root
Well-Known Member
- Joined
- Dec 31, 2012
- Messages
- 1,153
- Reaction score
- 71
- Points
- 48
1. Cơ chế xác thực người dùng và điều khiển quyền truy cập tài nguyên
2. Đối với đối tượng người dùng (User) :
User’s Acess Token
Security Descriptor
2.2 SACL:
DACL – SACL – ACE
3. Quá trình nhận dạng và truy cập
Access token-Security Descriptor
4. So sánh Active Directory thì ưu điểm hơn Stand Alone
[TABLE="class: grid, width: 900, align: center"]
[TR]
[TD]Active Directory [/TD]
[TD]Stand Alone[/TD]
[/TR]
[TR]
[TD]- Định danh người sử dụng được lưu trong SAM database và
được lưu trên ổ cứng local của hệ thống.
- Điều này rất nguy hiểm, với chỉ một chiếc USB Hiren’t Boot
là người xấu có thể phá được password của bạn một cách dễ
dàng[/TD]
[TD]-Active Directory là nơi lưu trữ định danh tin cậy : bảo mật của Active Directory rất mạnh và lưu trữ các định danh trên Active Directory
- An toàn hơn rất nhiều so với lưu trữ trên local[/TD]
[/TR]
[TR]
[TD]- Không có vùng lưu trữ chia sẻ định danh, bạn muốn chia sẻ một bộ phim cho một một số đồng nghiệp đồng nghĩa với việc
bạn phải cung cấp cho họ một hoặc một số tài khoản trên
máy tính của bạn.
Thật nguy hiểm nếu một trong số họ có ý đồ phá hoại máy
tính bạn[/TD]
[TD]Active Directory cung cấp cơ chế xác thực mạnh mẽ sử dụng giao thức xác thực Kerberos, cung cấp điều khiển truy nhập và giám sát[/TD]
[/TR]
[TR]
[TD]- Một vấn đề nữa rất “đau đầu” là vấn đề quản lý password.
- Trong một số trường hợp bạn phải đổi password và bạn phải đi thông báo cho từng người một biết, với bạn cũng thế, bạn phải nhớ rất nhiều password khác nhau ứng
với từng tài nguyên chia sẻ cho bạnUgh!. Đây thực sự là vấn đề rắc rối[/TD]
[TD]Điểm nổi bật của Active Directory là cung cấp 4 service rất quan trọng đó là :
- Active Directory Lightweight Directory Services (Active Directory LDS)
- Active Directory Certificate Services (Active Directory CS)
- Active Directory Rights Management Services (Active Directory RMS)
- Active Directory Federation Services (Active Directory FS)[/TD]
[/TR]
[/TABLE]
Nguồn : http://chaycoi.info/tong-quan-ve-active-directory-tren-windows-server-2008-tiep/
- Trong mạng máy tính, việc truyền tải dữ liệu giữa các máy tính với nhau là điều tất yếu phải có, điều quan trọng là làm sao để các thông tin truyền tải giữa các máy tính được đảm bảo tính bảo mât thông tin.
- Để đảm bảo tính bảo mật thông tin trong Active Directory các đối tượng người dùng và tài nguyên được thiết kế các thuộc tính thích hợp với các giao thức bảo mật thông tin như :
+ IDA(Identity and Access).
+ AAA(Authentication-Authorization-Auditing).
+ CIA(Confidentiality-Integrity-Availability).
+ AAA(Authentication-Authorization-Auditing).
+ CIA(Confidentiality-Integrity-Availability).
- Trong đó cốt lõi của bảo mật thông tin là hai khái niệm quan trọng:nhận dạng và truy cập(IDA).
2. Đối với đối tượng người dùng (User) :
User’s Acess Token
- Hệ thống sẽ xác thực người dùng.
- Hệ thống sẽ tạo ra một thẻ an ninh truy cập (sercurity access token) hay có thể gọi tắt là thẻ truy cập (access token), nó đại diện cho người sử dụng hệ thống bằng cách thu thập SID của người dùng và các SID của tất cả các nhóm mà người sử dụng là thành viên.
- Nó cũng đại diện cho quyền hạn người sử dụng trên hệ thống, ví dụ : người dùng có quyền shutdown hệ thống hay không …[stextbox id="info"]
- Chú ý :
+ Thẻ truy cập này chỉ có hiệu lực trên hệ thống mà nó được sinh ra.
