Для чего нужна группа безопасности и предохранительный клапан
Группа безопасности предназначена для обеспечения и контроля в системе отопления или горячего водоснабжения требуемого давления и сбросе его при выходе за максимальный предел.
Группа безопасности состоит из: предохранительного клапана, который сбрасывает часть воды (теплоносителя) при его избытке, воздухоотводчика, и манометра. Все эти элементы можно установить в системе как отдельно, так и в сборе в одном корпусе.
Предохранительный клапан (клапан избыточного давления) — представляет из себя вентиль, в котором закрывающий шток прижат пружиной. Жесткость пружины подбирают на заводе-изготовителе, настраивая клапан на определенное давление (1.5, 3, 6 бар или др.). Предохранительные клапаны необходимо монтировать во всех системах, где возможно расширение воды (теплоносителя) за счет нагрева. В доме такими системами являются — отопление и система горячего водоснабжения (бойлер косвенного нагрева или водонагреватель).
Для того чтобы не получить ожог при внезапном открытии клапана или не испортить ремонт в помещении, к боковому отводу приворачивают отводную трубу и направляют ее в канализацию или дренажную емкость.
Не стоит думать, что при срабатывании клапан избыточного давления сбрасывает много воды — в обычных частных домах, для того чтобы давление упало с 3 до 1 бар, необходимо сбросить около одного стакана воды, а иногда и меньше.
Для того, чтобы группа безопасности выпускала воздух из системы, необходимо ее устанавливать в верхней части труб, подходящих к котлу или бойлеру, то есть воздухоотводчик защищает котел или бойлер от завоздушивания. Защиту радиаторов или других верхних точек системы обеспечивают другие автовоздушники или краны Маевского.
Между котлом и группой безопасности нельзя устанавливать запорную арматуру!
При выборе группы безопасности котла — необходимо уточнить, на какую мощность она рассчитана. Для мощных котлов — в группе безопасности применяются предохранительные клапаны с большим проходным сечением (резьба на 3/4 или 1 дюйм).
Максимальное давление систем отопления и водоснабжения
Предохранительные клапаны подбирают на основании номинального рабочего давления в системе. Рассмотрим номинальные давления основных инженерных систем и необходимые предохранительные клапаны для них.
1 бар = 1,0197 кгс/см2 = 0,98692 атм.
- Системы отопления с настенными газовыми котлами. Номинальное — 1,5-2.0 бар, предохранительный клапан — 3.0 бар.
- Системы отопления с напольными газовыми котлами. Номинальное — 1.0-1.5 бар, предохранительный клапан — 3.0 бар
- Системы отопления с твердотопливными котлами, печи со встроенными котлами. Номинальное — 0. 5-1.0 бар, предохранительный клапан — 1.5 бар.
- Системы горячего водоснабжения. Номинальное 2.0-4.0 бар, предохранительный клапан — 6.0 бар.
Группа безопасности котла, схема, подключение
Чтобы обеспечить безопасную эксплуатацию закрытой автономной системы твердотопливного водонагревательного котла, необходимо установить группу безопасности. Она состоит из различных устройств и приборов, которые сохраняют работоспособность системы отопления. Кроме того, защищают ее от избыточного давления и появления лишнего воздуха. Если система безопасности спроектирована правильно, то она быстро среагирует на внештатную ситуацию. К примеру, лишний воздух в системе будет выпущен через специальные клапаны.
В группу безопасности системы входят следующие элементы:
- Предохранительный клапан давления.
- Манометр.
- Отводчик воздуха с запорным клапаном.
- Расширительные баки иногда относят к данной группе, хотя считаются отдельными элементами и используются для системы отопления.
Манометр
Предохранительный клапан
С помощью предохранительного клапана отводится вода из системы. Обязательное условие – клапан должны быть расположен выше котла. Выбирая данный элемент нужно знать, при каком давлении работает котел на твердом топливе. Группа безопасности соответствующая: 1, 2, 3, 6 атмосфер и так далее.
Воздухоотводчик
Воздухоотводчик предотвращает завоздушение системы. С его помощью отводится воздух. Если все подобрано и смонтировано правильно, воздухоотводчик запускается автоматически в момент выхода из строя системы терморегуляции.
Чаще всего все вышеперечисленные элементы размещаются в одном корпусе, который устанавливают на трубу подачи теплового носителя за котлом. Если пришлось купить группу безопасности отдельно, то нужно установить ее следующим образом: на подающей трубе за котлом, а клапан предохранительный немного выше котла. Монтировать данную систему должны профессионалы, ведь ошибка может привести к поломке котла.
для чего необходима группа безопасности, что входит в состав блока безопасности
Чтобы автономная система теплоснабжения работала эффективно и без перебоев необходимо установить группу или блок безопасности отопительной системы. Наиболее востребована группа безопасности для отопительной системы закрытого типа. Но многие отопительные котлы оснащены такой безопасностью. В остальных необходимо дополнительно устанавливать ее. Рассмотрим в нашей статье монтаж и состав группы безопасности для системы отопления.
Содержание:
- Для чего необходима группа безопасности
- Монтаж
- Что входит в состав блока безопасности
Для чего необходима группа безопасности
Раньше, когда еще не выпускались блоки безопасности чтобы дросселировать сильный напор воды использовали дроссельные шайбы для отопительной системы дома. Такое устройство представляло собой диск с отверстием в середине. В такое отверстие помещалась труба. Благодаря этому достигалось гидравлическое повышенное сопротивление. Современные модели оснащают автоматическими регуляторами давления и температуры, то есть блоками безопасности. Если произошла какая-либо авария, то давление в отопительной системе повышается. Вследствие чего происходит поломка отдельных элементов системы или же выход из строя всей системы отопления. Негативно влияет на работу теплоснабжения завоздушивание магистрали. Но если установлена группа безопасности, то такая ситуация предотвращается.
При помощи защитного блока происходит предотвращение образования воздушных пробок, а при аварии снижается давление до пределов нормы.
Группу безопасности часто используют в частных домах, где в качестве отопительного оборудования применяется газовый котел. В такой отопительной системе могут возникать некоторые ситуации:
- Погасание пламя на запальнике.
- В подающем трубопроводе низкое или высокое давление газа.
Все вышеперечисленные ситуации могут привести к затуханию горелке, в результате чего произойдет загазованность помещения.
Если котельная установка устроена уже давно, то обязательно необходимо установить автоматику безопасности газовых котлов.
При помощи циркуляционного насоса происходит равномерное движение носителя тепла по отопительной системе. Поэтому многие котлы оснащены циркуляционным насосом.
Монтаж
Современные отопительные котлы имею встроенные блоки безопасности. В основном это котлы настенного типа. В отопительных котлах напольного типа блок безопасности не предусматривается. Соответственно его нужно приобретать отдельно. Предохранительный клапан должен быть установлен выше отопительного котла. Обычно группа безопасности устанавливается в одном месте, так как такое расположение требует меньших затрат.
Перед тем как устанавливать группу безопасности нужно продумать, как будет проводить ее проверка, а также ремонт. А проводить проверку нужно регулярно. Оптимальным вариантом будет такая установка, которая позволит отсоединять все элементы по-отдельности. В таком случае не придется отключать всю систему.
Устанавливать группу безопасности лучше на трубе подачи на расстоянии 1,5 м от отопительного котла. А шаровые краны необходимо устанавливать за блоком безопасности. Такая установка обеспечит качественную, надежную и долгую работу системы.
Что входит в состав блока безопасности
Чтобы разобраться в работе защитного механизма необходимо узнать, что входит в состав группы безопасности. В эту систему входят несколько элементов. Каждый элемент выполняет определенную работу.
Рассмотрим состав блока безопасности для отопления:
- Кран Маевского или по-другому он называется воздухоотводчиком автоматического типа. Обычно изготавливают этот прибор из латуни. Кран Маевского используют для удаления воздуха из отопительной системы;
- Корпус, который изготавливают из оцинкованной стали;
- Термометр и манометр. Первый прибор используется для показания температуры, а манометр необходим для определения давления в отопительной системе. Обычно оптимальным давлением для котла отопления является 1,5 атмосфер. Но есть универсальные приборы, которые измеряют температуру и давление. Они называют термоманометры для отопительной системы;
- Еще одним необходимым элементом является предохранительный клапан. Он дублирует воздухоотводчик. Бывают случаи, когда воздухоотводчик не удаляет воздух автоматически и тогда эту работу выполняет предохранительный клапан. Помимо удаления воздуха клапан выводит лишнюю воду. Изготавливают предохранительный клапан из латуни.
В верхней части корпуса крепятся все защитные элементы. Защитные устройства отдельно установить нельзя. Если один из элементов будет отсутствовать, то эффективно работать оборудование не будет.
Если термометры и манометры будут установлены, а предохранительный клапан будет отсутствовать, то при повышении давления исправить проблему не получится. Если предохранительный клапан отсутствует, а воздухоотводчик установлен, то лишний воздух будет удаляться из системы, а жидкость, которая перегрелась, останется в корпусе. В таком случае вся отопительная система может выйти из строя.
Чтобы в помещении поддерживался оптимальный температурный режим необходимо установить гвс и контроллер отопления. Благодаря ему будет контролироваться температура в зависимости от температуры наружного воздуха.
Читайте также:
Как работает группа безопасности в системе отопления
Одним из ключевых звеньев водяной системы отопления является группа безопасности или, как ее еще называют, блок безопасности. Это механизм, представляющий собой набор приборов, которые обеспечивают безаварийную работу системы и контролируют давление теплоносителя. В случае возникновения аварийной ситуации (к примеру выход из строя расширительного бака), в системе отопления резко увеличится давление, из-за чего может разорваться труба или выйти из строя теплообменник отопительного котла. Для компенсации избыточного давления и предотвращения “завоздушивания” системы, подключается в работу группа безопасности. Она в автоматическом режиме сбрасывает лишнее давление, и тем самым не дает ему превышать заданную норму, сохраняя работоспособность системы отопления.
Группа безопасности состоит из металлического корпуса с резьбовыми соединениями, на котором установлены манометр, воздухоотводчик и предохранительный клапан.
- Манометр. Измерительный прибор, обеспечивающий визуальный контроль над давлением и температурой в системе отопления. Необходимо помнить, что оптимальным. Для большинства отопительных приборов считается значение, составляющее 1,5 – 2 атмосферы.
- Воздухоотводчик. Автоматически сбрасывает лишний воздух из системы. При повышении в системе отопления давления ( к примеру при закипании теплоносителя, сопровождающиеся выделением горячего воздуха, способного разрушить систему), он автоматически отводит из нее лишний воздух.
- Предохранительный клапан. Предназначен для сброса излишков жидкости из закрытой системы, если при нагревании теплоноситель расширяется и создает избыточное давление. Самым чувствительным местом системы отопления является теплообменник котла, поэтому предохранительный клапан необходимо подбирать с таким же порогом срабатывания, который максимально допустим при эксплуатации отопительного оборудования (данный параметр указан в паспорте котла).
Как работает группа безопасности в системе отопления
Если по каким-то причинам расширительный бак не компенсировал расширения теплоносителя, то давление внутри системы будет нарастать, в какой-то момент срабатывает механизм предохранительного клапана и открывается путь для выхода лишнего теплоносителя, а через воздухоотводчик выходит лишний воздух. Чтобы избежать ожогов при внезапном открытии обратного клапана и выбросе лишнего теплоносителя, к его отводу присоединяют отводную трубу, которую направляют в систему канализации. Не следует думать, что при срабатывании предохранительного клапана система теряет много жидкости. Как правило для нормализации давления требуется сбросить не более 100 граммов теплоносителя.
Установка группы безопасности на отопление
Настенные котлы отопления, как правило выпускаются уже с блоком безопасности, и поэтому дополнительно устанавливать его не нужно. В напольных котлах, особенно отечественных производителей, таких приборов нет, поэтому их придётся дополнительно устанавливать в систему отопления. Для того, чтобы группа безопасности исправно функционировала и смогла адекватно отреагировать на критические параметры системы отопления установку необходимо доверить специалисту. Любые оплошности и недоделки во время установки недопустимы и делают бессмысленным само наличие данной системы защиты.
Обычно установка группы безопасности выполняется сразу после котла на подающей магистрали на расстоянии, 1-1,5 метра от него. При таком расположении по манометру удобно контролировать давление в системе отопления.
На участке трубопровода от отопительного котла до блока безопасности не допускается устанавливать запорную арматуру, фильтры и другие элементы, которые могут уменьшить его проходное сечение.
Обычно на манометре указывается максимальное давление (3 атм.). Красную стрелку необходимо установить на отметку, которая соответствует, максимально рекомендуемому давлению в 2 атмосферы Свыше 2 атмосфер большинство отопительных котлов эксплуатировать не рекомендуется. Данный параметр указывается и в паспорте отопительного котла.
ВЫВОД
Группа безопасности в системе отопления, является сравнительно недорогим механизмом, который предотвратит выход из строя элементов системы отопления, поэтому ее установка крайне желательна, особенно в системах закрытого типа.
