Обзор управления доступом Access Control Overview

Относится к: Applies to

• Windows 10 Windows 10
• Windows Server 2016 Windows Server 2016

В этом разделе для ИТ-специалистов описывается управление доступом в Windows, которое является процессом авторизации пользователей, групп и компьютеров для доступа к объектам в сети или на компьютере. This topic for the IT professional describes access control in Windows, which is the process of authorizing users, groups, and computers to access objects on the network or computer. Ключевыми понятиями, которые составляют управление доступом, являются разрешения, владение объектами, наследование разрешений, права пользователей и аудит объектов. Key concepts that make up access control are permissions, ownership of objects, inheritance of permissions, user rights, and object auditing.

Описание функции Feature description

Компьютеры с поддерживаемой версией Windows могут управлять использованием системных и сетевых ресурсов с помощью взаимосвязанных механизмов проверки подлинности и авторизации. Computers that are running a supported version of Windows can control the use of system and network resources through the interrelated mechanisms of authentication and authorization. После проверки подлинности пользователя операционная система Windows использует встроенные технологии авторизации и управления доступом для реализации второго этапа защиты ресурсов: определения, имеет ли пользователь с проверкой подлинности правильные разрешения на доступ к ресурсу. After a user is authenticated, the Windows operating system uses built-in authorization and access control technologies to implement the second phase of protecting resources: determining if an authenticated user has the correct permissions to access a resource.

Общие ресурсы доступны пользователям и группам, кроме владельца ресурса, и они должны быть защищены от несанкционированного использования. Shared resources are available to users and groups other than the resource’s owner, and they need to be protected from unauthorized use. В модели управления доступом пользователи и группы (также именуемые директорами безопасности) представлены уникальными идентификаторами безопасности (SID). In the access control model, users and groups (also referred to as security principals) are represented by unique security identifiers (SIDs). Им назначены права и разрешения, которые информируют операционную систему о том, что может сделать каждый пользователь и группа. They are assigned rights and permissions that inform the operating system what each user and group can do. У каждого ресурса есть владелец, который предоставляет разрешения директорам безопасности. Each resource has an owner who grants permissions to security principals. Во время проверки контроля доступа эти разрешения проверяются, чтобы определить, какие принципы безопасности могут получить доступ к ресурсу и каким образом они могут получить к нему доступ. During the access control check, these permissions are examined to determine which security principals can access the resource and how they can access it.

Принципы безопасности выполняют действия (в том числе чтение, записи, изменение или полный контроль) на объектах. Security principals perform actions (which include Read, Write, Modify, or Full control) on objects. Объекты включают файлы, папки, принтеры, ключи реестра и объекты служб домена Active Directory (AD DS). Objects include files, folders, printers, registry keys, and Active Directory Domain Services (AD DS) objects. Общие ресурсы используют списки управления доступом (ACLs) для назначения разрешений. Shared resources use access control lists (ACLs) to assign permissions. Это позволяет руководителям ресурсов применять управление доступом следующими способами: This enables resource managers to enforce access control in the following ways:

Отказ в доступе к несанкционированным пользователям и группам Deny access to unauthorized users and groups

Установите четко определенные ограничения доступа, предоставляемого уполномоченным пользователям и группам Set well-defined limits on the access that is provided to authorized users and groups

Владельцы объектов обычно выдают разрешения группам безопасности, а не отдельным пользователям. Object owners generally grant permissions to security groups rather than to individual users. Пользователи и компьютеры, добавленные в существующие группы, принимают разрешения этой группы. Users and computers that are added to existing groups assume the permissions of that group. Если объект (например, папка) может удерживать другие объекты (например, подмостки и файлы), он называется контейнером. If an object (such as a folder) can hold other objects (such as subfolders and files), it is called a container. В иерархии объектов связь между контейнером и его контентом выражается, ссылаясь на контейнер в качестве родительского. In a hierarchy of objects, the relationship between a container and its content is expressed by referring to the container as the parent. Объект в контейнере называется ребенком, и ребенок наследует параметры управления доступом родителя. An object in the container is referred to as the child, and the child inherits the access control settings of the parent. Владельцы объектов часто определяют разрешения для контейнерных объектов, а не отдельных детских объектов, чтобы облегчить управление управлением доступом. Object owners often define permissions for container objects, rather than individual child objects, to ease access control management.

