Delegace přístupových oprávnění



Proč delegovat oprávnění?
•Bezpečnost – Princip minimálních oprávnění
•Administrace
–Odchod pracovníka
–Výměna pracovníka
–Přidání dalšího pracovníka

Princip minimálních oprávnění
•Každý uživatel systému musí mít právo vykonávat pouze ty činnosti a přistupovat pouze k těm datům,
které nezbytně potřebuje ke své práci.

AGDLP
•AGDLP
–A … Accounts
–G … Global group
–DL … Domain Local group
–P … Permissions

AGDLP
1.Vytvoření Global skupiny v doméně uživatele
2.Vložení uživatele do Global skupiny
3.Vytvoření Domain Local skupiny v doméně zdroje
4.Vložení Global skupiny do Domain Local skupiny
5.Přidělení odpovídajících práv Domain Local skupině
–Pozor na Advanced Features

AGDLP – Řetězení skupin
•Global
–Vkládání skupin do sebe podle hierarchie organizace
–Např. G_Zamestnanci obsahuje G_Marketing a G_Ekonomicke, G_Ekonomicke navíc obsahuje G_Ucetni
•Domain Local
–Vkládání skupin do sebe podle úrovně přístupu ke zdroji
–Např. DL_Pocitace_RW je vložena do skupin DL_Pocitace_R a DL_Pocitace_W, DL_Pocitace_W je navíc
vlozena do DL_Pocitace_ResetPass

Firewall
•Blokuje nežádoucí síťový provoz
•Default
–Příchozí provoz zakázán
–Odchozí provoz povolen
•Nastavení přes GPO
–Comp Conf > Windows Settings > Security Settings > Windows Firewall
–Umožňuje doménovým správcům vynutit FW pravidla na stanicích
–

8
Fyzická bezpečnost
•Ochrana před
–Krádeží (zámky, kontrola přístupu, uzavřené serverovny)
–Poškozením‏
–Výpadkem elektrického proudu (UPS, generátory)
–Ztrátou konektivity (náhradní připojení)
–Požárem (chlazení, požární hlásiče)
•Redundance !!!

9
Sociální inženýrství
•Útok na uživatele, ne přímo na systém
•Metody
–Zastrašování
–Krytí se autoritou
–Předstírání bezradnosti
–Zneužívání informací
•Ochrana
–Školení uživatelů
–Legislativa, vnitřní předpisy

10
Písemné dokumenty
•Každé významnější bezpečnostní nastavení by mělo být vynucováno písemnými nařízeními managementu /
informačního oddělení
•Umožňuje postižitelnost
•Psychologický význam

11
Obecné rady pro práci
•Silná hesla
–Pozor na řetězení připojení – rozhodující je nejslabší heslo „na cestě“
•Nepřihlašovat se z nezabezpečených počítačů
•Zamykat session vždy když nesedím u počítače
•Přihlašovat se jako běžný uživatel, pod administrátora přejít pouze pro vykonání konkrétní
činnosti
•Používat šifrované připojení