Группа безопасности для котла: особенности, установка | 5energy
Несмотря на свою надежность, система водяного отопления также, как и любая другая система может выйти из строя. К примеру, в случае поломки расширительного бачка, в системе произойдет резкий скачек давления, что может повлечь за собой достаточно существенные разрушения (разрыв трубок радиатора, выйти из строя котел и т.д.).
Во избежания подобных ситуаций существует специальная, так называемая, группа безопасности. Она выполняет роль своего рода предохранителя, в случае возникновения внештатных ситуаций, образования чрезмерного давления в системе, система стравливает излишки тем самым спасая систему отопления от достаточно масштабных поломок.
Что из себя представляет «группа безопасности» котлов?
Состоит так называемая «группа безопасности» из специального корпуса, выполненного из латуни маркировки ЛС58-3, на котором находятся манометр, автоматический воздухоотводчик, предохранительный клапан.
Предохранительный клапан в случае возникновения высокого давления в системе сбрасывает, что бы избежать критический момент, когда возникают всевозможные поломки. Хотя, данную задачу в котле, в первую очередь, выполняет расширительный бачок (излишки воды вытесняются в специальный резервуар, в момент повышения давления в системе). Но, случаются ситуации, когда расширительный бачок не выполняет данную функцию, по какой-то причине не смог отвести излишки из системы. Именно для таких ситуаций и предназначен предохранительный клапан.
Манометр отображает текущее давление в системе. Он выполняет чисто информативную задачу. В зависимости от типа котла и самой системы, манометры могут выглядеть по разному. Рекомендуется использовать самые простые манометры, что бы с одного взгляда можно было точно сказать, нормальное ли давление в системе, без сложных вычислений.
Обычно манометр имеет две стрелки. Одна — рабочая (черная), вторая — контрольная (красная). Контрольная стрелка устанавливается вручную, как правило на 2Атм. Сделано для удобства.
Автоматический воздухоотводчик предназначен для отвода лишнего воздуха. Из-за него, вся «группа безопасности» устанавливается в самой верхней точке котла, в месте, куда устремляются пузырьки воздуха.
Установка группы безопасности
Перед установкой системы безопасности, крайне рекомендуется ознакомится с некоторыми рекомендациями, которые позволят сделать систему максимально эффективной.
- Группа безопасности устанавливается на подающей трубе, примерно в 1-1.5 метрах от котла, в самой высокой точке.
- Показания манометра должны быть доступны для осмотра, без каких либо сложностей.
- Необходимо установить специальный резервуар под предохранительным клапаном, что бы в случае вытека излишек теплоносителя можно было сразу отследить этот момент, проверив систему на возможные неполадки.
- Не рекомендуется устанавливать группу безопасности вместе с шаровыми кранами, которые будут отсекать их между краном и котлом. Также не рекомендуется ставить кран на систему безопасности, так как такое расположение негативно влияет на всю систему, провоцирует перегрев, и как следствие выход из строя. Кроме того, большинство сервисов отказывают в гарантии по этой же причине.
- При правильной установке, отсекающий кран должен монтироваться за ней. В таком случае, вам не смогут отказать в ремонте, в случае непредвиденных ситуаций. Кроме того, уменьшается риск перегрева.
- После установки, группа безопасности должна пройти испытания на герметичность. Подвергать испытаниям систему нужно гидродинамическим способом, которые соответствуют ГОСТ 24054, 25136.
- Шланг для слива должен соответствовать диаметру выходного отверстия предохранительного клапана. Ничего не должно препятствовать свободному сливу жидкостей.
- Допускается применение группы безопасности вместе с теплоносителем, содержащим не более 50% этиленгликоля.
Группа безопасности котла 3 бар
В состав группы безопасности входит предохранительный клапан, автоматический воздухоотводчик и манометр, смонтированные на общем основании — консоли.
Группа безопасности устанавливается вертикально в любой точке системы отопления выше котла, но желательно вместе с минимально возможной температурой.
На участке трубопровода от котла до группы безопасности не допускается установка запорной арматуры, фильтров и других элементов, которые могут уменьшить его проходное сечение.
Сливной шланг должен соответствовать диаметру выходного отверстия предохранительного клапана и продолжен таким образом, чтобы не создавать препятствий для сброса горячей жидкости или пара, а также не подвергались опасности люди. В качестве уплотнителя для резьбовых соединений следует применить ленту ФУМ (PTFE — политетрафторэтилен), полиамидную нить с силиконом, лён вместе со специальными пастами, а также другие уплотнительные материалы, обеспечивающие герметичность соединений при проектной температуре и давлении теплоносителя и согласованные в установленном порядке. После монтажа группа безопасности должна быть испытана на герметичность. Её необходимо подвергнуть испытанию гидростатическим (гидравлическим) методом в соответствии с ГОСТ 25136 и ГОСТ 24054.
Для приведения группы безопасности в рабочий режим необходимо приоткрыть (не снимая) колпачок автоматического воздухоотводчика, расположенный на его крышке. Во время эксплуатации следует периодически (не реже одного раза в год) проверять работоспособность предохранительного клапана. В клапане, не срабатывавшем длительное время, могут образоваться загрязнения между седлом и тарелкой, приводящие к протечкам и, как следствие, потере давления в отопительной системе. Для предотвращения этого клапан необходимо периодически промывать, проворачивая его поворотную крышку по указанию стрелки.
Как работает группа безопасности котла
26.12.2016В котельных конструкциях особое значение имеет антиаварийное оборудование. Группа безопасности для котла предохраняет систему отопления от достижения критического давления и завоздушивания.
Устройство и предназначение
Данное приспособление составляют три прибора: манометр, автоматический воздухоотвод и сбрасывающий автоклапан. Они собираются резьбовыми соединениями на одном коллекторе, который через муфту связывает их с системой отопления. Так одновременно выполняется несколько функций:
1. Манометр помогает наблюдать избыточное давление зрительно. Также он значим при наполнении закрытого трубопровода.
2. Воздухосбрасыватель выполняет сервисную функцию. С помощью поплавка, который открывается, если нет воды, он отводит воздух при наполнении агрегата. Имеется и вспомогательная задача – спуск начального избытка пара, возникающего от перегрева.
3. Сбрасывающий автоклапан высвобождает основной избыток объёма содержимого котлового бака.
Таким способом группа безопасности для котла эффективно предотвращает аварии и катастрофы, без неё за перегревом неизбежно следовал бы взрыв.
Область применения
Даже если в ГБК нет необходимости, она может служить страховкой на случай отказа штатных аварийных механизмов. К примеру, газовые, электрические или дизельные термогенераторы уже обладают хорошей защитой, и способны мгновенно отключиться при перегреве. А вот твердотопливные нагреватели слишком инерционны, чтобы быстро реагировать на опасные изменения.
Даже автоматизированным гранульным термогенераторам необходимо время на сжигание топлива. В ситуации с топкой пылающих поленьев увеличение температуры может закрыть приток воздуха, но топливо мгновенно не погаснет, а станет перетлевать, продолжая греть корпус. Отчего ГБК считается незаменимым атрибутом котлоагрегатов данного типа.
Рекомендации по монтажу
Если котёл не снабжён ГБК, то несложно приобрести или собрать своими руками. Выбор оснащения — основа успеха. Свойства автоотводчика не так принципиальны, а вот манометр и аварийный клапан выбираются строго согласно лимитам, прописанным в инструкции по использованию теплогенератора.
Установка проста, при наличии обычного комплекта слесарных инструментов выполнить её может каждый. Сначала нужно позаботиться, чтобы котловой агрегат и группа безопасности демонтировались без слива всего теплоносителя. Для этого перед нагревателем и после ставятся шаровые краны, которыми сподручно отсекать технологические узлы при замене или ремонте.
Важно: нельзя ставить кран между группой и котлоагрегатом. Такое положение увеличивает риски аварии.
Группа безопасности ставится на выходе после теплогенератора, приблизительно в метре от него. При этом будет удобно, если показания датчика хорошо заметны со входа в котельную. На выход защитного клапана необходимо подключить прозрачный сливной шланг и направить его в отдельную ёмкость (удобно контролировать) или канализацию.
А лучше посмотрите видео:
youtube.com/embed/YYGwPCoK51g»>
Заключение
ГБК рекомендовано устанавливать во все отопительные конструкции замкнутого вида. Расходы невелики, однако обеспечивают удобство сервиса и создают дополнительный уровень защиты.
Группы безопасности AWS: что это такое и как извлечь из них максимальную пользу
AWS Security Groups — это гибкий инструмент, который поможет защитить ваши инстансы Amazon EC2. Группы безопасности AWS — это лишь один из нескольких инструментов, которые AWS предлагает для защиты вашей облачной среды, но это не означает, что безопасность AWS недоступна. Вы по-прежнему несете ответственность за безопасность своих приложений и данных в облаке, а это означает, что вам нужно использовать дополнительные инструменты, такие как Threat Stack, чтобы получить лучшую видимость и принять упреждающий подход к безопасности в облаке.Threat Stack — это передовой технологический партнер AWS, предлагающий платформу обнаружения вторжений, встроенную в AWS, для обслуживания AWS.
Как мы обнаружили в недавнем опросе, почти три четверти компаний имеют хотя бы одну критическую неправильную конфигурацию безопасности AWS. Вот почему крайне важно понимать различные инструменты, которые AWS предоставляет пользователям, и понимать, как лучше всего использовать их для обеспечения безопасности ваших данных. Здесь вы узнаете, как работают группы безопасности AWS, два основных типа групп безопасности AWS и передовые методы их использования.
Определение групп безопасности AWS
Группы безопасностиAWS действуют как брандмауэр для ваших инстансов Amazon EC2, контролируя как входящий, так и исходящий трафик. Когда вы запускаете инстанс на Amazon EC2, вам необходимо назначить его определенной группе безопасности.
Критические неправильные конфигурации AWS
После этого вы можете настроить порты и протоколы, которые останутся открытыми для пользователей и компьютеров через Интернет.
Группы безопасностиAWS очень гибкие. Вы можете использовать группу безопасности по умолчанию и при этом настраивать ее по своему вкусу (хотя мы не рекомендуем эту практику, потому что группы должны называться в соответствии с их назначением). Или вы можете создать группу безопасности, которая вам нужна для ваших конкретных приложений. Для этого вы можете написать соответствующий код или использовать консоль Amazon EC2, чтобы упростить процесс.
Чем группы безопасности AWS отличаются от традиционных межсетевых экранов
Традиционные межсетевые экраны могут быть жесткими и ограничивающими.С другой стороны, группы безопасности AWS позволяют указывать разрешающие правила. Вы не можете запретить движение.
Это очень важно помнить, потому что в самом простом случае и без установки правил весь трафик блокируется. Если пакет данных не имеет определенного правила, разрешающего его прохождение, он будет немедленно отброшен.
Как работают группы безопасности AWS
Вы можете настроить группы безопасности AWS в соответствии со своими потребностями. Вам необходимо дать каждой группе уникальное имя, которое позволит вам выбрать ее из меню.Лучше, если вы дадите группе описательное имя, чтобы вы могли выбрать наиболее подходящее для своих нужд, не обращаясь к набору правил для этой конкретной группы.
Описательные имена имеют ограничение в 255 символов и могут быть только буквенно-цифровыми; разрешены пробелы с некоторыми специальными символами. Также нельзя использовать имя, начинающееся с sg-. Вам необходимо использовать уникальные имена в одном VPC.
Вам также необходимо создать группу безопасности, которая находится в том же VPC, что и ресурсы, которые вы хотите защитить.Однако помните, что вы можете создать только ограниченное количество групп безопасности на каждом VPC, который у вас есть. Также существует ограничение на количество правил, которые вы можете добавить в одну группу безопасности. Кроме того, существует ограниченное количество групп безопасности, которые вы можете использовать с сетевым интерфейсом.
Как описано выше, в группах безопасности AWS нет запрещающих правил, только разрешающие правила. Но вы можете указать разные правила для исходящего и входящего трафика.
Также помните, что группы безопасности AWS отслеживают состояние.Это означает, что когда вы отправляете запрос из своего экземпляра, вы получите ответ на этот запрос, не обращая внимания на набор правил для вашей группы безопасности входящего трафика. Между тем, ответы, разрешающие входящий трафик, будут разрешены для выхода, даже если у вас нет правила для исходящего трафика, которое явно разрешает его выход.
Некоторые люди ошибаются, полагая, что экземпляры, использующие одну и ту же группу безопасности, могут взаимодействовать друг с другом. Это не обязательно так: вам нужно создать правило, разрешающее это.Однако в группе безопасности по умолчанию эти правила включены по умолчанию.
Группа безопасности AWS по умолчанию
Каждое виртуальное частное облако имеет группу безопасности по умолчанию, и каждый запускаемый вами экземпляр будет связан с этой группой безопасности по умолчанию. Это означает, что если вы ничего не сделаете, например не установите другую группу безопасности, все ваши экземпляры будут связаны с группой безопасности по умолчанию.
