Windows szolgáltatások III.
2004/05/18 11:07
1124 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
A Log On panel a szervizekkel kapcsolatos biztonsági engedélyek egy részébe enged betekintést: itt tudjuk a szervizhez rendelt felhasználói fiókokat megtekinteni és amennyiben szükséges megváltoztatni.

Alapok és kezelés III. - A szervizek tulajdonságlapjai

A Log On (Bejelentkezés) panel
A bevezető bekezdésben említett felhasználói fiókokkal kapcsolatos engedélyeket szolgáltatásfiók engedélynek (Service Account Permission) nevezzük. Egy frissen telepített Windows XP/Windows Server 2003 operációs rendszer esetén háromféle jogosultsága lehet alapesetben egy szerviznek: LocalSystem, LocalService és NetworkService. Az esetek túlnyomó részében a LocalSystem (Helyi rendszerfiók) jogosultságot használja a rendszer. Ez egy speciális és egyedi fiók, amelyet csak helyben használhatunk és nem jó sem az interaktív belépésre, sem hálózati erőforrások elérésére. Talán legjobban az Administrator fiókra hasonlít, mert a deklarált maximális jogosultsággal teljesen elérhet mindent (a tartományvezérlőn pl. a teljes címtárat), de a hasonlóságnak itt vége is van, hiszen nem tartozik bele az operációs rendszer jogosultsági rendszerébe, inkább az "alatt" vagy "mellett", mindenesetre ennek hatókörén kívül operál (a Trusted Computer Base része).

A DHCP kliensnek elég a NetworkService fiók A további két fiók már gyengített jogkörű az új biztonsági elveknek megfelelően. Nyilván ennek értelmét az adja, hogy amennyiben ezek a szervizek vagy az alkalmazásaik támadás áldozatává válnak, akkor a behatoló ne kapjon korlátlan jogosultságot, sem helyi, sem hálózati viszonylatban. A LocalService fiók (Helyi szolgáltatásfiók) szintén speciális, az autentikált felhasználói fiókokhoz hasonló fióktípus. Az erőforrásokhoz és az objektumokhoz ugyanazt a hozzáférési szintet biztosítja, mint ami a Users csoport bármely tagja számára rendelkezésre áll, és szintén csak kizárólag a helyi gépen használható. A NetworkService (Hálózatszolgáltatás) fiók pedig nevéből adódóan a hálózati szolgáltatásokhoz van rendelve, a LocalService fiókkal megegyező, szintén erősen csökkentett jogkörrel rendelkezik és a számítógépfiók hitelesítő adatait használja a hálózati erőforrásokhoz való kapcsolódáskor szükséges autentikáció során.

Persze ha szükséges, bármely a rendszerben meglévő felhasználói fiókot is hozzárendelhetünk egy szervizhez, de ezt azért lehetőleg nagy körültekintéssel kövessük el. Miért? Néhány ellenérv, ami a három alapértelmezett fiók és a közönséges fiókok különbségeire is rávilágít:

1. A közönséges fiókok jelszava egy optimális rendszerben x időközönként lejár. Amikor még Exchange 5.5-öt használtunk (ahol muszáj volt egy külön fiókot beállítani az Exchange szervizeknek), rendszeresen belefutottam ennek az amúgy korrekt dolognak a hátulütőjébe: mindig akkor járt le a jelszó, amikor épp három vagy több napig távol voltam :D. Persze megtehetjük azt is, hogy nem állítunk be lejárati időt, de ez már egy kompromisszum.

2. Másik probléma, hogy a féltve óvott és (szerintünk) optimális rendszerünkben a fiókzárolás házirend engedélyezve van. Ha kiderül a fióknév és valaki sportból próbálkozik, a fiók kizáródik, ezért a nevében futó szolgáltatás megint csak nem fog működni rendeltetésszerűen egészen a feloldásig. A fiókzárolás tartományi szintű házirend opció, akkor ezért az egy dologért ne használjuk az adott tartományban?

3. Egy további probléma lehet az, hogy ha olyan fiókot választunk, amelynek nincs engedélye a szolgáltatásként történő bejelentkezésre. Ekkor az operációs rendszer ugyan automatikusan megadja számára azokat a felhasználói jogokat, amelyekre ehhez szükségesek, de ez még mindig nem 100%-osan garantálja, hogy el is indul a szolgáltatás. Ezért ilyenkor vagy kinyomozzuk és leteszteljük pontról pontra, hogy milyen jogok kellenek az adott fióknak és reménykedünk, hogy ez így jó lesz, vagy a könnyebb utat választjuk, és lazán beemeljük az adott fiókot, mondjuk a Domain Admins csoportba (a biztonság kedvéért, mert "Ha lúd, legyen kövér" :D). Hmmm.
Szóval csak óvatosan, inkább bízzunk meg az operációs rendszer sugallta megoldásban. De ha már a szervizekkel kapcsolatos biztonsági feltételekre koncentrálunk, szót kell ejtenünk a fiókjogosultságok melletti másik engedélytípusról, mégpedig az előbb már említett szolgáltatási engedélyekről. Az összes szolgáltatás rendelkezik a felhasználó(k) vagy csoport(ok) számára megengedő vagy megtagadó engedélyekkel. A Windows 2003 Serverben az egyes szolgáltatások engedélyeit a Csoportházirendben vagy a szintén már említett Sc.exe segítségével módosíthatjuk. Összesen 14 féle jogosultságról van szó, amelyek között szerepel természetesen pl. az indítás vagy a leállítás, de olyan extrák is, mint az Enumerate dependents, amellyel meghatározhatjuk a megadott szolgáltatástól függő egyéb szolgáltatásokat.

A Log On panelen kapott helyet a hardverprofilonként lehetséges szerviz engedélyezés/tiltás szelekció lehetősége is. Természetesen csak akkor (ezt eddig nem említettem, de értelemszerű) ha az Administrators vagy tartomány esetén a Domain Admins csoport tagjai vagyunk, vagy esetleg delegálással megkaptuk az engedélyt.

Gál Tamás
gtamas@tjszki.hu

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
ENABLE pilot Program iskoláknak a bullying ellen
eBiztonság Minősítés Minősítési rendszer oktatási intézményeknek