בקרת גישה היא התהליך של מתן הרשאות למשתמשים, לקבוצות ולמחשבים לגשת לאובייקטים ברשת או במחשב.
כדי להבין ולנהל את בקרת הגישה, עליך להבין את היחסים בין:
- אובייקטים (קבצים, מדפסות ומשאבים אחרים)
- אסימוני גישה
- רשימות בקרת גישה (ACLs) וערכי בקרץ גישה (ACEs)
- נושאים (משתמשים או יישומים)
- מערכת ההפעלה
- הרשאות
- זכויות משתמש והרשאות
לפני שנושא יוכל לקבל גישה לאובייקט, הנושא חייב להזדהות בפני תת-מערכת האבטחה עבור מערכת ההפעלה. זהות זו כלולה בתוך אסימון גישה שנוצר מחדש בכל פעם שנושא מתחבר למערכת. לפני שהיא מתירה לנושא לגשת לאובייקט, מערכת ההפעלה בודקת כדי לקבוע אם אסימון הגישה עבור הנושא מורשה לגשת לאובייקט ולהשלים את המשימה הרצויה. היא מבצעת זאת באמצעות השוואת המידע שבאסימון הגישה לערכי בקרת הגישה (ACEs) עבור האובייקט.
ה- ACEs יכולים לאפשר או למנוע התנהגויות שונות, בהתאם לסוג האובייקט. לדוגמה, אפשרויות על אובייקט קובץ עשויות לכלול 'קריאה', 'כתיבה' ו'הפעלה'. במדפסת, ה- ACEs הזמינים כוללים את 'הדפסה', 'ניהול מדפסות' ו'ניהול מסמכים'.
ACEs בודדים עבור אובייקט משולבים ברשימת בקרת גישה (ACL). תת מערכת האבטחה בודקת את ה- ACL של האובייקט כדי לאתר ACEs החלים על המשתמש ועל הקבוצות אליהן שייך המשתמש. היא עוברת על-פני כל ACE עד שהיא מוצאת אחד שמאפשר או מונע גישה למשתמש או לאחת מקבוצות המשתמשים, או עד שאין יותר ACEs לבדוק. אם היא מגיע לסופה של ACL והגישה הרצויה עדיין אינה מתאפשרת או נמנעת באופן מפורש, תת מערכת האבטחה מונעת את הגישה לאובייקט.
הרשאות
הרשאות מגדירות את סוג הגישה המוענקת למשתמש או לקבוצה עבור אובייקט או עבור מאפיין של אובייקט. לדוגמה, לקבוצה Finance ניתן להעניק הרשאות קריאה וכתיבה עבור קובץ שנקרא Payroll.dat.
באמצעות ממשק המשתמש של בקרת הגישה, באפשרותך להגדיר הרשאות NTFS עבור אובייקטים כגון קבצים, אובייקטי Active Directory, אובייקטי רישום, או אובייקטי מערכת כגון תהליכים. ניתן להעניק הרשאות לכל משתמש, קבוצה או מחשב. מומלץ להקצות הרשאות לקבוצות באופן קבוע מכיוון שהדבר משפר את ביצועי המערכת בעת אימות גישה לאובייקט.
עבור כל אובייקט, באפשרותך להעניק הרשאות ל:
-
קבוצות, משתמשים ואובייקטים אחרים עם מזהי אבטחה בתחום.
-
קבוצות ומשתמשים באותו תחום ובכל תחום מהימן.
-
קבוצות מקומיות ומשתמשים מקומיים במחשב שבו שוכן האובייקט.
ההרשאות המצורפות לאובייקט תלויות בסוג האובייקט. לדוגמה, ההרשאות שניתן לצרף לקובץ שונות מאלה שניתן לצרף למפתח רישום. עם זאת, הרשאות מסוימות משותפות למרבית סוגי האובייקטים. הרשאות משותפות אלה הן:
-
קריאה
-
שינוי
-
החלפת בעלים
-
מחיקה
בעת הגדרת הרשאות, אתה מציין את רמת הגישה עבור קבוצות ומשתמשים. לדוגמה, באפשרותך לאפשר למשתמש אחד לקרוא את התוכן של קובץ, לאפשר למשתמש אחר לערוך שינויים בקובץ ולמנוע מכל שאר המשתמשים גישה לקובץ. באפשרותך לקבוע הרשאות דומות עבור מדפסות, כך שיהיה באפשרותם של משתמשים מסויימים לקבוע את תצורת המדפסת ובאפשרותם של משתמשים אחרים להדפיס בלבד.
