Поделиться через

Правило центральной политики авторизации

  • Статья

Цель правила авторизации авторизации (CAPR) заключается в предоставлении определения изолированного аспекта политики авторизации организации. Администратор определяет CAPR для применения одного из конкретных требований авторизации. Так как CAPR определяет только одно конкретное требуемое требование политики авторизации, его можно более просто определить и понять, чем если все требования политики авторизации организации компилируются в одно определение политики.

CAPR имеет следующие атрибуты:

  • Имя — определяет CAPR администраторам.
  • Описание — определяет назначение CAPR и любые сведения, которые могут потребоваться потребителями CAPR.
  • Выражение применимости — определяет ресурсы или ситуации, в которых будет применяться политика.
  • Идентификатор — идентификатор для использования в аудите изменений в CAPR.
  • Эффективная политика управления доступом — дескриптор безопасности Windows, содержащий DACL, определяющий эффективную политику авторизации.
  • Выражение исключения — одно или несколько выражений, которые предоставляют средства для переопределения политики и предоставления доступа к субъекту в соответствии с оценкой выражения.
  • Промежуточная политика — необязательный дескриптор безопасности Windows, содержащий DACL, определяющий предложенную политику авторизации (список записей управления доступом), которая будет проверена в отношении эффективной политики, но не применяется. Если существует разница между результатами эффективной политики и промежуточной политикой, разница будет записана в журнале событий аудита.
    • Так как промежуточное выполнение может иметь непредсказуемый эффект на производительность системы, администратор групповой политики должен иметь возможность выбирать определенные компьютеры, на которых будет применяться промежуточное выполнение. Это позволяет существующей политике размещаться на большинстве компьютеров в подразделении во время промежуточного выполнения на подмножестве компьютеров.
    • P2 — локальный администратор на определенном компьютере должен иметь возможность отключить промежуточное выполнение, если промежуточное выполнение на этом компьютере приводит к слишком большому снижению производительности.
  • Обратная ссылка на CAP — список обратных ссылок на любые ЦС, которые могут ссылаться на этот CAPR.

Во время проверки доступа CAPR вычисляется для применимости на основе выражения применимости. Если применяется CAPR, он оценивается для того, предоставляет ли запрашивающий пользователь запрошенный доступ к определяемому ресурсу. Затем результаты оценки CAPE логически присоединяются к AND и с результатами DACL в ресурсе и любыми другими применимыми CAPR в действии к ресурсу.

Примеры CAPR:

[HBI-POLICY]
APPLIES-TO="(@resource.confidentiality == HBI"
SD ="D:(A;;FA;;;AU;(@memberOf("Smartcard Logon")))"
StagingSD = "D:(A;;FA;;;AU;(@memberOf("Smartcard Logon") AND memberOfAny(Resource.ProjectGroups)))"
description="Control access to sensitive information"
 
[RETENTION-POLICY]
Applies-To="@resource.retention == true"
SD ="D:(A;;;FA;;BA)(A;;FR;;;WD)"
description="If the document is marked for retention, then it is read-only for everyone however Local Admins have 
full control to them to put them out of retention when the time comes"
 
[TEST-FINANCE-POLICY]
Applies-To="@resource.label == 'finance'"
SD="D:(A;;FA;;;AU;(member_of(FinanceGroup))"
description="Department: Only employees of the finance department should be able to read documents labeled as finance"

Запретить acEs в CAPEs

В Windows 8 запретить acEs не будет поддерживаться в CAPR. Пользовательский интерфейс разработки CAPR не разрешает создание запрета ACE. Кроме того, когда LSA извлекает CAP из Active Directory, LSA убедитесь, что не удается запретить acEs. Если запрет ACE найден в CAPR, capr будет рассматриваться как недопустимый и не будет скопирован в реестр или SRM.

Заметка

Проверка доступа не будет применяться, чтобы запретить доступ к acEs отсутствует. Запретить доступ к acES в CAPR будет применен. Ожидается, что средства разработки будут препятствовать этому.

 

Определение CAPE

CAPR создаются, хотя новый ПОЛЬЗОВАТЕЛЬСКИЙ интерфейс, предоставленный в Центре администрирования Active Directory (ADAC.) В ADAC предоставляется новый параметр задачи для создания CAPR. При выборе этой задачи ADAC предложит пользователю с помощью диалогового окна с запросом пользователя на имя CAPR и описание. Когда они предоставляются, элементы управления для определения любого из оставшихся элементов CAPR становятся включены. Для каждого из оставшихся элементов CAPR UX вызовет ACL-UI разрешить определение выражений и /или списков управления доступом.

AccessCheck

сценарий динамического управления доступом (DAC)