+ ví dụ : bạn muốn truy cập vào một share folder của một máy tính khác thì bạn không thể sử dụng tài khoản trên máy tính của bạn, bạn phải sử dụng tài khoản được xác thực bên máy tính đó.[/stextbox]
3. Đối với đối tượng là tài nguyên (resource):
Security Descriptor
- Đối với tài nguyên (resource) (ví dụ như một file hoặc folder trên phân vùng NTFS) tương ứng có một mô tả bảo mật (Sercurity Descriptor), nó mô tả đầy đủ các đặc điểm bảo mật của tài nguyên.
- Một mô tả bảo mật bao gồm
+ DACL (Discretionary Access Control List)
+ SACL (System Access Control List).
2.1 DACL : + SACL (System Access Control List).
- Xác định đối tượng được ủy quyền cho phép hoặc từ chối truy cập đến đối tượng tài nguyên được bảo mật.
- Trong mỗi DACL chứa các ACE (Access Control Entries)
- Các ACE này sẽ quy định cụ thể từng đối tượng có quyền hạn gì trên tài nguyên.
- ACE chứa SID của đối tượng và Access Mask (mức độ truy nhập).
- Nếu có thì hệ thống dựa vào ACE để cấp quyền truy cập cho đối tượng
- Nếu không có trong list ACE thì nó sẽ áp dụng quyền của nhóm everyone cho đối tượng
- Nếu DACL không có ACE nào thì mặc định nó áp dụng deny cho tất cả các đối tượng
2.2 SACL:
- Cho phép người quản trị có thể ghi chép lại event log theo dõi lại những đối tượng truy cập thành công hoặc thất bại đến đối tượng tài nguyên được bảo vệ
DACL – SACL – ACE
3. Quá trình nhận dạng và truy cập
- Quá trình nhận dạng và truy cập chính là quá trình xử lý dựa trên kết quả “so sánh” giữa Access Token và Security Descriptor qua đó hệ thống sẽ quyết định đối tượng có quyền truy cập tài nguyên không và mức độ truy cập đến đâu.
Access token-Security Descriptor
- Hệ thống so sánh lần lượt User SID và Group SID trong Access Sercurity Token với Trustee SID trong từng ACE của DACL.
- Nếu chúng chính xác thì áp dụng mức độ truy nhập dựa trên Access Mask của ACE
- Nếu không có ACE nào phù hợp với Access Sercurity Token thì mặc định đối tượng được áp dụng chế độ deny
4. So sánh Active Directory thì ưu điểm hơn Stand Alone
[TABLE="class: grid, width: 900, align: center"]
[TR]
[TD]Active Directory [/TD]
[TD]Stand Alone[/TD]
[/TR]
[TR]
[TD]- Định danh người sử dụng được lưu trong SAM database và
được lưu trên ổ cứng local của hệ thống.
- Điều này rất nguy hiểm, với chỉ một chiếc USB Hiren’t Boot
là người xấu có thể phá được password của bạn một cách dễ
dàng[/TD]
[TD]-Active Directory là nơi lưu trữ định danh tin cậy : bảo mật của Active Directory rất mạnh và lưu trữ các định danh trên Active Directory
- An toàn hơn rất nhiều so với lưu trữ trên local[/TD]
[/TR]
[TR]
[TD]- Không có vùng lưu trữ chia sẻ định danh, bạn muốn chia sẻ một bộ phim cho một một số đồng nghiệp đồng nghĩa với việc
bạn phải cung cấp cho họ một hoặc một số tài khoản trên
máy tính của bạn.
Thật nguy hiểm nếu một trong số họ có ý đồ phá hoại máy
tính bạn[/TD]
[TD]Active Directory cung cấp cơ chế xác thực mạnh mẽ sử dụng giao thức xác thực Kerberos, cung cấp điều khiển truy nhập và giám sát[/TD]
[/TR]
[TR]
[TD]- Một vấn đề nữa rất “đau đầu” là vấn đề quản lý password.
- Trong một số trường hợp bạn phải đổi password và bạn phải đi thông báo cho từng người một biết, với bạn cũng thế, bạn phải nhớ rất nhiều password khác nhau ứng
với từng tài nguyên chia sẻ cho bạnUgh!. Đây thực sự là vấn đề rắc rối[/TD]
[TD]Điểm nổi bật của Active Directory là cung cấp 4 service rất quan trọng đó là :
- Active Directory Lightweight Directory Services (Active Directory LDS)
- Active Directory Certificate Services (Active Directory CS)
- Active Directory Rights Management Services (Active Directory RMS)
- Active Directory Federation Services (Active Directory FS)[/TD]
[/TR]
[/TABLE]
Nguồn : http://chaycoi.info/tong-quan-ve-active-directory-tren-windows-server-2008-tiep/