Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



26.10.2020

Nowa wersja nVision

Można już pobierać nową wersję nVision
26.10.2020

Monitorowanie infrastruktury

Vertiv Environet Alert
23.10.2020

Telefonia w chmurze

NFON Cloudya
23.10.2020

Nowości w EDR

Bitdefender GravityZone
23.10.2020

Wykrywanie anomalii

Flowmon ADS11
23.10.2020

Mobilny monitor

AOC 16T2
22.10.2020

HP Pavilion

HP zaprezentowało nowe laptopy z linii Pavilion.
22.10.2020

Inteligentny monitoring

WD Purple SC QD101
22.10.2020

Przełącznik 2,5GbE

QNAP QSW-1105-5T

Mechanizm Dynamic Access Control

Data publikacji: 06-07-2016 Autor: Michał Gajda
Rys. 1. Włączenie wsparcia...
Rys. 2. Przypisywanie...

Klasyczne zarządzanie dostępem do zasobów, w szczególności w dużych środowiskach, może być czasochłonne i przysparzać wiele problemów. Na szczęście proces ten można znacznie usprawnić, wykorzystując mechanizmy dynamicznej kontroli dostępu.

Serwery plikowe można znaleźć praktycznie w każdej organizacji, a jednym z wielu sposobów ich wykorzystania jest m.in. centralne gromadzenie zasobów plikowych przez poszczególnych użytkowników. Oczywistym działaniem jest więc zapewnienie odpowiedniej ochrony dla poszczególnych elementów, przed wglądem czy modyfikacją zasobów przez innych użytkowników. W przypadku niewielkich organizacji w zupełności może wystarczyć znany od lat mechanizm kontroli dostępu, bazujący na dwupoziomowym nadawaniu dostępu. Pierwszym z poziomów jest nadawanie uprawnień do udziałów udostępnianych, natomiast drugim poziomem jest nadawanie uprawnień bezpośrednio w ramach systemu plików NTFS.

Wspomniany mechanizm kontroli dostępu do zasobów plikowych sprawdza się całkiem dobrze. Niestety, wady owego rozwiązania zaczynają ujawniać się wraz z rozwojem organizacji, a w szczególności wraz ze wzrostem ilości składowanych zasobów plikowych. Wynika to z tego, że klasyczna, dwupoziomowa kontrola dostępu polega na przyporządkowywaniu odpowiednich SID-ów użytkowników bądź ich członkostwa w grupach do odpowiednich zasobów plikowych. W przypadku gdy tego typu elementów są tysiące, zapanowanie nad prawidłowym dostępem staje się niezwykle trudne. Jednym z rozwiązań problemu jest zastosowanie dynamicznej kontroli dostępu – Dynamic Access Control – czyli przejście na wyższy poziom zarządzania.

> DYNAMIC ACCESS CONTROL

Rozszerzeniem dla klasycznych list kontroli dostępu jest mechanizm, który pojawił się wraz z wydaniem systemu Windows Server 2012. Dynamiczna kontrola dostępu wprowadza trzeci poziom weryfikacji. Oprócz wcześniej wspomnianych dwóch poziomów korzysta ona z weryfikacji oświadczeń użytkownika oraz klasyfikacji samych zasobów. Jak można się domyślić, trójpoziomowa weryfikacja również wykorzystuje uprawnienia udziałów udostępnianych oraz NTFS. Dlatego restrykcyjne stosowanie wszystkich trzech mechanizmów jednocześnie w sytuacji złożoności list kontroli dostępu tak naprawdę niewiele zmieni. Dostęp do zasobów zawsze odbywa się z wykorzystaniem najbardziej restrykcyjnej polisy dostępowej, co w praktyce oznacza, że jeżeli prawidłowo zdefiniujemy reguły dostępowe za pomocą DAC, a zabronimy dostępu na poziomie uprawnień NTFS, użytkownik i tak nie uzyska dostępu do zasobu.

Dlatego aby rozwiązać problem ze złożonością list kontroli dostępu, najlepiej postępować zgodnie z zasadą „od ogółu do szczegółu”. Mianowicie, uprawnienia najlepiej nadawać od udziałów udostępnianych, następnie można je częściowo zawężać w ramach uprawnień NTFS. Niemniej jednak w nowym podejściu faktyczną kontrolę dostępu przejmie już mechanizm Dynamic Access Control.

Żeby lepiej zobrazować działanie tego mechanizmu, przeanalizujmy przykład, gdy dwa klasyczne poziomy kontroli dostępu (Share/NTFS) zostaną udostępnione dla grupy wszystkich uwierzytelnionych użytkowników (Authenticated Users) z pełnym poziomem uprawnień (Full Control).

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"