Этот набор контента содержит: This content set contains:

Обзор динамического контроля доступа Dynamic Access Control Overview

Относится к: Applies to

• Windows Server 2016 Windows Server 2016

В этом разделе обзор для ИТ-специалистов описывается динамическое управление доступом и связанные с ним элементы, которые были представлены в Windows Server 2012 и Windows 8. This overview topic for the IT professional describes Dynamic Access Control and its associated elements, which were introduced in Windows Server 2012 and Windows 8.

Управление динамическим доступом на основе домена позволяет администраторам применять разрешения и ограничения управления доступом на основе четко определенных правил, которые могут включать чувствительность ресурсов, работу или роль пользователя, а также конфигурацию устройства, используемого для доступа к этим ресурсам. Domain-based Dynamic Access Control enables administrators to apply access-control permissions and restrictions based on well-defined rules that can include the sensitivity of the resources, the job or role of the user, and the configuration of the device that is used to access these resources.

Например, у пользователя могут быть разные разрешения при доступе к ресурсу со своего офисного компьютера по сравнению с использованием портативного компьютера через виртуальную частную сеть. For example, a user might have different permissions when they access a resource from their office computer versus when they are using a portable computer over a virtual private network. Или доступ может быть разрешен только в том случае, если устройство соответствует требованиям безопасности, которые определяются сетевыми администраторами. Or access may be allowed only if a device meets the security requirements that are defined by the network administrators. При динамическом контроле доступа разрешения пользователя динамически изменяются без дополнительного вмешательства администратора, если его работа или роль изменяются (что приводит к изменениям атрибутов учетной записи пользователя в AD DS). When Dynamic Access Control is used, a user’s permissions change dynamically without additional administrator intervention if the user’s job or role changes (resulting in changes to the user’s account attributes in AD DS). Дополнительные примеры использования динамического управления доступом см. в сценариях, описанных в динамическом контроле доступа: Обзор сценариев. For more detailed examples of Dynamic Access Control in use, see the scenarios described in Dynamic Access Control: Scenario Overview.

Динамический контроль доступа не поддерживается в операционных системах Windows до Windows Server 2012 и Windows 8. Dynamic Access Control is not supported in Windows operating systems prior to Windows Server 2012 and Windows 8. При настройке динамического управления доступом в средах с поддерживаемой и не поддерживаемой версией Windows изменения будут реализованы только в поддерживаемых версиях. When Dynamic Access Control is configured in environments with supported and non-supported versions of Windows, only the supported versions will implement the changes.

Функции и понятия, связанные с динамическим управлением доступом, включают: Features and concepts associated with Dynamic Access Control include:

Правила центрального доступа Central access rules

Правило центрального доступа — это выражение правил авторизации, которые могут включать одно или несколько условий, связанных с группами пользователей, утверждениями пользователей, утверждениями устройств и свойствами ресурсов. A central access rule is an expression of authorization rules that can include one or more conditions involving user groups, user claims, device claims, and resource properties. Несколько правил центрального доступа можно объединить в политику центрального доступа. Multiple central access rules can be combined into a central access policy.

Если для домена определено одно или несколько правил центрального доступа, администраторы файловых акций могут соответствовать определенным правилам с определенными ресурсами и бизнес-требованиями. If one or more central access rules have been defined for a domain, file share administrators can match specific rules to specific resources and business requirements.