По умолчанию все протоколы и диапазоны портов экземпляров в одной группе безопасности будут разрешены.Кроме того, весь трафик идет на 0.0.0.0. и :: / 0 будут разрешены.
Вы можете изменить эти правила по своему желанию. Однако вы не можете удалить группу безопасности по умолчанию из вашего VPC.
Типы групп безопасности AWS
В настоящее время существует два типа групп безопасности AWS: для EC2-Classic и для EC2-VPC
.Если вы в настоящее время используете Amazon EC2, то вы знаете, что такое группа безопасности. Но вы не можете использовать группу безопасности, созданную для EC2-Classic, в EC2-VPC или наоборот.Вам нужно будет создать правило безопасности для вашего VPC, даже если аналогичное было создано для вашего EC2.
Эти два типа групп безопасности имеют несколько общих черт и различий:
- В EC2-Classic вы можете создавать только правила для входящих подключений, но с помощью EC2-VPC вы можете создавать правила для входящих и исходящих запросов.
- Если вы уже запустили экземпляр, вы не можете назначить ему другую группу безопасности. Но с EC2-VPC вы можете изменить назначенную группу.
- Кроме того, когда вы добавляете правило в группы безопасности EC2-Classic, вам больше не нужно указывать протокол. Это необходимо сделать с помощью EC2-VPC.
Рекомендации по использованию групп безопасности AWS
Вы можете воспользоваться рядом передовых практик и советов, чтобы максимально эффективно использовать группы безопасности AWS и повысить общую безопасность:
- Вы должны включить ведение журнала потока вашего VPC. Эти журналы дают вам полное представление о типе трафика, проходящего через VPC.Ведение журнала потоков может помочь вам обнаружить проблемный трафик и дать ценную информацию. Это также может помочь вам решить проблемы с доступом и безопасностью. Например, журнал потоков может помочь вам увидеть, существуют ли группы безопасности, которые являются очень разрешительными. Группы безопасности
- EC2 не должны иметь больших диапазонов портов. В этом случае уязвимости могут быть легко обнаружены или использованы.
- Не разрешайте неограниченный доступ к экземплярам RDS. RDS будет регистрировать неудачные попытки входа в систему, но не будет блокировать повторяющиеся неудачи.Если оставить экземпляр открытым для Интернета, он подвергнется опасности атак с использованием грубой силы. Вам также следует ограничить доступ к кластерам в Amazon Redshift.
- Реже используйте дискретные группы безопасности, чтобы избежать неправильной конфигурации, которая может привести к компрометации учетной записи.
- Ограничить исходящий доступ с портов только определенными портами или пунктами назначения. Кроме того, не разрешайте неограниченный входящий доступ к необычным портам.
- Не разрешайте доступ, например, через порт 445, который обычно используется для CIFS (Common Internet File System).Кроме того, разрешать FTP-передачу только через порт 20 или 21 и только после того, как она будет ограничена необходимыми объектами.
В зависимости от того, какие технологии, сервисы и протоколы вы используете (например, MySQL, Oracle Database, удаленный рабочий стол или SMTP), существует набор передовых практик для использования с группами безопасности AWS. Убедитесь, что у вас есть время, чтобы ознакомиться с ними, прежде чем вы начнете использовать группы безопасности.
101 Советы и предложения по безопасности AWS, часть 3: Рекомендации по использованию групп безопасности в AWS
Это третья запись в нашей серии из 4 частей Советов и предложений по безопасности AWS, которая призвана помочь вам в развитии и укреплении безопасности вашей организации на основе проактивной комплексной стратегии безопасности.
На данный момент мы охватили:
Критические неправильные конфигурации AWS
Сегодня в центре внимания лучших практик использования групп безопасности в AWS (а в последней части, части 4, мы будем иметь дело с передовыми методами безопасности AWS) .
Лучшие практики использования групп безопасности в AWS
1. Группы безопасности являются центральным компонентом межсетевых экранов AWS.
«Amazon предлагает средство виртуального межсетевого экрана для фильтрации трафика, проходящего через сегмент облачной сети; но способ управления межсетевыми экранами AWS немного отличается от подхода, используемого в традиционных межсетевых экранах.Центральным компонентом межсетевых экранов AWS является «группа безопасности», которую другие поставщики межсетевых экранов называют политикой (т. Е. Набором правил). Однако между группами безопасности и традиционными политиками брандмауэра есть ключевые различия, которые необходимо понимать.
«Во-первых, в AWS в правиле нет« действия », указывающего, разрешен ли трафик или нет. Это связано с тем, что все правила в AWS положительны и всегда разрешают указанный трафик — в отличие от традиционных правил брандмауэра.
«Во-вторых, правила AWS позволяют указать источник трафика или пункт назначения трафика, но не оба в одном правиле. Для правил для входящего трафика есть источник, в котором указано, откуда идет трафик, но нет пункта назначения, указывающего, куда идти. Для исходящих правил все наоборот: вы можете указать место назначения, но не источник. Причина этого в том, что группа безопасности AWS всегда устанавливает неуказанную сторону (источник или место назначения, в зависимости от обстоятельств) в качестве экземпляра, к которому применяется группа безопасности.
«AWS позволяет гибко применять эти правила. Одиночные группы безопасности можно применять к нескольким экземплярам таким же образом, как вы можете применить традиционную политику безопасности к нескольким брандмауэрам. AWS также позволяет делать обратное: применять несколько групп безопасности к одному экземпляру, что означает, что экземпляр наследует правила от всех связанных с ним групп безопасности. Это одна из уникальных особенностей предложения Amazon, позволяющая создавать группы безопасности для определенных функций или операционных систем, а затем смешивать и сопоставлять их в соответствии с потребностями вашего бизнеса.”
— Avishai Wool, A Guide to AWS Security , Infosec Island; Twitter: @InfosecIsland
2. Включите и настройте журналы потоков AWS VPC.
«Включите журналы потоков AWS VPC для вашего уровня VPC, подсети или ENI. Журналы потоков AWS VPC могут быть настроены для записи как принятых, так и отклоненных записей, проходящих через группы ENI и безопасности EC2, ELB и некоторых дополнительных сервисов. Эти записи журнала потока VPC можно сканировать, чтобы обнаруживать шаблоны атак, предупреждать об аномальных действиях и потоках информации внутри VPC, а также предоставлять ценную информацию для операций группы SOC / MS.”
— Хариш Ганесан, 27 рекомендаций по работе с группами безопасности веб-сервисов Amazon , 8 000 миль; Twitter: @ 8KMiles
3. Используйте текущие управляемые политики.
«Раньше были доступны только встроенные политики на основе идентификационных данных (IAM).
Управляемые политики появились позже. Таким образом, не все старые передовые практики облачных вычислений AWS, существовавшие в эпоху встроенных политик, могут быть применимы и в наши дни. Поэтому рекомендуется использовать доступные сейчас управляемые политики.С помощью управляемых политик вы можете управлять разрешениями из центра, а не связывать их напрямую с пользователями. Это также позволяет вам правильно классифицировать политики и повторно использовать их. Обновление разрешений также становится проще, если одна управляемая политика прикреплена к нескольким пользователям. Кроме того, в управляемых политиках вы можете добавить до 10 управляемых политик для пользователя, роли или группы. Однако размер каждой управляемой политики не может превышать 5120 символов ».
— Jayashree Hegde, Аналитический центр AWS Cloud Security: 5 причин, почему вам следует подвергнуть сомнению свою старую практику , Botmetric;
4.Посмотрите на все группы безопасности, связанные с каждым экземпляром, чтобы получить полную картину того, что касается регулируемых данных.
«AWS четко настроен таким образом, чтобы вы могли просматривать каждую группу безопасности по очереди и проверять ее, чтобы вы могли просматривать правила, сравнивать их с корпоративными политиками и нормативными требованиями, чтобы увидеть, совпадают ли они. Таким образом, это простой и экономичный вариант.
Однако здесь есть два предостережения. Во-первых, у вас нет контекста, если вы посмотрите на отдельную группу безопасности как таковую.Вы даже не знаете, связаны ли с каждой группой безопасности какие-либо экземпляры — это может быть «свободно плавающее», что вполне возможно в AWS.
«Во-вторых, группы безопасности AWS можно смешивать и сопоставлять, поэтому вы можете иметь несколько групп безопасности, связанных с отдельными экземплярами или серверами. Чтобы по-настоящему понять ваше состояние безопасности, вам нужно посмотреть на все группы безопасности, связанные с каждым экземпляром. В противном случае у вас будет только частичное представление о том, какой трафик разрешен или из экземпляров, которые касаются регулируемых данных.”
— Avishai Wool, Советы по правильному аудиту политик безопасности AWS , AlgoSec; Twitter: @AlgoSec
5. Распределите группы безопасности по категориям.
«Разбивать группы безопасности по категориям — это хорошо. Например, все порты подключения к БД и веб-серверу в одной группе безопасности, все порты подключения к мультимедиа в одной группе безопасности, все порты подключения сторонних производителей в одной группе безопасности и все порты для офиса в одной группе безопасности.Категоризация помогает вам эффективно управлять различными наборами соединений, чтобы вы не испортили свои группы безопасности всякий раз, когда вам нужно изменить некоторые вещи для определенного порта ».
— Чандан Мишра, 10 советов по защите вашего экземпляра EC2 на AWS с помощью групп безопасности , LinkedIn
6. Сведите к минимуму количество дискретных групп безопасности.
«Взлом учетной записи может происходить из различных источников, одним из которых является неправильная конфигурация группы безопасности.Минимизируя количество дискретных групп безопасности, предприятия могут снизить риск неправильной настройки учетной записи ».
— Сехар Саруккай, Блокировка в облаке: семь лучших практик для AWS , Cloud Security Alliance; Twitter: @cloudsa
7. Используйте правильные соглашения об именах для ваших групп безопасности.
«Имейте надлежащие соглашения об именах для группы безопасности Amazon Web Services. Соглашение об именах должно соответствовать корпоративным стандартам.Например, он может иметь обозначение: «Регион AWS + код среды + тип ОС + уровень + код приложения»
.Имя группы безопасности — EU-P-LWA001
Регион AWS (2 символа) = EU, VA, CA и т. Д.
Экологический код (1 символ) = P-Production, Q-QA, T-testing, D-Development и т. Д.
Тип ОС (1 символ) = L-Linux, W-Windows и т. Д.
Уровень (1 символ) = W-Web, A-App, C-Cache, D-DB и т. Д.
Код приложения (4 символа) = A001
«Мы используем Amazon Web Services с 2008 года и за эти годы обнаружили, что управление группами безопасности в нескольких средах само по себе является огромной задачей.Правильные соглашения об именах с самого начала — это простая практика, но она сделает ваше путешествие в AWS управляемым ».
— Хариш Ганесан, Группы безопасности AWS — 27 рекомендаций по передовой практике , LinkedIn
8. Присоединяйте политики к группам, а не к отдельным пользователям.
«Рекомендуется прикреплять политики к группам, а не к отдельным пользователям. Если у отдельного пользователя есть политика, убедитесь, что вы понимаете, зачем этому пользователю политика.”
– Рекомендации по аудиту безопасности AWS , AWS; Twitter: @awscloud
9. Не открывайте порты для 0.0.0.0/0, если это не требуется.
«Разрешение входящего доступа путем открытия портов для 0.0.0.0/0 в группах безопасности — наиболее частая ошибка профессионалов при предоставлении ресурсов. В конечном итоге пользователи открывают свои облачные сети и подвергают свои облачные ресурсы и данные внешним угрозам ».
— Эяль Познер, Группы безопасности Amazon — 5 важных рекомендаций по составлению списка дел , Stratoscale; Твиттер: @Stratoscale
10.Предоставьте доступ из определенных групп безопасности Amazon EC2 или определенных IP-адресов для любого правила группы безопасности.
«Amazon Relational Database Service (Amazon RDS) имеет конфигурации групп безопасности, которые проверяются явным образом, и выдается предупреждение, если правило для группы безопасности предоставляет или вероятно предоставит чрезмерный доступ к вашей базе данных. Для любого правила группы безопасности рекомендуется предоставлять доступ только из определенных групп безопасности Amazon Elastic Compute Cloud (Amazon EC2) или с определенного IP-адреса.”
— Монали Гош, AWS Security Audit and Best Practices , Centilytics;
11. Создайте группу безопасности по умолчанию для новых экземпляров.
«Когда вы создаете новый экземпляр с помощью Salt, вам необходимо указать группу безопасности по умолчанию. Чтобы избежать нарушения безопасности, создайте группу по умолчанию, которая разрешает только SSH ».
– Рекомендации групп безопасности AWS , TrackIt; Twitter: @TrackItCloud
12.Ограничьте доступ к группам безопасности EC2.
«Это предотвратит DoS-атаки, грубую силу и атаки типа« злоумышленник в середине ». Кроме того, назначьте свои политики и разрешения управления идентификацией и доступом (IAM) определенным ролям / группам, а не конкретным пользователям ».
