Поделиться через

Правило централизованной политики авторизации

  • Статья

Цель правила центральной политики авторизации (CAPR) заключается в предоставлении определения на уровне домена изолированного аспекта политики авторизации организации. Администратор определяет CAPR, чтобы применить одно из конкретных требований к авторизации. Так как CAPR определяет только одно конкретное требуемое требование политики авторизации, его можно более просто определить и понять, чем если бы все требования к политике авторизации организации компилировались в единое определение политики.

CAPR имеет следующие атрибуты:

  • Имя — определяет CAPR для администраторов.
  • Описание — определяет назначение CAPR и любые сведения, которые могут потребоваться потребителям CAPR.
  • Выражение применимости — определяет ресурсы или ситуации, в которых будет применяться политика.
  • Id — идентификатор, используемый при аудите изменений в CAPR.
  • Действующая политика контроль доступа — дескриптор безопасности Windows, содержащий daCL, определяющий действующую политику авторизации.
  • Выражение исключения — одно или несколько выражений, которые предоставляют средства для переопределения политики и предоставления доступа к субъекту в соответствии с оценкой выражения.
  • Промежуточная политика — необязательный дескриптор безопасности Windows, содержащий daCL, который определяет предлагаемую политику авторизации (список записей управления доступом), которая будет проверена на соответствие действующей политике, но не будет применена. Если между результатами действующей политики и промежуточной политики есть разница, разница будет записываться в журнал событий аудита.
    • Так как промежуточное хранение может оказать непредсказуемое влияние на производительность системы, администратор групповая политика должен иметь возможность выбрать определенные компьютеры, на которых будет применяться промежуточное хранение. Это позволяет использовать существующую политику на большинстве компьютеров в подразделении, а промежуточное хранение выполняется на подмножестве компьютеров.
    • P2 . Локальный администратор на определенном компьютере должен иметь возможность отключить промежуточное хранение, если промежуточное хранение на этом компьютере вызывает слишком сильное снижение производительности.
  • Обратная ссылка на CAP — список обратных ссылок на все ЦС, которые могут ссылаться на этот CAPR.

Во время проверка доступа CAPR оценивается на предмет применимости на основе выражения применимости. Если применяется CAPR, он оценивается на предмет того, предоставляет ли запрашивающий пользователь запрошенный доступ к определенному ресурсу. Затем результаты оценки CAPE логически объединяются методом AND с результатами DACL для ресурса и любыми другими применимыми CAPR, действующими на ресурсе.

Примеры CAPR:

[HBI-POLICY]
APPLIES-TO="(@resource.confidentiality == HBI"
SD ="D:(A;;FA;;;AU;(@memberOf("Smartcard Logon")))"
StagingSD = "D:(A;;FA;;;AU;(@memberOf("Smartcard Logon") AND memberOfAny(Resource.ProjectGroups)))"
description="Control access to sensitive information"
 
[RETENTION-POLICY]
Applies-To="@resource.retention == true"
SD ="D:(A;;;FA;;BA)(A;;FR;;;WD)"
description="If the document is marked for retention, then it is read-only for everyone however Local Admins have 
full control to them to put them out of retention when the time comes"
 
[TEST-FINANCE-POLICY]
Applies-To="@resource.label == 'finance'"
SD="D:(A;;FA;;;AU;(member_of(FinanceGroup))"
description="Department: Only employees of the finance department should be able to read documents labeled as finance"

Запрет ACE в CAPEs

В Windows 8 запретить ACE не будет поддерживаться в CAPR. Пользовательский интерфейс разработки CAPR не позволит создать запрет ACE. Кроме того, когда LSA извлекает CAP из Active Directory, LSA проверит, что никакие capr не запрещают ACE. Если запрет ACE найден в CAPR, то CAP будет считаться недопустимым и не будет скопирован в реестр или SRM.

Примечание

В проверка доступа не будет применяться запрет ACE. Будет применен запрет ACE в CAPR. Ожидается, что средства разработки помешают этому.

 

Определение CAPE

CAPR создаются с помощью нового пользовательского интерфейса, предоставленного в центре администрирования Active Directory (ADAC). В ADAC предоставляется новый параметр задачи для создания CAPR. Когда эта задача выбрана, ADAC предложит пользователю диалоговое окно с запросом имени CAPR и описания. Когда они предоставляются, элементы управления, определяющие любой из оставшихся элементов CAPR, становятся включенными. Для каждого из оставшихся элементов CAPR пользовательский интерфейс будет вызывать В пользовательский интерфейс ACL, чтобы разрешить определение выражений и (или) списков ACL.

AccessCheck

Сценарий динамического контроль доступа (DAC)