ресурсах.

Если вы не чувствуете себя на "короткой ноге" с подобным типом сценария, то можете настроить выборочную аутентификацию на основе доверительных отношений уровня леса, что требует функционального уровня леса Windows 2003. В этом случае, вы можете обозначить пользователей или группы учетных записей из другого леса, которым разрешено аутентифицироваться, а также выбирать ресурсы в вашем лесу, к которым эти учетные записи будут иметь доступ. Этот процесс состоит из двух основных этапов:

Первый этап включает в себя назначение участникам безопасности из другого леса разрешения "Allowed to Authenticate" (допускается к аутентификации) для объекта Active Directory, представляющего учетную запись компьютера, на котором содержится этот ресурс. Например, представьте себе, что существуют доверительные отношения между двумя лесами функционального уровня Windows 2003 - ForestA и ForestB - настроенных на выборочную аутентификацию. Пользователь UserA в домене DomainA леса ForestA должен получить доступ к общему ресурсу ShareB на ServerB в домене DomainB леса ForestB. Чтобы достичь этого, должна быть выполнена следующая последовательность шагов:

Администратор DomainA создает глобальную группу (например, GroupA) в DomainA и включаете пользователя UserA в качестве ее члена. Вы можете также назначить соответствующие разрешения непосредственно UserA (одним из преимуществ этого подхода является прозрачность), но работа с отдельными пользовательскими учетными записями становится неэффективной, если их слишком много.

Запускаете оснастку Active Directory Users and Computers с фокусом на DomainB. Выделяете ServerB и выполняете двойной щелчок мыши на его изображении, чтобы вызвать диалоговое окно свойств ServerB.

Щелкаете вкладку Security и добавляете DomainAGroupA к списку в верхней части этого диалогового окна. В нижней части активируете окно метки в столбце Allow для разрешений "Allowed to Authenticate" и "Read". На этом первый шаг завершен - теперь членам глобальной группы DomainAGroupA разрешено аутентифицироваться при доступе к DomainBServerB.

На втором этапе просто назначьте требуемый уровень прав для ресурса ShareB на ServerB для глобальной группы DomainAGroupA (в качестве альтернативы можно добавить глобальную группу DomainAGroupA в локальную группу домена DomainB и назначить разрешения для этой локальной группы). Это может быть сделано с помощью стандартных методов (с помощью графического интерфейса или инструментов командной строки, например, CACLS).

Межлесная (cross-forest) аутентификация может также осуществляться для регистрационных имен пользователей через Internet Authentication Service (хотя в этом случае требуются двунаправленные доверительные отношения между лесами).