欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

等保测评2.0:Windows访问控制

来源:本站整理 作者:佚名 时间:2020-02-08 TAG: 我要投稿

一、说明
本篇文章主要说一说windows系统中访问控制的控制点的相关内容和理解。
二、windows的权限分配
先对windows的权限分配进行基本介绍,然后再说一说对测评项的基本理解。
2.1. 用户、用户组、内置安全主体
windows的文件权限或者其他的权限可直接分配给用户,也可分配给用户组和内置安全体,然后由用户组和内置安全体中的用户来继承权限。
用户大家都知道,可以在计算机管理-本地用户和组中查看:

在这里还可以查看用户的说明和它所隶属的组:


以及查看用户组和用户组的说明:


而内置安全体没有列在本地用户和组的组中,但是在分配权限比如某个文件的权限中我们可以看到:

大概包括这些内置安全体:

其中的Everyone是我们比较常见的,任何一个用户都属于Everyone(所以不要给Everyone赋予什么特殊的权限)。 又比如Authenticated Users,任何一个利用有效的用户帐户连接的用户都属于这个它。 其他的内置安全体就不说了,大家百度下就清除了。
2.2. 特殊的用户
这里特别说明下,有时候会被测评方的服务器中由于装了某些软件或者为了实现一些功能,可能会存在一些不是用来本地登录,而是用来执行某个任务的用户,比如虚拟机的用户:

从说明就能看出这个用户的用途,而且在切换用户时,是找不到这个用户的,但这个用户是实际存在的,而且也可以设置口令的。
这里是通过用户权限中的拒绝本地登录实现的

在拒绝本地登录中添加了某用户,切换用户时的用户列表就不包含这个用户,也就无法切换过去。
但是,该用户可以作为批处理作业或者服务登录
比如我创建了一个用户test,在拒绝本地登录添加了test,则无法切换到test账户; 然后在作为批处理作业登录中添加test

接下来,就可以在计划任务中,使用该账户定时执行某程序或脚本了: 这里的操作很简单,就是在某个时间打开kugou。

嗯,如果对linux比较了解的同学,应该对这种用户机制比较熟悉。
2.3. 组策略中的用户权限分配
在组策略的用户权限分配中,可以将某项权限分配给用户或用户组:

上面的拒绝本地登录等权限,也就在这里进行分配,选择属性即可添加:

这里说一句,组策略中有些策略更改后,需要重启才能实现,具体是哪些大家百度吧。
2.4. 组策略用更细致的权限分配
组策略中的用户配置中的管理模板中可以设置很多的权限,比如控制面板的打开权限:

更多的大家可以自己去看看,不过用户配置中的设置仅针对当前登录用户。
2.5. 文件的权限分配
这个就不用多说了吧?

三、测评项
a)应对登录的用户分配账户和权限;
b)应重命名或删除默认账户,修改默认账户的默认口令;
c)应及时删除或停用多余的、过期的账户,避免共享账户的存在;
d)应授予管理用户所需的最小权限,实现管理用户的权限分离;
e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载