Политики центрального доступа Central access policies

Политики центрального доступа — это политики авторизации, которые включают условные выражения. Central access policies are authorization policies that include conditional expressions. Например, предположим, что у организации есть бизнес-требование ограничить доступ к лично идентифицируемой информации (PII) в файлах только владельцу файлов и сотрудникам отдела кадров (HR), которым разрешено просматривать сведения о PII. For example, let’s say an organization has a business requirement to restrict access to personally identifiable information (PII) in files to only the file owner and members of the human resources (HR) department who are allowed to view PII information. Это представляет политику всей организации, которая применяется к файлам PII, где бы они ни находились на файловом сервере в организации. This represents an organization-wide policy that applies to PII files wherever they are located on file servers across the organization. Чтобы реализовать эту политику, организация должна иметь возможность: To implement this policy, an organization needs to be able to:

Определите и пометить файлы, содержащие PII. Identify and mark the files that contain the PII.

Определите группу сотрудников отдела кадров, которым разрешено просматривать сведения о PII. Identify the group of HR members who are allowed to view the PII information.

Добавьте политику центрального доступа к правилу центрального доступа и применяйте правило центрального доступа ко всем файлам, содержам PII, где бы они ни находились среди файлового сервера в организации. Add the central access policy to a central access rule, and apply the central access rule to all files that contain the PII, wherever they are located amongst the file servers across the organization.

Политики центрального доступа выступают в качестве зонтов безопасности, которые организация применяет на своих серверах. Central access policies act as security umbrellas that an organization applies across its servers. Эти политики в дополнение (но не заменяют) локальные политики доступа или списки управления дискреционным доступом (DACLs), которые применяются к файлам и папок. These policies are in addition to (but do not replace) the local access policies or discretionary access control lists (DACLs) that are applied to files and folders.

Утверждения Claims

Утверждение — это уникальный фрагмент сведений о пользователе, устройстве или ресурсе, опубликованных контроллером домена. A claim is a unique piece of information about a user, device, or resource that has been published by a domain controller. В качестве допустимого примера утверждения можно привести название пользователя, классификацию файла в отделе или состояние здоровья компьютера. The user’s title, the department classification of a file, or the health state of a computer are valid examples of a claim. Объект может включать несколько утверждений, и для авторизации доступа к ресурсам можно использовать любое сочетание утверждений. An entity can involve more than one claim, and any combination of claims can be used to authorize access to resources. Следующие типы утверждений доступны в поддерживаемых версиях Windows: The following types of claims are available in the supported versions of Windows:

Утверждения пользователей Атрибуты Active Directory, связанные с определенным пользователем. User claims Active Directory attributes that are associated with a specific user.

Утверждения о устройстве Атрибуты Active Directory, связанные с определенным объектом компьютера. Device claims Active Directory attributes that are associated with a specific computer object.

Атрибуты ресурса Глобальные свойства ресурсов, помеченные для использования в решениях по авторизации и опубликованные в Active Directory. Resource attributes Global resource properties that are marked for use in authorization decisions and published in Active Directory.

Утверждения позволяет администраторам делать точные отчеты о пользователях, устройствах и ресурсах, которые могут быть включены в выражения, правила и политики. Claims make it possible for administrators to make precise organization- or enterprise-wide statements about users, devices, and resources that can be incorporated in expressions, rules, and policies.

Выражения Expressions

Условные выражения — это повышение доступа к управлению управлением доступом, которое позволяет или отказывает в доступе к ресурсам только при определенных условиях, например, членства в группе, расположения или состояния безопасности устройства. Conditional expressions are an enhancement to access control management that allow or deny access to resources only when certain conditions are met, for example, group membership, location, or the security state of the device. Выражения управляются через диалоговое окно Advanced Security Settings редактора ACL или редактора правил центрального доступа в центре администрирования Active Directory (ADAC). Expressions are managed through the Advanced Security Settings dialog box of the ACL Editor or the Central Access Rule Editor in the Active Directory Administrative Center (ADAC).