כאשר עליך לשנות את ההרשאות עבור הקובץ, באפשרותך להפעיל את סייר Windows, ללחוץ באמצעות לחצן העכבר הימני על שם הקובץ וללחוץ על מאפיינים. בכרטיסיה אבטחה, באפשרותך לשנות הרשאות עבור הקובץ. לקבלת מידע נוסף, ראה ניהול הרשאות.
 | הערה |
|
סוג אחר של הרשאות, שנקרא הרשאות שיתוף, נקבע בכרטיסיה שיתוף בדף מאפיינים בתיקיה או באמצעות אשף התיקיות המשותפות. לקבלת מידע נוסף, ראה הרשאות שיתוף והרשאות NTFS עבור שרת קבצים. |
בעלות על אובייקטים
בעלים מוקצה לאובייקט בעת יצירתו. כברירת מחדל, הבעלים הוא היוצר של האובייקט. ללא תלות בסוג ההרשאות המוגדרות עבור אובייקט, הבעלים של האובייקט יכול תמיד לשנות את ההרשאות עבור האובייקט. לקבלת מידע נוסף, ראה ניהול בעלות על אובייקט.
ירושת הרשאות
ירושה מאפשרת למנהלי מערכת להקצות ולנהל הרשאות בקלות. תכונה זו גורמת באופן אוטומטי לכך שאובייקטים בתוך גורם מכיל יירשו את ההרשאות העוברות בירושה של גורם מכיל זה. לדוגמה, הקבצים בתוך תיקיה יורשים בעת יצירתם את הרשאות התיקיה. רק הרשאות שמסומנות כניתנות למעבר בירושה יועברו בירושה.
זכויות משתמש והרשאות
זכויות משתמש מעניקות הרשאות וזכויות כניסה ספציפיות למשתמשים ולקבוצות בסביבת המחשוב. למנהלי מערכת יש אפשרות להקצות זכויות ספציפיות לחשבונות של קבוצות או לחשבונות של משתמשים נפרדים. זכויות אלה מאפשרות למשתמשים לבצע פעולות ספציפיות, כגון ביצוע כניסה למערכת באופן אינטראקטיבי או גיבוי קבצים וספריות.
זכויות משתמש שונות מהרשאות מכיוון שזכויות משתמש חלות על חשבונות משתמשים ואילו הרשאות מצורפות לאובייקטים. למרות שניתן להחיל זכויות משתמש על חשבונות משתמשים נפרדים, זכויות משתמש מנוהלות בצורה הטובה ביותר על בסיס של חשבונות קבוצה. ממשק המשתמש של בקרת הגישה אינו תומך בהענקת זכויות משתמש; עם זאת, ניתן לנהל הקצאת זכויות משתמש באמצעות יישום ה- Snap-in 'מדיניות אבטחה מקומיות' תחת מדיניות מקומית/הקצטת זכויות משתמש. לקבלת מידע נוסף, ראה זכויות והרשאות משתמש.
ביקורת אובייקטים
בעזרת זכויות מנהל מערכת, באפשרותך לערוך ביקורת על הצלחה או כשל בגישה לאובייקטים של משתמשים. באפשרותך לבחור איזו גישה לאובייקטים לבקר באמצעות ממשק המשתמש של בקרת הגישה, אך ראשית עליך להפוך את מדיניות הביקורת לזמינה על-ידי בחירה בביקורת על גישה לאובייקטים תחת מדיניות מקומית/מדיניות ביקורת/מדיניות מקומית ביישום ה- snap-in 'מדיניות אבטחה מקומית'. לאחר מכן, באפשרותך להציג אירועים אלה הקשורים לאבטחה ביומן האבטחה במציג האירועים.
חומר עזר נוסף
- לקבלת מידע נוסף אודות מתן הרשאות ובקרת גישה, ראה
אוסף אבטחת Windows (https://go.microsoft.com/fwlink/?LinkId=4565). - לקבלת מידע אודות אסטרטגיה למתן הרשאות, ראה
תכנון אסטרטגיה של מתן הרשאות למשאבים (https://go.microsoft.com/fwlink/?LinkId=4734).