— Сехар Саруккай, 10 способов защиты конфиденциальной информации на AWS , CyberScoop; Twitter: @CyberScoopNews
13. Создайте отдельных пользователей IAM, затем назначьте их группам, а затем присоедините политики к группам.
«Вы всегда должны создавать отдельных пользователей IAM , добавлять их в группы IAM и присоединять к этим группам политики IAM . Политики определяют права группы , разрешающие или запрещающие доступ к ресурсам AWS. Когда они прикреплены к группам (а не к пользователям), они упрощают настройку политики, чтобы влиять на группу и всех соответствующих пользователей одновременно ».
— Евгений Гольдин, AWS IAM Best Practices , MinOps; Twitter: @MinOpsInc
14.Создавайте группы безопасности вокруг точек доступа, а не конкретных ресурсов AWS.
«По возможности создавайте группы безопасности, ориентированные на точки доступа, а не на конкретные ресурсы AWS. Другими словами, создайте группу безопасности для IP-адресов, связанных с филиалом компании A, филиалом компании B и т. Д., А не группой безопасности, определяющей, какие IP-адреса могут иметь доступ к EC2_A, EC2_B и т. Д. Таким образом, вам нужно только обновить свой правила трафика в одном месте (например, если IP-адрес филиала компании A изменился, вам нужно только обновить группу безопасности филиала компании A вместо поиска в каждом EC2_A, EC2_B и т. д.группы безопасности и обновления правил дорожного движения в каждом месте, где появляется информация о филиале компании A) ».
— Джулия Стефан, Лучшие практики, советы и приемы по управлению архитектурой безопасности , DiamondStream; Twitter: @ DiamondStream1
15. Будьте осторожны при использовании нескольких групп безопасности.
« Будьте осторожны с несколькими группами безопасности. Вы можете применить несколько групп безопасности к одному экземпляру EC2 или применить одну группу безопасности к нескольким экземплярам EC2.Системные администраторы часто вносят изменения в состояние портов; однако, когда несколько групп безопасности применяются к одному экземпляру, существует более высокая вероятность перекрытия правил безопасности. Например, группа безопасности A открыла порт 80 для всего Интернета. Тем временем группа безопасности B открыла порт 80 для одного IP-адреса. Если вы назначите эти две группы безопасности экземпляру EC2 и измените любую из них, могут возникнуть проблемы. Если вы удалите правила порта 80 из группы безопасности A, группа безопасности B все еще будет иметь порт 80 открытым.Эти ошибки легче обнаружить при небольшом количестве инстансов EC2 или групп безопасности. Чем больше число, тем труднее находить ошибки ».
— Руйхай Фанг, Stand Your Cloud: серия по защите AWS , Bishop Fox; Твиттер: @bishopfox
16. Используйте IAM для управления разрешениями на создание и управление группами безопасности, сетевыми ACL и журналами потоков.
«Вы можете использовать AWS Identity and Access Management, чтобы контролировать, кто в вашей организации имеет разрешение на создание и управление группами безопасности, сетевыми списками контроля доступа и журналами потоков.Например, вы можете предоставить это разрешение только администраторам сети, но не персоналу, которому нужно только запускать экземпляры. Для получения дополнительной информации см. Управление доступом к ресурсам Amazon VPC.
«Группы безопасности Amazon и сетевые списки контроля доступа не фильтруют трафик к локальным адресам канала (169.254.0.0/16) или от них или от них, а также к зарезервированным AWS IPv4-адресам — это первые четыре IPv4-адреса подсети (включая DNS-сервер Amazon адрес для VPC). Точно так же журналы потоков не фиксируют IP-трафик к этим адресам или от них.Эти адреса поддерживают следующие службы: службы доменных имен (DNS), протокол динамической конфигурации хоста (DHCP), метаданные экземпляра Amazon EC2, сервер управления ключами (KMS — управление лицензиями для экземпляров Windows) и маршрутизацию в подсети. Вы можете реализовать в своих экземплярах дополнительные брандмауэры, чтобы блокировать сетевое взаимодействие с локальными адресами канала ».
— Безопасность , AWS; Twitter: @awscloud
17.Создайте группу безопасности для открытия баз данных на порту 3306, но не разрешайте доступ к Интернету в целом.
«Вы хотите создать группу безопасности AWS для баз данных, которая открывает порт 3306, но не разрешает доступ в Интернет в целом. Только для вашей группы безопасности веб-сервера, определенной AWS. Вы также можете решить использовать единый блок и группу безопасности, которая разрешает порт 22 (ssh) из Интернета в целом. Все ssh-соединения будут поступать через этот ящик, а внутренние группы безопасности (базы данных и группы веб-серверов) должны разрешать соединения только с портом 22 из этой группы безопасности.
«При настройке репликации вы будете создавать пользователей и предоставлять права. Вам нужно будет предоставить подстановочный знак «%» для обозначения имени хоста, так как ваш внутренний и внешний IP-адреса будут меняться каждый раз, когда сервер умирает. Это безопасно, поскольку вы предоставляете порт 3306 сервера базы данных только другим группам безопасности AWS, а не интернет-хостам.
«Вы также можете решить использовать зашифрованную файловую систему для точки подключения базы данных, резервных копий базы данных и / или всей файловой системы.Будьте особенно осторожны с наиболее конфиденциальными данными. Если этого требуют требования соответствия, выберите хранение очень конфиденциальных данных за пределами облака и безопасные сетевые соединения, чтобы включить их на страницы приложений ».
— Шон Халл, Развертывание MySQL на Amazon EC2 — 8 передовых методов , Масштабируемые стартапы; Twitter: @hullsean
18. Держите свои соглашения об именах в секрете.
«Для обеспечения глубокой безопасности убедитесь, что ваше соглашение об именах групп безопасности Amazon Web Services не требует пояснений, а также убедитесь, что ваши стандарты именования остаются внутренними.Пример: группа безопасности AWS под названием UbuntuWebCRMProd не требует пояснений для хакеров, что это производственный веб-уровень CRM, работающий в ОС ubuntu. Иметь автоматизированную программу, обнаруживающую группы безопасности AWS с помощью Regex Pattern, периодически сканирующей активы AWS SG для получения информации, раскрывающей имена, и оповещения групп SOC / Managed по обслуживанию ».
— Хариш Ганесан, 27 лучших практических рекомендаций по группам безопасности веб-сервисов Amazon , облако, большие данные и мобильная связь; Твиттер: @ harish21g
19.Закройте ненужные системные порты.
«Экземпляры EC2 могут быть защищены с помощью« групп безопасности ». Это базовый брандмауэр, который позволяет открывать и блокировать сетевой доступ к вашему серверу EC2.
«Группы безопасности позволяют ограничивать входящие и исходящие соединения для определенных протоколов (UDP и TCP) для общих системных служб (HTTP, DNS, IMAP, POP, MYSQL и т. Д.), Ограниченных диапазонами IP-адресов, вашим IP-адресом или где-либо еще.
«На серверах Linux наиболее распространенными службами являются SSH, HTTP, HTTPS и MySQL.Давайте посмотрим, как мы можем защитить доступ к этим сервисам с помощью групп безопасности EC2.
«Из консоли управления AWS мы можем добавлять и редактировать правила фильтрации группы безопасности. Посмотрим, как это сделать:
- Войдите в Консоль управления AWS.
- Щелкните в левом меню: Группы безопасности.
- Щелкните группу безопасности вашего экземпляра.
- Нажмите «Изменить», чтобы добавить новые правила или настроить существующие ».
— Крис Уиланд, Как защитить виртуальные серверы EC2 , ScaleScale; Твиттер: @scalescalehq
20.Регулярно посещайте свои группы безопасности, чтобы оптимизировать правила.
«Многие организации начинают свой переход к AWS из облака с перемещения нескольких приложений, чтобы продемонстрировать мощность и гибкость AWS. Эта первоначальная архитектура приложения включает создание групп безопасности, которые контролируют сетевые порты, протоколы и IP-адреса, которые управляют доступом и трафиком к их виртуальному частному облаку AWS (VPC). Когда процесс построения архитектуры завершен и приложение полностью функционально, некоторые организации забывают повторно посетить свои группы безопасности, чтобы оптимизировать правила и помочь обеспечить соответствующий уровень управления и соответствия.Отсутствие оптимизации групп безопасности может привести к неоптимальной безопасности с открытыми портами, которые могут не понадобиться, или набором диапазонов исходных IP-адресов, которые шире, чем требуется ».
— Гай Денни, Как визуализировать и улучшить безопасность вашей сети путем добавления идентификаторов групп безопасности в журналы потоков VPC , AWS; Twitter: @awscloud
21. Периодически проверяйте группы безопасности, чтобы выявлять группы, не соблюдающие установленные соглашения об именах.
«Периодически обнаруживайте, предупреждайте или удаляйте группы безопасности AWS, не соблюдающие строгие стандарты именования организации. Также имейте автоматизированную программу, делающую это как часть ваших операций SOC / Managed Service. Как только вы введете этот более строгий контроль, все будет автоматически согласовано ».
— Хариш Ганесан, 27 рекомендаций по работе с группами безопасности веб-сервисов Amazon , 8 000 миль; Twitter: @ 8KMiles
групп безопасности Active Directory (Windows 10) — Microsoft 365 Security
- 57 минут для чтения
В этой статье
Относится к
В этом справочном разделе для ИТ-специалистов описаны группы безопасности Active Directory по умолчанию.
В Active Directory есть две формы общих участников безопасности: учетные записи пользователей и учетные записи компьютеров. Эти учетные записи представляют собой физическое лицо (человека или компьютер). Учетные записи пользователей также могут использоваться в качестве специальных учетных записей служб для некоторых приложений. Группы безопасности используются для сбора учетных записей пользователей, компьютеров и других групп в управляемые единицы.
В операционной системе Windows Server существует несколько встроенных учетных записей и групп безопасности, для которых предварительно настроены соответствующие права и разрешения для выполнения определенных задач.Для Active Directory существует два типа административных обязанностей:
Администраторы служб Отвечают за обслуживание и предоставление доменных служб Active Directory (AD DS), включая управление контроллерами домена и настройку AD DS.
Администраторы данных Отвечают за поддержку данных, которые хранятся в доменных службах Active Directory, а также на членских серверах и рабочих станциях домена.
О группах Active Directory
Группыиспользуются для сбора учетных записей пользователей, компьютеров и других групп в управляемые единицы.Работа с группами вместо отдельных пользователей помогает упростить обслуживание и администрирование сети.
В Active Directory есть два типа групп:
Группы сбыта
Группы рассылкимогут использоваться только с почтовыми приложениями (такими как Exchange Server) для отправки электронной почты коллекциям пользователей. Для групп рассылки не включена безопасность, что означает, что они не могут быть перечислены в списках управления доступом на уровне пользователей (DACL).
Группы безопасности
Группы безопасностимогут обеспечить эффективный способ назначения доступа к ресурсам в вашей сети.Используя группы безопасности, вы можете:
Назначьте права пользователей группам безопасности в Active Directory.
Права пользователя назначаются группе безопасности, чтобы определить, что члены этой группы могут делать в пределах домена или леса. Права пользователя автоматически назначаются некоторым группам безопасности при установке Active Directory, чтобы помочь администраторам определить административную роль человека в домене.
Например, пользователь, добавленный в группу «Операторы резервного копирования» в Active Directory, имеет возможность создавать резервные копии и восстанавливать файлы и каталоги, расположенные на каждом контроллере домена в домене.Это возможно, потому что по умолчанию права пользователя Файлы и каталоги резервного копирования и Файлы и каталоги восстановления автоматически назначаются группе операторов резервного копирования. Следовательно, члены этой группы наследуют права пользователя, назначенные этой группе.
Вы можете использовать групповую политику, чтобы назначать права пользователей группам безопасности для делегирования определенных задач. Дополнительные сведения об использовании групповой политики см. В разделе Назначение прав пользователей.
Назначьте разрешения группам безопасности для ресурсов.
Разрешения отличаются от прав пользователя. Разрешения назначаются группе безопасности для общего ресурса. Разрешения определяют, кто может получить доступ к ресурсу и уровень доступа, например Полный доступ. Некоторые разрешения, которые устанавливаются для объектов домена, автоматически назначаются, чтобы разрешить различные уровни доступа к группам безопасности по умолчанию, таким как группа операторов учетных записей или группа администраторов домена.
Группы безопасности перечислены в списках DACL, которые определяют разрешения для ресурсов и объектов.При назначении разрешений для ресурсов (общих файловых ресурсов, принтеров и т. Д.) Администраторы должны назначать эти разрешения группе безопасности, а не отдельным пользователям. Разрешения назначаются группе один раз, а не несколько раз каждому отдельному пользователю. Каждая учетная запись, добавляемая в группу, получает права, назначенные этой группе в Active Directory, а пользователь получает разрешения, определенные для этой группы.
Как и группы рассылки, группы безопасности могут использоваться в качестве объекта электронной почты.Отправка сообщения электронной почты группе отправляет сообщение всем членам группы.