Выражения помогают администраторам управлять доступом к конфиденциальным ресурсам с гибкими условиями во все более сложных бизнес-средах. Expressions help administrators manage access to sensitive resources with flexible conditions in increasingly complex business environments.

Предлагаемые разрешения Proposed permissions

Предлагаемые разрешения позволяют администратору более точно моделировать влияние потенциальных изменений на параметры управления доступом, фактически не меняя их. Proposed permissions enable an administrator to more accurately model the impact of potential changes to access control settings without actually changing them.

Прогнозирование эффективного доступа к ресурсу помогает планировать и настраивать разрешения для этих ресурсов перед реализацией этих изменений. Predicting the effective access to a resource helps you plan and configure permissions for those resources before implementing those changes.

Дополнительные изменения Additional changes

Дополнительные улучшения в поддерживаемых версиях Windows, поддерживаюх управление динамическим доступом, включают: Additional enhancements in the supported versions of Windows that support Dynamic Access Control include:

Поддержка в протоколе проверки подлинности Kerberos для надежного предоставления утверждений пользователей, утверждений устройств и групп устройств. Support in the Kerberos authentication protocol to reliably provide user claims, device claims, and device groups.

По умолчанию устройства с любой из поддерживаемых версий Windows могут обрабатывать связанные с динамическим доступом билеты Kerberos, которые включают данные, необходимые для сложной проверки подлинности. By default, devices running any of the supported versions of Windows are able to process Dynamic Access Control-related Kerberos tickets, which include data needed for compound authentication. Контроллеры домена могут выдавать и отвечать на билеты Kerberos с помощью сложной информации, связанной с проверкой подлинности. Domain controllers are able to issue and respond to Kerberos tickets with compound authentication-related information. При настройке домена для распознавания динамического управления доступом устройства получают утверждения от контроллеров домена во время начальной проверки подлинности, а при отправке запросов на билеты на обслуживание получают сложные билеты на проверку подлинности. When a domain is configured to recognize Dynamic Access Control, devices receive claims from domain controllers during initial authentication, and they receive compound authentication tickets when submitting service ticket requests. Соединение проверки подлинности приводит к маркеру доступа, который включает удостоверение пользователя и устройство на ресурсах, распознающих динамический контроль доступа. Compound authentication results in an access token that includes the identity of the user and the device on the resources that recognize Dynamic Access Control.

Поддержка использования параметра групповой политики Центра рассылки ключей (KDC) для обеспечения динамического управления доступом для домена. Support for using the Key Distribution Center (KDC) Group Policy setting to enable Dynamic Access Control for a domain.

Каждый контроллер домена должен иметь один и тот же параметр политики административного шаблона, который расположен на компьютерной конфигурации\Policies\Administrative Templates\\System\KDC\Support Dynamic Access Control and Kerberos armoring. Every domain controller needs to have the same Administrative Template policy setting, which is located at Computer Configuration\Policies\Administrative Templates\System\KDC\Support Dynamic Access Control and Kerberos armoring.

Поддержка в Active Directory для хранения утверждений пользователей и устройств, свойств ресурсов и объектов политики центрального доступа. Support in Active Directory to store user and device claims, resource properties, and central access policy objects.

Поддержка использования групповой политики для развертывания объектов политики центрального доступа. Support for using Group Policy to deploy central access policy objects.

Следующий параметр групповой политики позволяет развертывать объекты политики центрального доступа для файловых серверов в организации: Конфигурация компьютера\Политики\ Параметры Windows\Параметры безопасности\Файловая система\Политикацентрального доступа. The following Group Policy setting enables you to deploy central access policy objects to file servers in your organization: Computer Configuration\Policies\ Windows Settings\Security Settings\File System\Central Access Policy.

