Россия |
Особенности процесса разработки
Безопасность резервного копирования
Необходимо соответствующим образом настроить политику безопасности, если вы планируете поручать резервирование другим пользователям, поскольку они имеют доступ ко всем файлам на сервере.
Элементы управления архивацией данных
Ниже показаны некоторые ограничения для операторов резервного копирования.
- Привилегии по резервному копированию не должны присваиваться учетным записям обычных пользователей. Резервирование выполняется администраторами или группами пользователей со специальными полномочиями. В Windows 2000 есть для этого группа Backup Operators (Операторы резервного копирования). Помните, в "Аудит и журналы безопасности" шла речь о параметре Enable Auditing For Backups (Включить аудит резервного копирования) для группы Backup Operators? Очень важно использовать эту группу при передаче полномочий другим лицам.
- Члены группы Backup Operators должны иметь специальные учетные записи для входа в систему. Ни один пользователь не должен иметь привилегии резервного копирования помимо прав обычной учетной записи. Операторам резервного копирования даются новые учетные записи с полномочиями резервирования, даже если в результате у них окажется на сервере две учетные записи.
- Рекомендуется устанавливать ограничения на учетную запись операторов резервного копирования, например, принудительный вход пользователя с определенной системы и выполнение резервирования только в определенные часы.
Угроза, создаваемая передачей полномочий резервирования, заключается в том, что пользователи с правами на резервирование могут восстановить архивируемые файлы на другой системе (несмотря на то, что они не могут напрямую считывать архивируемые файлы). Меры предосторожности предназначены для контроля над процессом резервирования. Используйте аудит группы Backup Operators и создание контрольного журнала. Ограничения на расположение позволят применить для повышения безопасности системы регистрацию и проверку носителей.
Настройка контроля доступа к резервированию и установка ограничений
Создать учетные записи операторов резервного копирования достаточно просто. Если веб-сервер является отдельным сервером, то для локального создания учетных записей используется консоль MMC Computer Management (Управление компьютером). Если сервер находится в домене Windows интранет-сети, используется средство Active Directory Users and Computers (Пользователи и компьютеры Active Directory).
Ниже приведены шаги соответствующей процедуры.
- Выберите нужное средство MMC в меню Start (Пуск) или в папке Administrative Tools (Администрирование) в панели управления. Отобразится консоль, имеющая следующий вид.
- Откройте записи в дереве и найдите папку Users (Пользователи) в папке Local Users and Groups (Локальные пользователи и группы). Щелкните правой кнопкой на папке Users и выберите в появившемся меню New User (Новый пользователь), чтобы открыть диалоговое окно New User, показанное ниже.
- Введите новое имя пользователя учетной записи, описание и пароль (согласно локальной или групповой политики безопасности), после чего нажмите на кнопку Create (Создать). После закрытия окна новая учетная запись пользователя появится в папке Local Users and Groups (Локальные пользователи и группы) консоли MMC.
- Щелкните правой кнопкой мыши на учетной записи и выберите команду Properties (Свойства), чтобы открыть окно Properties для добавления учетной записи в группу Backup Operators (Операторы резервного копирования). В окне Properties откройте вкладку Member Of (Член группы).
- Рекомендуется удалить учетную запись из группы Users, так как необходимо отслеживать абсолютно все действия, выполняемые оператором резервного копирования.
- Нажмите на кнопку Add (Добавить) и выберите группу для добавления учетной записи в список Backup Operators (Операторы резервного копирования), показанный на рисунке. Вы увидите, что новая учетная запись теперь является членом группы.
После добавления членов в группу Backup Operators для завершения настройки требуется установить ограничения на расположение. В Windows 2000 это делается с помощью политики "разрешенной рабочей станции входа".