Объем группы
Группы характеризуются областью действия, которая определяет степень, в которой группа применяется в дереве доменов или в лесу. Область действия группы определяет, где группе могут быть предоставлены разрешения. Следующие три области действия групп определяются Active Directory:
Универсальный
Глобальный
Домен Локальный
Примечание
В дополнение к этим трем областям группы по умолчанию в контейнере Builtin имеют область действия группы Builtin Local.Эта область действия группы и тип группы не могут быть изменены.
В следующей таблице перечислены три области действия группы и дополнительная информация о каждой области для группы безопасности.
Объемы групп
Объем | Возможные члены | Преобразование объема | Может предоставлять разрешения | Возможный член |
---|---|---|---|---|
Универсальный | Учетные записи из любого домена в одном лесу Глобальные группы из любого домена в одном лесу Другие универсальные группы из любого домена в том же лесу | Может быть преобразован в локальную область домена, если группа не является членом каких-либо других универсальных групп Может быть преобразован в глобальную область, если группа не содержит других универсальных групп | В любом домене в том же лесу или в доверяющих лесах | Другие универсальные группы в том же лесу Домен Локальные группы в одном или доверенных лесах Локальные группы на компьютерах в одном или доверенных лесах |
Глобальный | Аккаунты из того же домена Другие глобальные группы из того же домена | Может быть преобразован в универсальную область, если группа не является членом какой-либо другой глобальной группы | В любом домене в том же лесу или в доверенных доменах или лесах | Универсальные группы из любого домена в одном лесу Другие глобальные группы из того же домена Домен Локальные группы из любого домена в том же лесу или из любого доверенного домена |
Домен Локальный | Учетные записи из любого домена или любого доверенного домена Глобальные группы из любого домена или любого доверенного домена Универсальные группы из любого домена в одном лесу Другой домен Локальные группы из того же домена Учетные записи, глобальные группы и универсальные группы из других лесов и из внешних доменов | Может быть преобразован в универсальную область, если группа не содержит других локальных групп домена | В одном домене | Другой домен Локальные группы из того же домена Локальные группы на компьютерах в одном домене, за исключением встроенных групп с известными идентификаторами безопасности |
Особые идентификационные группы
Особые идентификаторы обычно называются группами.Специальные группы идентификации не имеют определенного членства, которое можно изменить, но они могут представлять разных пользователей в разное время, в зависимости от обстоятельств. Некоторые из этих групп включают «Создатель-владелец», «Пакетная партия» и «Пользователь, прошедший аутентификацию».
Для получения информации обо всех специальных группах удостоверений см. Особые удостоверения.
Группы безопасности по умолчанию
Группы по умолчанию, такие как группа администраторов домена, представляют собой группы безопасности, которые создаются автоматически при создании домена Active Directory.Эти предопределенные группы можно использовать для управления доступом к общим ресурсам и для делегирования определенных административных ролей на уровне домена.
Многим группам по умолчанию автоматически назначается набор прав пользователей, которые разрешают членам группы выполнять определенные действия в домене, такие как вход в локальную систему или резервное копирование файлов и папок. Например, член группы «Операторы резервного копирования» имеет право выполнять операции резервного копирования для всех контроллеров домена в домене.
Когда вы добавляете пользователя в группу, он получает все права пользователя, назначенные группе, и все разрешения, назначенные группе для любых общих ресурсов.
Группы по умолчанию расположены в контейнере Builtin и в контейнере Users в Active Directory Users and Computers. Контейнер Builtin включает группы, определенные в области локального домена. Users включает группы, которые определены с глобальной областью, и группы, которые определены с локальной областью домена.Вы можете перемещать группы, расположенные в этих контейнерах, в другие группы или подразделения (OU) в домене, но вы не можете перемещать их в другие домены.
Некоторые административные группы, перечисленные в этом разделе, и все члены этих групп защищены фоновым процессом, который периодически проверяет и применяет определенный дескриптор безопасности. Этот дескриптор представляет собой структуру данных, которая содержит информацию о безопасности, связанную с защищенным объектом. Этот процесс гарантирует, что любая успешная несанкционированная попытка изменить дескриптор безопасности в одной из административных учетных записей или групп будет перезаписана защищенными настройками.
Дескриптор безопасности присутствует в объекте AdminSDHolder . Это означает, что если вы хотите изменить разрешения для одной из групп администраторов службы или для любой из ее учетных записей, вы должны изменить дескриптор безопасности в объекте AdminSDHolder , чтобы он применялся согласованно. Будьте осторожны при внесении этих изменений, потому что вы также изменяете настройки по умолчанию, которые будут применяться ко всем вашим защищенным административным учетным записям.
Группы безопасности Active Directory по умолчанию для версии операционной системы
В следующих таблицах представлены описания групп по умолчанию, которые расположены в контейнерах Builtin и Users в каждой операционной системе.
Операторы помощи в управлении доступом
Члены этой группы могут удаленно запрашивать атрибуты авторизации и разрешения для ресурсов на компьютере.
Группа операторов поддержки контроля доступа применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.
Эта группа безопасности не менялась с Windows Server 2008.
Атрибут | Значение |
---|---|
Известный SID / RID | С-1-5-32-579 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN = встроенный, DC = <домен>, DC = |
Элементы по умолчанию | Нет |
Член по умолчанию | Нет |
Защищено ADMINSDHOLDER? | № |
Можно ли выйти из контейнера по умолчанию? | Невозможно переместить |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | |
Права пользователя по умолчанию | Нет |
Операторы счетов
Группа «Операторы учетной записи» предоставляет пользователю ограниченные права на создание учетной записи.Члены этой группы могут создавать и изменять большинство типов учетных записей, включая учетные записи пользователей, локальных групп и глобальных групп, а члены могут входить в систему локально на контроллерах домена.
Члены группы «Операторы учетных записей» не могут управлять учетной записью администратора, учетными записями пользователей администраторов или группами «Администраторы», «Операторы сервера», «Операторы учетных записей», «Операторы резервного копирования» или «Операторы печати». Члены этой группы не могут изменять права пользователей.
Группа «Операторы учетной записи» применяется к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности по умолчанию Active Directory».
Примечание
По умолчанию у этой встроенной группы нет участников, и она может создавать и управлять пользователями и группами в домене, включая свое собственное членство и членство в группе операторов сервера. Эта группа считается группой администраторов служб, поскольку она может изменять операторов сервера, которые, в свою очередь, могут изменять параметры контроллера домена. Рекомендуется оставить членство в этой группе пустым и не использовать его для делегированного администрирования. Эту группу нельзя переименовать, удалить или переместить.
Эта группа безопасности не менялась с Windows Server 2008.
Атрибут | Значение |
---|---|
Известный SID / RID | С-1-5-32-548 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN = встроенный, DC = <домен>, DC = |
Элементы по умолчанию | Нет |
Член по умолчанию | Нет |
Защищено ADMINSDHOLDER? | Есть |
Можно ли выйти из контейнера по умолчанию? | Невозможно переместить |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | № |
Права пользователя по умолчанию | Разрешить локальный вход: SeInteractiveLogonRight |
Администраторы
Члены группы администраторов имеют полный и неограниченный доступ к компьютеру, или, если компьютер повышен до контроллера домена, члены имеют неограниченный доступ к домену.
Группа «Администраторы» применяется к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности Active Directory по умолчанию».
Примечание
Группа администраторов имеет встроенные возможности, которые дают ее членам полный контроль над системой. Эту группу нельзя переименовать, удалить или переместить. Эта встроенная группа контролирует доступ ко всем контроллерам домена в своем домене и может изменять членство во всех административных группах.
Членство может быть изменено членами следующих групп: администраторы службы по умолчанию, администраторы домена в домене или администраторы предприятия.Эта группа имеет особые права владения любым объектом в каталоге или любым ресурсом на контроллере домена. Эта учетная запись считается группой администраторов службы, поскольку ее участники имеют полный доступ к контроллерам домена в домене.
Эта группа безопасности включает следующие изменения по сравнению с Windows Server 2008:
Разрешенная группа репликации паролей RODC
Назначение этой группы безопасности — управление политикой репликации паролей RODC.По умолчанию в этой группе нет участников, и это приводит к тому, что новые контроллеры домена только для чтения не кэшируют учетные данные пользователей. Группа Denied RODC Password Replication Group содержит множество учетных записей с высоким уровнем привилегий и групп безопасности. Группа «Запрещенная репликация паролей RODC» заменяет группу «Разрешенная репликация паролей RODC».
Группа «Разрешенная репликация паролей RODC» применяется к версиям операционной системы Windows Server, указанным в таблице «Группы безопасности по умолчанию» Active Directory.
Эта группа безопасности не менялась с Windows Server 2008.
Атрибут | Значение |
---|---|
Известный SID / RID | S-1-5-21- <домен> -571 |
Тип | Домен локальный |
Контейнер по умолчанию | CN = Пользователи DC = <домен>, DC = |
Элементы по умолчанию | Нет |
Член по умолчанию | Нет |
Защищено ADMINSDHOLDER? | № |
Можно ли выйти из контейнера по умолчанию? | Невозможно переместить |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | |
Права пользователя по умолчанию | Нет |
Операторы резервного копирования
Члены группы «Операторы резервного копирования» могут выполнять резервное копирование и восстановление всех файлов на компьютере, независимо от разрешений, которые защищают эти файлы.Операторы резервного копирования также могут войти в систему и выключить компьютер. Эту группу нельзя переименовать, удалить или переместить. По умолчанию у этой встроенной группы нет участников, и она может выполнять операции резервного копирования и восстановления на контроллерах домена. Его членство может быть изменено следующими группами: администраторы служб по умолчанию, администраторы домена в домене или администраторы предприятия. Он не может изменять членство в каких-либо административных группах. Хотя члены этой группы не могут изменять настройки сервера или изменять конфигурацию каталога, у них есть разрешения, необходимые для замены файлов (включая файлы операционной системы) на контроллерах домена.Из-за этого члены этой группы считаются администраторами служб.
Группа «Операторы архива» применяется к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности Active Directory по умолчанию».
Эта группа безопасности не менялась с Windows Server 2008.
Служба сертификации DCOM Access
Членам этой группы разрешено подключаться к центрам сертификации на предприятии.
Группа доступа DCOM службы сертификации применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.
Эта группа безопасности не менялась с Windows Server 2008.
Атрибут | Значение |
---|---|
Известный SID / RID | S-1-5-32- <домен> -574 |
Тип | Домен Локальный |
Контейнер по умолчанию | CN = встроенный, DC = <домен>, DC = |
Элементы по умолчанию | Нет |
Член по умолчанию | Нет |
Защищено ADMINSDHOLDER? | № |
Можно ли выйти из контейнера по умолчанию? | Невозможно переместить |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | |
Права пользователя по умолчанию | Нет |
Cert Publishers
Члены группы Cert Publishers имеют право публиковать сертификаты для объектов User в Active Directory.
Группа Cert Publishers применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.
Эта группа безопасности не менялась с Windows Server 2008.
Атрибут | Значение |
---|---|
Известный SID / RID | S-1-5-21- <домен> -517 |
Тип | Домен Локальный |
Контейнер по умолчанию | CN = Пользователи, DC = <домен>, DC = |
Элементы по умолчанию | Нет |
Член по умолчанию | Запрещенная группа репликации паролей RODC |
Защищено ADMINSDHOLDER? | № |
Можно ли выйти из контейнера по умолчанию? | Невозможно переместить |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | № |
Права пользователя по умолчанию | Нет |
Клонируемые контроллеры домена
Члены группы клонируемых контроллеров домена, которые являются контроллерами домена, могут быть клонированы.В Windows Server 2012 R2 и Windows Server 2012 вы можете развернуть контроллеры домена, скопировав существующий виртуальный контроллер домена. В виртуальной среде больше не нужно повторно развертывать образ сервера, подготовленный с помощью sysprep.exe, повышать уровень сервера до контроллера домена, а затем выполнять дополнительные требования к конфигурации для развертывания каждого контроллера домена (включая добавление виртуального контроллера домена. в эту группу безопасности).
Дополнительные сведения см. В разделе Введение в виртуализацию доменных служб Active Directory (AD DS) (уровень 100).
Эта группа безопасности была введена в Windows Server 2012 и не изменилась в последующих версиях.
Атрибут | Значение |
---|---|
Известный SID / RID | S-1-5-21- <домен> -522 |
Тип | Глобальный |
Контейнер по умолчанию | CN = Пользователи, DC = <домен>, DC = |
Элементы по умолчанию | Нет |
Член по умолчанию | Нет |
Защищено ADMINSDHOLDER? | № |
Можно ли выйти из контейнера по умолчанию? | Невозможно переместить |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | |
Права пользователя по умолчанию | Нет |
Криптографические операторы
Члены этой группы имеют право выполнять криптографические операции.Эта группа безопасности была добавлена в Windows Vista с пакетом обновления 1 (SP1) для настройки брандмауэра Windows для IPsec в режиме общих критериев.
Группа криптографических операторов применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.