Поддержка авторизации файлов на основе утверждений и аудита для файловой системы с помощью групповой политики и аудита глобального доступа к объектам Support for claims-based file authorization and auditing for file systems by using Group Policy and Global Object Access Auditing

Необходимо включить поэтапное централизованное аудит политики доступа для аудита эффективного доступа к политике центрального доступа с помощью предлагаемых разрешений. You must enable staged central access policy auditing to audit the effective access of central access policy by using proposed permissions. Этот параметр настраивается для компьютера в соответствии с **** конфигурацией политики аудита в параметрах безопасности объекта групповой политики (GPO). You configure this setting for the computer under Advanced Audit Policy Configuration in the Security Settings of a Group Policy Object (GPO). После настройки параметра безопасности в GPO можно развернуть GPO на компьютерах в сети. After you configure the security setting in the GPO, you can deploy the GPO to computers in your network.

Поддержка преобразований или фильтрации объектов политики утверждений, которые пересекают доверия леса Active Directory Support for transforming or filtering claim policy objects that traverse Active Directory forest trusts

Можно фильтровать или преобразовывать входящие и исходяющие утверждения, которые пересекают лесное доверие. You can filter or transform incoming and outgoing claims that traverse a forest trust. Существует три основных сценария фильтрации и преобразования утверждений: There are three basic scenarios for filtering and transforming claims:

Фильтрация на основе значений Фильтры могут быть основаны на значении утверждения. Value-based filtering Filters can be based on the value of a claim. Это позволяет доверяемой лесу предотвратить отправление утверждений с определенными значениями в доверчивый лес. This allows the trusted forest to prevent claims with certain values from being sent to the trusting forest. Контроллеры домена в доверчивых лесах могут использовать фильтрацию на основе значений, чтобы защититься от атаки с преимуществом в высоту, фильтруя входящие утверждения с определенными значениями из доверенного леса. Domain controllers in trusting forests can use value-based filtering to guard against an elevation-of-privilege attack by filtering the incoming claims with specific values from the trusted forest.

Фильтрация на основе утверждений Фильтры основаны на типе утверждения, а не на значении утверждения. Claim type-based filtering Filters are based on the type of claim, rather than the value of the claim. Вы определяете тип утверждения по имени утверждения. You identify the claim type by the name of the claim. В доверяемом лесу используется фильтрация на основе утверждений, которая не позволяет Windows отправлять утверждения, раскрываюющие сведения в доверчивый лес. You use claim type-based filtering in the trusted forest, and it prevents Windows from sending claims that disclose information to the trusting forest.

Преобразование типа на основе утверждений Манипулирует утверждением перед отправкой в предназначенную цель. Claim type-based transformation Manipulates a claim before sending it to the intended target. Преобразование типа утверждений в надежном лесу используется для обобщения известного утверждения, содержаща определенную информацию. You use claim type-based transformation in the trusted forest to generalize a known claim that contains specific information. Преобразования можно использовать для обобщения типа утверждения, значения утверждения или обоих. You can use transformations to generalize the claim-type, the claim value, or both.

Требования к программному обеспечению Software requirements

Так как для утверждений и сложной проверки подлинности для управления динамическим доступом требуются расширения проверки подлинности Kerberos, любой домен, поддерживаючий динамический контроль доступа, должен иметь достаточно контроллеров домена, работающих с поддерживаемыми версиями Windows, для поддержки проверки подлинности от клиентов Kerberos, осведомленных о динамическом доступе. Because claims and compound authentication for Dynamic Access Control require Kerberos authentication extensions, any domain that supports Dynamic Access Control must have enough domain controllers running the supported versions of Windows to support authentication from Dynamic Access Control-aware Kerberos clients. По умолчанию устройства должны использовать контроллеры домена на других сайтах. By default, devices must use domain controllers in other sites. Если такие контроллеры домена недоступны, проверка подлинности не будет работать. If no such domain controllers are available, authentication will fail. Поэтому необходимо поддерживать одно из следующих условий: Therefore, you must support one of the following conditions:

Каждый домен, который поддерживает динамический контроль доступа, должен иметь достаточно контроллеров домена, работающих в поддерживаемых версиях Windows Server, чтобы поддерживать проверку подлинности на всех устройствах с поддерживаемой версией Windows или Windows Server. Every domain that supports Dynamic Access Control must have enough domain controllers running the supported versions of Windows Server to support authentication from all devices running the supported versions of Windows or Windows Server.