Эта группа безопасности была введена в Windows Vista с пакетом обновления 1 (SP1) и не изменилась в последующих версиях.
Атрибут | Значение |
---|---|
Известный SID / RID | С-1-5-32-569 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN = встроенный, DC = <домен>, DC = |
Элементы по умолчанию | Нет |
Член по умолчанию | Нет |
Защищено ADMINSDHOLDER? | № |
Можно ли выйти из контейнера по умолчанию? | Невозможно переместить |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | |
Права пользователя по умолчанию | Нет |
Запрещенная группа репликации паролей RODC
Члены группы запрещенной репликации паролей RODC не могут реплицировать свои пароли на любой контроллер домена только для чтения.
Назначение этой группы безопасности — управление политикой репликации паролей RODC. Эта группа содержит множество учетных записей с высокими привилегиями и групп безопасности. Группа запрещенных репликаций паролей RODC заменяет разрешенную группу репликации паролей RODC.
Эта группа безопасности включает следующие изменения по сравнению с Windows Server 2008:
- Windows Server 2012 изменила членов по умолчанию, включив в них издателей сертификатов.
Владельцы устройств
Эта группа в настоящее время не используется в Windows.
Microsoft не рекомендует изменять конфигурацию по умолчанию, в которой эта группа безопасности не имеет участников. Изменение конфигурации по умолчанию может помешать будущим сценариям, в которых используется эта группа.
Группа владельцев устройств применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.
Атрибут | Значение |
---|---|
Известный SID / RID | С-1-5-32-583 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN = встроенный, DC = <домен>, DC = |
Элементы по умолчанию | Нет |
Член по умолчанию | Нет |
Защищено ADMINSDHOLDER? | № |
Можно ли выйти из контейнера по умолчанию? | Можно выдвинуть, но не рекомендуется |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | № |
Права пользователя по умолчанию | Разрешить локальный вход: SeInteractiveLogonRight Доступ к этому компьютеру из сети: SeNetworkLogonRight Обход поперечной проверки: SeChangeNotifyPrivilege Изменить часовой пояс: SeTimeZonePrivilege |
Распределенные пользователи COM
Членам группы «Пользователи распределенного COM» разрешено запускать, активировать и использовать объекты распределенного COM на компьютере.Microsoft Component Object Model (COM) — это платформенно-независимая распределенная объектно-ориентированная система для создания двоичных программных компонентов, которые могут взаимодействовать. Распределенная объектная модель компонентов (DCOM) позволяет распределять приложения по местам, которые имеют наибольший смысл для вас и для приложения. Эта группа отображается как SID, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (также известную как гибкие операции с одним хозяином или FSMO).
Группа «Пользователи распределенного COM» применяется к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности по умолчанию Active Directory».
Эта группа безопасности не менялась с Windows Server 2008.
Атрибут | Значение |
---|---|
Известный SID / RID | С-1-5-32-562 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN = встроенный, DC = <домен>, DC = |
Элементы по умолчанию | Нет |
Член по умолчанию | Нет |
Защищено ADMINSDHOLDER? | № |
Можно ли выйти из контейнера по умолчанию? | Невозможно переместить |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | |
Права пользователя по умолчанию | Нет |
DnsUpdateProxy
Члены группы DnsUpdateProxy являются клиентами DNS.Им разрешено выполнять динамические обновления от имени других клиентов (например, DHCP-серверов). DNS-сервер может создавать устаревшие записи ресурсов, если DHCP-сервер настроен на динамическую регистрацию записей ресурсов хоста (A) и указателя (PTR) от имени DHCP-клиентов с помощью динамического обновления. Добавление клиентов в эту группу безопасности смягчает этот сценарий.
Однако для защиты от незащищенных записей или разрешения членам группы DnsUpdateProxy регистрировать записи в зонах, которые разрешают только защищенные динамические обновления, необходимо создать выделенную учетную запись пользователя и настроить DHCP-серверы для выполнения динамических обновлений DNS с использованием учетных данных этого учетная запись (имя пользователя, пароль и домен).Несколько серверов DHCP могут использовать учетные данные одной выделенной учетной записи пользователя. Эта группа существует только в том случае, если роль DNS-сервера установлена или когда-то была установлена на контроллере домена в домене.
Дополнительные сведения см. В разделах «Владение записями DNS» и «Группа DnsUpdateProxy».
Эта группа безопасности не менялась с Windows Server 2008.
Атрибут | Значение |
---|---|
Известный SID / RID | S-1-5-21- <домен> — <переменная RID> |
Тип | Глобальный |
Контейнер по умолчанию | CN = Пользователи, DC = <домен>, DC = |
Элементы по умолчанию | Нет |
Член по умолчанию | Нет |
Защищено ADMINSDHOLDER? | № |
Можно ли выйти из контейнера по умолчанию? | Есть |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | |
Права пользователя по умолчанию | Нет |
DnsAdmins
Члены группы DNSAdmins имеют доступ к сетевой информации DNS.Разрешения по умолчанию следующие: Разрешить: чтение, запись, создание всех дочерних объектов, удаление дочерних объектов, особые разрешения. Эта группа существует только в том случае, если роль DNS-сервера установлена или когда-то была установлена на контроллере домена в домене.
Дополнительные сведения о безопасности и DNS см. В разделе DNSSEC в Windows Server 2012.
Эта группа безопасности не менялась с Windows Server 2008.
Атрибут | Значение |
---|---|
Известный SID / RID | S-1-5-21- <домен> — <переменная RID> |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN = Пользователи, DC = <домен>, DC = |
Элементы по умолчанию | Нет |
Член по умолчанию | Нет |
Защищено ADMINSDHOLDER? | № |
Можно ли выйти из контейнера по умолчанию? | Есть |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | |
Права пользователя по умолчанию | Нет |
Администраторы домена
Члены группы безопасности «Администраторы домена» имеют право администрировать домен.По умолчанию группа администраторов домена является членом группы администраторов на всех компьютерах, которые присоединились к домену, включая контроллеры домена. Группа «Администраторы домена» является владельцем по умолчанию любого объекта, созданного в Active Directory для домена любым членом группы. Если члены группы создают другие объекты, например файлы, владельцем по умолчанию является группа «Администраторы».
Группа администраторов домена контролирует доступ ко всем контроллерам домена в домене и может изменять членство всех административных учетных записей в домене.Членство может быть изменено членами групп администраторов служб в своем домене (администраторы и администраторы домена), а также членами группы администраторов предприятия. Это считается учетной записью администратора службы, поскольку ее участники имеют полный доступ к контроллерам домена в домене.
Группа «Администраторы домена» применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.
Эта группа безопасности не менялась с Windows Server 2008.
Доменные компьютеры
В эту группу могут входить все компьютеры и серверы, которые присоединились к домену, за исключением контроллеров домена. По умолчанию любая созданная учетная запись компьютера автоматически становится членом этой группы.
Группа «Компьютеры домена» применяется к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности по умолчанию» Active Directory.
Эта группа безопасности не менялась с Windows Server 2008.
Атрибут | Значение |
---|---|
Известный SID / RID | S-1-5-21- <домен> -515 |
Тип | Глобальный |
Контейнер по умолчанию | CN = Пользователи, DC = <домен>, DC = |
Элементы по умолчанию | Все компьютеры, присоединенные к домену, за исключением контроллеров домена |
Член по умолчанию | Нет |
Защищено ADMINSDHOLDER? | № |
Можно ли выйти из контейнера по умолчанию? | Да (но не обязательно) |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | Есть |
Права пользователя по умолчанию | Нет |
Контроллеры домена
Группа контроллеров домена может включать все контроллеры домена в домене.В эту группу автоматически добавляются новые контроллеры домена.
Группа «Контроллеры домена» применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.
Эта группа безопасности не менялась с Windows Server 2008.
Атрибут | Значение |
---|---|
Известный SID / RID | S-1-5-21- <домен> -516 |
Тип | Глобальный |
Контейнер по умолчанию | CN = Пользователи, DC = <домен>, DC = |
Элементы по умолчанию | Учетные записи компьютеров для всех контроллеров домена |
Член по умолчанию | Запрещенная группа репликации паролей RODC |
Защищено ADMINSDHOLDER? | Есть |
Можно ли выйти из контейнера по умолчанию? | № |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | № |
Права пользователя по умолчанию | Нет |
Гости домена
Группа «Гости домена» включает встроенную гостевую учетную запись домена.Когда члены этой группы входят в систему как локальные гости на компьютере, присоединенном к домену, на локальном компьютере создается профиль домена.
Группа «Гости домена» применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.
Эта группа безопасности не менялась с Windows Server 2008.
Атрибут | Значение |
---|---|
Известный SID / RID | S-1-5-21- <домен> -514 |
Тип | Глобальный |
Контейнер по умолчанию | CN = Пользователи, DC = <домен>, DC = |
Элементы по умолчанию | Гость |
Член по умолчанию | Гости |
Защищено ADMINSDHOLDER? | Есть |
Можно ли выйти из контейнера по умолчанию? | Можно выдвинуть, но не рекомендуется |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | № |
Права пользователя по умолчанию | Посмотреть гости |
Пользователи домена
Группа «Пользователи домена» включает в себя все учетные записи пользователей в домене.Когда вы создаете учетную запись пользователя в домене, она автоматически добавляется в эту группу.
По умолчанию любая учетная запись пользователя, созданная в домене, автоматически становится членом этой группы. Эта группа может использоваться для представления всех пользователей в домене. Например, если вы хотите, чтобы все пользователи домена имели доступ к принтеру, вы можете назначить разрешения для принтера этой группе (или добавить группу «Пользователи домена» в локальную группу на сервере печати, у которой есть разрешения для принтера).
Группа «Пользователи домена» применяется к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности по умолчанию» Active Directory.
Эта группа безопасности не менялась с Windows Server 2008.
Атрибут | Значение |
---|---|
Известный SID / RID | S-1-5-21- <домен> -513 |
Тип | Глобальный |
Контейнер по умолчанию | CN = Пользователи, DC = <домен>, DC = |
Элементы по умолчанию | Администратор крбтгт |
Член по умолчанию | Пользователи |
Защищено ADMINSDHOLDER? | № |
Можно ли выйти из контейнера по умолчанию? | Есть |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | № |
Права пользователя по умолчанию | См. Пользователей |
Администраторы предприятия
Группа администраторов предприятия существует только в корневом домене леса доменов Active Directory.Это универсальная группа, если домен находится в основном режиме; это глобальная группа, если домен находится в смешанном режиме. Члены этой группы имеют право вносить изменения в Active Directory на уровне леса, например добавлять дочерние домены.
По умолчанию единственным членом группы является учетная запись администратора корневого домена леса. Эта группа автоматически добавляется в группу администраторов в каждом домене леса и обеспечивает полный доступ для настройки всех контроллеров домена.Члены этой группы могут изменять членство во всех административных группах. Членство может быть изменено только группами администраторов служб по умолчанию в корневом домене. Это считается учетной записью администратора службы.
Группа администраторов предприятия применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.
Эта группа безопасности не менялась с Windows Server 2008.
Ключевые администраторы предприятия
Члены этой группы могут выполнять административные действия над ключевыми объектами в лесу.
Группа Enterprise Key Admins появилась в Windows Server 2016.
Атрибут | Значение |
---|---|
Известный SID / RID | S-1-5-21- <домен> -527 |
Тип | Глобальный |
Контейнер по умолчанию | CN = Пользователи, DC = <домен>, DC = |
Члены по умолчанию | Нет |
Член по умолчанию | Нет |
Защищено ADMINSDHOLDER? | Есть |
Можно ли выйти из контейнера по умолчанию? | Есть |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | Нет |
Права пользователя по умолчанию | Нет |
Корпоративные контроллеры домена только для чтения
Члены этой группы являются контроллерами домена только для чтения на предприятии.За исключением паролей учетных записей, доступный только для чтения контроллер домена содержит все объекты и атрибуты Active Directory, которые содержит доступный для записи контроллер домена. Однако нельзя вносить изменения в базу данных, которая хранится на контроллере домена только для чтения. Изменения необходимо внести на доступный для записи контроллер домена, а затем реплицировать на контроллер домена только для чтения.
Контроллеры домена только для чтения решают некоторые проблемы, которые обычно встречаются в филиалах. В этих местах может не быть контроллера домена.Или у них может быть контроллер домена с возможностью записи, но нет физической безопасности, пропускной способности сети или местного опыта для его поддержки.
Для получения дополнительной информации см. Что такое контроллер домена только для чтения ?.
Группа корпоративных контроллеров домена только для чтения применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.
Эта группа безопасности не менялась с Windows Server 2008.
Атрибут | Значение |
---|---|
Известный SID / RID | S-1-5-21- <домен> -498 |
Тип | Универсальный |
Контейнер по умолчанию | CN = Пользователи, DC = <домен>, DC = |
Элементы по умолчанию | Нет |
Член по умолчанию | Нет |
Защищено ADMINSDHOLDER? | Есть |
Можно ли выйти из контейнера по умолчанию? | |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | |
Права пользователя по умолчанию | Нет |
Считыватели журнала событий
Члены этой группы могут читать журналы событий с локальных компьютеров.Группа создается, когда сервер повышается до контроллера домена.
Группа «Читатели журнала событий» применяется к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности по умолчанию Active Directory».
Эта группа безопасности не менялась с Windows Server 2008.
Атрибут | Значение |
---|---|
Известный SID / RID | С-1-5-32-573 |
Тип | Домен Локальный |
Контейнер по умолчанию | CN = Пользователи, DC = <домен>, DC = |
Элементы по умолчанию | Нет |
Член по умолчанию | Нет |
Защищено ADMINSDHOLDER? | № |
Можно ли выйти из контейнера по умолчанию? | Невозможно переместить |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | |
Права пользователя по умолчанию | Нет |
Владельцы-создатели групповой политики
Этой группе разрешено создавать, редактировать или удалять объекты групповой политики в домене.По умолчанию единственным членом группы является администратор.
Для получения информации о других функциях, которые вы можете использовать с этой группой безопасности, см. Обзор групповой политики.
Группа владельцев-создателей групповой политики применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.
Эта группа безопасности не менялась с Windows Server 2008.
Атрибут | Значение |
---|---|
Известный SID / RID | S-1-5-21- <домен> -520 |
Тип | Глобальный |
Контейнер по умолчанию | CN = Пользователи, DC = <домен>, DC = |
Элементы по умолчанию | Администратор |
Член по умолчанию | Запрещенная группа репликации паролей RODC |
Защищено ADMINSDHOLDER? | № |
Можно ли выйти из контейнера по умолчанию? | № |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | № |
Права пользователя по умолчанию | См. Группу репликации запрещенного пароля контроллера домена только для чтения |
Гости
Члены группы «Гости» по умолчанию имеют тот же доступ, что и члены группы «Пользователи», за исключением того, что учетная запись «Гость» имеет дополнительные ограничения.По умолчанию единственным участником является гостевая учетная запись. Группа «Гости» позволяет случайным или разовым пользователям входить с ограниченными правами во встроенную гостевую учетную запись компьютера.
Когда член группы «Гости» выходит из системы, весь профиль удаляется. Сюда входит все, что хранится в каталоге % userprofile% , включая информацию о кусте реестра пользователя, пользовательские значки на рабочем столе и другие пользовательские настройки. Это означает, что гость должен использовать временный профиль для входа в систему.Эта группа безопасности взаимодействует с параметром групповой политики Не входить в систему с временными профилями , когда он включен. Этот параметр находится по следующему пути:
Конфигурация компьютера \ Административные шаблоны \ Система \ Профили пользователей
Примечание
Учетная запись гостя является членом группы безопасности «Гости» по умолчанию. Люди, у которых нет реальной учетной записи в домене, могут использовать гостевую учетную запись. Пользователь, учетная запись которого отключена (но не удалена), также может использовать гостевую учетную запись.
Учетная запись гостя не требует пароля. Вы можете установить права и разрешения для гостевой учетной записи, как и для любой учетной записи пользователя. По умолчанию учетная запись гостя является членом встроенной группы «Гости» и глобальной группы «Гости домена», что позволяет пользователю входить в домен. Учетная запись гостя отключена по умолчанию, и мы рекомендуем оставить ее отключенной.
Группа «Гости» применяется к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности по умолчанию Active Directory».
Эта группа безопасности не менялась с Windows Server 2008.
Атрибут | Значение |
---|---|
Известный SID / RID | С-1-5-32-546 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN = встроенный, DC = <домен>, DC = |
Элементы по умолчанию | Домен Гости Гость |
Член по умолчанию | Нет |
Защищено ADMINSDHOLDER? | № |
Можно ли выйти из контейнера по умолчанию? | Невозможно переместить |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | № |
Права пользователя по умолчанию | Нет |
Администраторы Hyper-V
Члены группы администраторов Hyper-V имеют полный и неограниченный доступ ко всем функциям Hyper-V.Добавление участников в эту группу помогает уменьшить количество участников, необходимых в группе администраторов, и дополнительно разделяет доступ.
Примечание
До Windows Server 2012 доступ к функциям Hyper-V частично контролировался членством в группе администраторов.
Эта группа безопасности была введена в Windows Server 2012 и не изменилась в последующих версиях.
Атрибут | Значение |
---|---|
Известный SID / RID | С-1-5-32-578 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN = встроенный, DC = <домен>, DC = |
Элементы по умолчанию | Нет |
Член по умолчанию | Нет |
Защищено ADMINSDHOLDER? | № |
Можно ли выйти из контейнера по умолчанию? | Невозможно переместить |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | |
Права пользователя по умолчанию | Нет |
IIS_IUSRS
IIS_IUSRS — это встроенная группа, которая используется службами IIS, начиная с IIS 7.0. Операционная система гарантирует, что встроенная учетная запись и группа всегда имеют уникальный SID. IIS 7.0 заменяет учетную запись IUSR_MachineName и группу IIS_WPG на группу IIS_IUSRS, чтобы гарантировать, что фактические имена, используемые новой учетной записью и группой, никогда не будут локализованы. Например, независимо от языка устанавливаемой операционной системы Windows, имя учетной записи IIS всегда будет IUSR, а имя группы — IIS_IUSRS.
Дополнительные сведения см. В разделе Общие сведения о встроенных учетных записях пользователей и групп в IIS 7.
Эта группа безопасности не менялась с Windows Server 2008.
Атрибут | Значение |
---|---|
Известный SID / RID | С-1-5-32-568 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN = встроенный, DC = <домен>, DC = |
Элементы по умолчанию | ИУСР |
Член по умолчанию | Нет |
Защищено ADMINSDHOLDER? | № |
Можно ли выйти из контейнера по умолчанию? | |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | |
Права пользователя по умолчанию | Нет |
Построители входящего лесного траста
Члены группы Построители доверия входящего леса могут создавать входящие односторонние отношения доверия к этому лесу.Active Directory обеспечивает безопасность в нескольких доменах или лесах посредством доверительных отношений между доменами и лесами. Прежде чем аутентификация может происходить через доверительные отношения, Windows должна определить, имеет ли домен, запрашиваемый пользователем, компьютером или службой, доверительные отношения с доменом входа в систему запрашивающей учетной записи.
Чтобы сделать это определение, система безопасности Windows вычисляет доверительный путь между контроллером домена для сервера, который получает запрос, и контроллером домена в домене запрашивающей учетной записи.Защищенный канал распространяется на другие домены Active Directory через междоменные доверительные отношения. Этот защищенный канал используется для получения и проверки информации о безопасности, включая идентификаторы безопасности (SID) для пользователей и групп.
Примечание
Эта группа отображается как SID до тех пор, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (также известную как гибкие операции с одним хозяином или FSMO).
Для получения дополнительной информации см. Как работают доверительные отношения между доменами и лесами: доверительные отношения между доменами и лесами.
Группа построителей доверия входящих лесов применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.
Примечание
Эту группу нельзя переименовать, удалить или переместить.
Эта группа безопасности не менялась с Windows Server 2008.
Атрибут | Значение |
---|---|
Известный SID / RID | С-1-5-32-557 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN = встроенный, DC = <домен>, DC = |
Элементы по умолчанию | Нет |
Член по умолчанию | Нет |
Защищено ADMINSDHOLDER? | № |
Можно ли выйти из контейнера по умолчанию? | Невозможно переместить |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | № |
Права пользователя по умолчанию | Нет |
Ключевые администраторы
Члены этой группы могут выполнять административные действия над ключевыми объектами в домене.
Группа «Ключевые администраторы» применяется к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности Active Directory по умолчанию».
Атрибут | Значение |
---|---|
Известный SID / RID | S-1-5-21- <домен> -526 |
Тип | Глобальный |
Контейнер по умолчанию | CN = Пользователи, DC = <домен>, DC = |
Члены по умолчанию | Нет |
Член по умолчанию | Нет |
Защищено ADMINSDHOLDER? | Есть |
Можно ли выйти из контейнера по умолчанию? | Есть |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | Нет |
Права пользователя по умолчанию | Нет |
Операторы конфигурации сети
Члены группы операторов конфигурации сети могут иметь следующие административные привилегии для управления конфигурацией сетевых функций:
Измените свойства протокола управления передачей / Интернет-протокола (TCP / IP) для подключения к локальной сети (LAN), включая IP-адрес, маску подсети, шлюз по умолчанию и серверы имен.
Переименуйте подключения к локальной сети или подключения удаленного доступа, доступные всем пользователям.
Включение или отключение подключения к локальной сети.
Измените свойства всех подключений удаленного доступа пользователей.
Удалите все подключения удаленного доступа пользователей.
Переименовать все подключения удаленного доступа пользователей.
Проблема ipconfig , ipconfig / release или ipconfig / Renew команд.
Введите ключ разблокировки PIN-кода (PUK) для мобильных широкополосных устройств, поддерживающих SIM-карту.
Примечание
Эта группа отображается как SID до тех пор, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (также известную как гибкие операции с одним хозяином или FSMO).
Группа операторов настройки сети применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.
Примечание
Эту группу нельзя переименовать, удалить или переместить.
Эта группа безопасности не менялась с Windows Server 2008.
Атрибут | Значение |
---|---|
Известный SID / RID | С-1-5-32-556 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN = встроенный, DC = <домен>, DC = |
Элементы по умолчанию | Нет |
Член по умолчанию | Нет |
Защищено ADMINSDHOLDER? | № |
Можно ли выйти из контейнера по умолчанию? | Невозможно переместить |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | Есть |
Права пользователя по умолчанию | Нет |
Журнал производительности Пользователи
Члены группы «Пользователи журнала производительности» могут управлять счетчиками производительности, журналами и предупреждениями локально на сервере и с удаленных клиентов, не входя в группу «Администраторы».В частности, члены этой группы безопасности:
Может использовать все функции, доступные группе пользователей системного монитора.
Может создавать и изменять наборы сборщиков данных после того, как группе будет назначено право «Входить в качестве пакетного задания».
Предупреждение
Если вы являетесь членом группы «Пользователи журнала производительности», вы должны настроить наборы сборщиков данных, которые вы создаете, для работы под вашими учетными данными.
Невозможно использовать поставщик событий трассировки ядра Windows в наборах сборщиков данных.
Чтобы члены группы «Пользователи журнала производительности» могли инициировать регистрацию данных или изменять наборы сборщиков данных, группе сначала должно быть назначено право «Вход в систему как пакетное задание». Чтобы назначить это право пользователя, используйте оснастку «Локальная политика безопасности» в консоли управления Microsoft.
Примечание
Эта группа отображается как SID до тех пор, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (также известную как гибкие операции с одним хозяином или FSMO).
Группа «Пользователи журнала производительности» относится к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности по умолчанию» Active Directory.
Примечание
Эту учетную запись нельзя переименовать, удалить или переместить.
Эта группа безопасности не менялась с Windows Server 2008.
Атрибут | Значение |
---|---|
Известный SID / RID | С-1-5-32-559 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN = встроенный, DC = <домен>, DC = |
Элементы по умолчанию | Нет |
Член по умолчанию | Нет |
Защищено ADMINSDHOLDER? | № |
Можно ли выйти из контейнера по умолчанию? | Невозможно переместить |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | Есть |
Права пользователя по умолчанию | Войдите в систему как пакетное задание: SeBatchLogonRight |
Пользователи системного монитора
Члены этой группы могут отслеживать счетчики производительности на контроллерах домена в домене, локально и с удаленных клиентов, не являясь членами групп «Администраторы» или «Пользователи журнала производительности».Монитор производительности Windows — это оснастка консоли управления Microsoft (MMC), которая предоставляет инструменты для анализа производительности системы. С единой консоли вы можете отслеживать производительность приложений и оборудования, настраивать данные, которые нужно собирать в журналах, определять пороговые значения для предупреждений и автоматических действий, создавать отчеты и просматривать прошлые данные о производительности различными способами.
В частности, члены этой группы безопасности:
Может использовать все функции, доступные группе «Пользователи».
Может просматривать данные о производительности в реальном времени в системном мониторе.
Может изменять свойства отображения монитора производительности во время просмотра данных.
Невозможно создать или изменить группы сборщиков данных.
Предупреждение
Вы не можете настроить набор сборщиков данных для работы в качестве члена группы пользователей системного монитора.
Примечание
Эта группа отображается как SID до тех пор, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (также известную как гибкие операции с одним хозяином или FSMO).Эту группу нельзя переименовать, удалить или переместить.
Группа «Пользователи монитора производительности» применяется к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности по умолчанию» Active Directory.
Эта группа безопасности не менялась с Windows Server 2008.