Устройства, работающие с поддерживаемыми версиями Windows или не защищающие ресурсы с помощью утверждений или сложных удостоверений, должны отключить поддержку протокола Kerberos для динамического управления доступом. Devices running the supported versions of Windows or that do not protect resources by using claims or compound identity, should disable Kerberos protocol support for Dynamic Access Control.

Для доменов, поддерживаюющих утверждения пользователей, каждый контроллер домена, работающий с поддерживаемыми версиями сервера Windows, должен быть настроен с соответствующими настройками для поддержки утверждений и сложной проверки подлинности, а также для обеспечения бронетехники Kerberos. For domains that support user claims, every domain controller running the supported versions of Windows server must be configured with the appropriate setting to support claims and compound authentication, and to provide Kerberos armoring. Настройка параметров в политике административного шаблона KDC следующим образом: Configure settings in the KDC Administrative Template policy as follows:

Всегда предоставлять утверждения Используйте этот параметр, если все контроллеры домена работают с поддерживаемой версией Windows Server. Always provide claims Use this setting if all domain controllers are running the supported versions of Windows Server. Кроме того, установите функциональный уровень домена в Windows Server 2012 или выше. In addition, set the domain functional level to Windows Server 2012 or higher.

Поддерживаемый При использовании этого параметра отслеживайте контроллеры домена, чтобы убедиться, что количество контроллеров домена, работающих в поддерживаемых версиях Windows Server, достаточно для количества клиентских компьютеров, которые должны получать доступ к ресурсам, защищенным динамическим управлением доступом. Supported When you use this setting, monitor domain controllers to ensure that the number of domain controllers running the supported versions of Windows Server is sufficient for the number of client computers that need to access resources protected by Dynamic Access Control.

Если домен пользователя и домен файлового сервера находятся в разных лесах, все контроллеры домена в корне леса файлового сервера должны быть установлены на уровне Windows Server 2012 или более высокого функционального уровня. If the user domain and file server domain are in different forests, all domain controllers in the file server’s forest root must be set at the Windows Server 2012 or higher functional level.

Если клиенты не распознают динамический контроль доступа, между двумя лесами должна быть двуна пути доверия. If clients do not recognize Dynamic Access Control, there must be a two-way trust relationship between the two forests.

Если утверждения преобразуются, когда они покидают лес, все контроллеры домена в корне леса пользователя должны быть установлены на уровне Windows Server 2012 или более высокой функциональной. If claims are transformed when they leave a forest, all domain controllers in the user’s forest root must be set at the Windows Server 2012 or higher functional level.

На файловом сервере с операционной системой сервера, поддерживаючей управление доступом Dyamic, должен быть параметр групповой политики, который указывает, нужно ли получать требования пользователей к маркерам пользователей, которые не имеют утверждений. A file server running a server operating system that supports Dyamic Access Control must have a Group Policy setting that specifies whether it needs to get user claims for user tokens that do not carry claims. Этот параметр по умолчанию устанавливается автоматическим, что приводит к **** включению этого параметра групповой политики, если имеется центральная политика, которая содержит утверждения пользователя или устройства для этого файлового сервера. **** This setting is set by default to Automatic, which results in this Group Policy setting to be turned On if there is a central policy that contains user or device claims for that file server. Если на файловом сервере содержатся дискреционные acLs, которые **** включают утверждения пользователей, необходимо настроить эту групповую политику для того, чтобы сервер знал, что запрашивает утверждения от имени пользователей, которые не предоставляют утверждений при доступе к серверу. If the file server contains discretionary ACLs that include user claims, you need to set this Group Policy to On so that the server knows to request claims on behalf of users that do not provide claims when they access the server.