Атрибут | Значение |
---|---|
Известный SID / RID | С-1-5-32-558 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN = встроенный, DC = <домен>, DC = |
Элементы по умолчанию | Нет |
Член по умолчанию | Нет |
Защищено ADMINSDHOLDER? | № |
Можно ли выйти из контейнера по умолчанию? | Невозможно переместить |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | Есть |
Права пользователя по умолчанию | Нет |
Доступ для пред-Windows 2000
Члены группы Pre – Windows 2000 Compatible Access имеют доступ на чтение для всех пользователей и групп в домене.Эта группа предназначена для обратной совместимости для компьютеров под управлением Windows NT 4.0 и более ранних версий. По умолчанию специальная группа удостоверений «Все» является членом этой группы. Добавляйте пользователей в эту группу, только если они работают под Windows NT 4.0 или более ранней версии.
Предупреждение
Эта группа отображается как SID до тех пор, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (также известную как гибкие операции с одним хозяином или FSMO).
Группа пред-Windows 2000 Compatible Access применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.
Эта группа безопасности не менялась с Windows Server 2008.
Атрибут | Значение |
---|---|
Известный SID / RID | С-1-5-32-554 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN = встроенный, DC = <домен>, DC = |
Элементы по умолчанию | Если вы выберете режим разрешений, совместимых с пред-Windows 2000, все и анонимные будут участниками, а если вы выберете режим разрешений только для Windows 2000, аутентифицированные пользователи станут членами. |
Член по умолчанию | Нет |
Защищено ADMINSDHOLDER? | № |
Можно ли выйти из контейнера по умолчанию? | Невозможно переместить |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | № |
Права пользователя по умолчанию | Доступ к этому компьютеру из сети: SeNetworkLogonRight Обход поперечной проверки: SeChangeNotifyPrivilege |
Операторы печати
Члены этой группы могут управлять, создавать, совместно использовать и удалять принтеры, подключенные к контроллерам домена в домене.Они также могут управлять объектами принтеров Active Directory в домене. Члены этой группы могут локально входить в систему и выключать контроллеры домена в домене.
В этой группе нет участников по умолчанию. Поскольку члены этой группы могут загружать и выгружать драйверы устройств на всех контроллерах домена в домене, добавляйте пользователей с осторожностью. Эту группу нельзя переименовать, удалить или переместить.
Группа «Операторы печати» применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.
Эта группа безопасности не менялась со времен Windows Server 2008. Однако в Windows Server 2008 R2 были добавлены функции для управления администрированием печати. Дополнительные сведения см. В разделе Назначение администратора делегированной печати и параметров разрешений принтера в Windows Server 2012.
Атрибут | Значение |
---|---|
Известный SID / RID | С-1-5-32-550 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN = встроенный, DC = <домен>, DC = |
Элементы по умолчанию | Нет |
Член по умолчанию | Нет |
Защищено ADMINSDHOLDER? | Есть |
Можно ли выйти из контейнера по умолчанию? | Невозможно переместить |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | № |
Права пользователя по умолчанию | Разрешить локальный вход: SeInteractiveLogonRight Загрузка и выгрузка драйверов устройств: SeLoadDriverPrivilege Выключите систему: SeShutdownPrivilege |
Защищенные пользователи
Членам группы «Защищенные пользователи» предоставляется дополнительная защита от компрометации учетных данных во время процессов аутентификации.
Эта группа безопасности разработана как часть стратегии эффективной защиты учетных данных и управления ими на предприятии. К учетным записям членов этой группы автоматически применяется ненастраиваемая защита. Членство в группе «Защищенные пользователи» по умолчанию должно быть ограничительным и проактивно защищенным. Единственный способ изменить защиту учетной записи — удалить ее из группы безопасности.
Эта глобальная группа, относящаяся к домену, запускает ненастраиваемую защиту на устройствах и хост-компьютерах, начиная с Windows Server 2012 R2 и Windows 8.1 операционные системы. Он также запускает ненастраиваемую защиту на контроллерах домена в доменах с основным контроллером домена под управлением Windows Server 2012 R2 или Windows Server 2016. Это значительно сокращает объем памяти, занимаемый учетными данными, когда пользователи входят в компьютеры в сети с компьютера, который не был взломан. .
В зависимости от функционального уровня домена учетной записи члены группы «Защищенные пользователи» дополнительно защищены благодаря изменениям поведения в методах проверки подлинности, поддерживаемых в Windows.
Члены группы «Защищенные пользователи» не могут пройти проверку подлинности с помощью следующих поставщиков поддержки безопасности (SSP): NTLM, дайджест-проверка подлинности или CredSSP. Пароли не кэшируются на устройстве под управлением Windows 8.1 или Windows 10, поэтому устройству не удается пройти аутентификацию в домене, если учетная запись является членом группы защищенных пользователей.
Протокол Kerberos не будет использовать более слабые типы шифрования DES или RC4 в процессе предварительной аутентификации. Это означает, что домен должен быть настроен для поддержки хотя бы набора шифров AES.
Учетная запись пользователя не может быть делегирована с ограниченным или неограниченным делегированием Kerberos. Это означает, что прежние подключения к другим системам могут завершиться ошибкой, если пользователь является членом группы «Защищенные пользователи».
Срок службы билетов выдачи билетов Kerberos (TGT) по умолчанию, равный четырем часам, можно настроить с помощью политик проверки подлинности и разрозненных хранилищ, к которым можно получить доступ через Центр администрирования Active Directory. Это означает, что по прошествии четырех часов пользователь должен снова пройти аутентификацию.
Группа «Защищенные пользователи» применяется к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности Active Directory по умолчанию».
Эта группа появилась в Windows Server 2012 R2. Дополнительные сведения о том, как работает эта группа, см. В разделе «Группа безопасности защищенных пользователей».
В следующей таблице указаны свойства группы «Защищенные пользователи».
Атрибут | Значение |
---|---|
Известный SID / RID | S-1-5-21- <домен> -525 |
Тип | Глобальный |
Контейнер по умолчанию | CN = Пользователи, DC = <домен>, DC = |
Элементы по умолчанию | Нет |
Член по умолчанию | Нет |
Защищено ADMINSDHOLDER? | № |
Можно ли выйти из контейнера по умолчанию? | Есть |
Можно ли делегировать управление этой группой администраторам, не связанным с обслуживанием? | № |
Права пользователя по умолчанию | Нет |
Серверы RAS и IAS
Компьютеры, входящие в группу серверов RAS и IAS, при правильной настройке могут использовать службы удаленного доступа.По умолчанию в этой группе нет участников. Компьютеры, на которых запущена служба маршрутизации и удаленного доступа, добавляются в группу автоматически, например, серверы IAS и серверы политики сети. Члены этой группы имеют доступ к определенным свойствам объектов «Пользователь», таким как «Чтение ограничений учетной записи», «Чтение информации для входа в систему» и «Чтение информации об удаленном доступе».
Группа серверов RAS и IAS применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.
Эта группа безопасности не менялась с Windows Server 2008.
Атрибут | Значение |
---|---|
Известный SID / RID | S-1-5-21- <домен> -553 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN = Пользователи, DC = <домен>, DC = |
Элементы по умолчанию | Нет |
Член по умолчанию | Нет |
Защищено ADMINSDHOLDER? | № |
Можно ли выйти из контейнера по умолчанию? | Есть |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | Есть |
Права пользователя по умолчанию | Нет |
Конечные серверы RDS
Серверы, входящие в группу серверов конечных точек RDS, могут запускать виртуальные машины и сеансы хоста, на которых выполняются пользовательские программы RemoteApp и личные виртуальные рабочие столы.Эта группа должна быть заполнена на серверах, на которых запущен посредник подключений к удаленному рабочему столу. Серверы узла сеанса и серверы узла виртуализации удаленных рабочих столов, используемые в развертывании, должны быть в этой группе.
Дополнительные сведения о службах удаленных рабочих столов см. В разделе Размещение рабочих столов и приложений в службах удаленных рабочих столов.
Эта группа безопасности была введена в Windows Server 2012 и не изменилась в последующих версиях.
Атрибут | Значение |
---|---|
Известный SID / RID | С-1-5-32-576 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN = встроенный, DC = <домен>, DC = |
Элементы по умолчанию | Нет |
Член по умолчанию | Нет |
Защищено ADMINSDHOLDER? | № |
Можно ли выйти из контейнера по умолчанию? | Невозможно переместить |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | |
Права пользователя по умолчанию | Нет |
Серверы управления RDS
Серверы, входящие в группу серверов управления RDS, могут использоваться для выполнения рутинных административных действий на серверах, на которых запущены службы удаленных рабочих столов.Эта группа должна быть заполнена на всех серверах в развертывании служб удаленных рабочих столов. Серверы, на которых запущена служба центрального управления RDS, должны быть включены в эту группу.
Эта группа безопасности была введена в Windows Server 2012 и не изменилась в последующих версиях.
Атрибут | Значение |
---|---|
Известный SID / RID | С-1-5-32-577 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN = встроенный, DC = <домен>, DC = |
Элементы по умолчанию | Нет |
Член по умолчанию | Нет |
Защищено ADMINSDHOLDER? | № |
Можно ли выйти из контейнера по умолчанию? | Невозможно переместить |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | |
Права пользователя по умолчанию | Нет |
Серверы удаленного доступа RDS
Серверы в группе серверов удаленного доступа RDS предоставляют пользователям доступ к программам RemoteApp и персональным виртуальным рабочим столам.При развертывании с выходом в Интернет эти серверы обычно развертываются в пограничной сети. Эта группа должна быть заполнена на серверах, на которых запущен посредник подключений к удаленному рабочему столу. Серверы шлюза удаленных рабочих столов и серверы веб-доступа к удаленным рабочим столам, которые используются при развертывании, должны быть в этой группе.
Дополнительные сведения см. В разделе Размещение рабочих столов и приложений в службах удаленных рабочих столов.
Эта группа безопасности была введена в Windows Server 2012 и не изменилась в последующих версиях.
Атрибут | Значение |
---|---|
Известный SID / RID | С-1-5-32-575 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN = встроенный, DC = <домен>, DC = |
Элементы по умолчанию | Нет |
Член по умолчанию | Нет |
Защищено ADMINSDHOLDER? | № |
Можно ли выйти из контейнера по умолчанию? | Невозможно переместить |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | |
Права пользователя по умолчанию | Нет |
Контроллеры домена только для чтения
Эта группа состоит из контроллеров домена только для чтения в домене.Контроллер домена только для чтения позволяет организациям легко развертывать контроллер домена в сценариях, где физическая безопасность не может быть гарантирована, например в филиалах, или в сценариях, где локальное хранилище всех паролей домена считается основной угрозой, например в экстрасети или в роли, связанной с приложениями.
Поскольку администрирование контроллера домена только для чтения может быть делегировано пользователю домена или группе безопасности, контроллер домена только для чтения хорошо подходит для сайта, на котором не должен быть пользователь, являющийся членом группы администраторов домена.Контроллер домена только для чтения включает следующие функции:
База данных AD DS только для чтения
Однонаправленная репликация
Кэширование учетных данных
Разделение ролей администратора
Система доменных имен (DNS) только для чтения
Сведения о развертывании контроллера домена только для чтения см. В разделе Общие сведения о планировании и развертывании контроллеров домена только для чтения.
Эта группа безопасности была введена в Windows Server 2008 и не изменилась в последующих версиях.
Атрибут | Значение |
---|---|
Известный SID / RID | S-1-5-21- <домен> -521 |
Тип | Глобальный |
Контейнер по умолчанию | CN = Пользователи, DC = <домен>, DC = |
Элементы по умолчанию | Нет |
Член по умолчанию | Запрещенная группа репликации паролей RODC |
Защищено ADMINSDHOLDER? | Есть |
Можно ли выйти из контейнера по умолчанию? | Есть |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | |
Права пользователя по умолчанию | См. Группу репликации запрещенного пароля контроллера домена только для чтения |
Пользователи удаленного рабочего стола
Группа «Пользователи удаленного рабочего стола» на сервере узла сеансов удаленных рабочих столов используется для предоставления пользователям и группам разрешений на удаленное подключение к серверу узла сеансов удаленных рабочих столов.Эту группу нельзя переименовать, удалить или переместить. Он отображается как SID до тех пор, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (также известную как гибкие операции с одним хозяином или FSMO).
Группа «Пользователи удаленного рабочего стола» применяется к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности по умолчанию Active Directory».
Эта группа безопасности не менялась с Windows Server 2008.
Атрибут | Значение |
---|---|
Известный SID / RID | С-1-5-32-555 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN = встроенный, DC = <домен>, DC = |
Элементы по умолчанию | Нет |
Член по умолчанию | Нет |
Защищено ADMINSDHOLDER? | № |
Можно ли выйти из контейнера по умолчанию? | Невозможно переместить |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | Есть |
Права пользователя по умолчанию | Нет |
Пользователи удаленного управления
Члены группы «Пользователи удаленного управления» могут получать доступ к ресурсам WMI через протоколы управления (например, WS-Management через службу удаленного управления Windows).Это применимо только к пространствам имен WMI, которые предоставляют доступ пользователю.
Группа «Пользователи удаленного управления» обычно используется, чтобы позволить пользователям управлять серверами через консоль диспетчера серверов, тогда как группа WinRMRemoteWMIUsers_ позволяет удаленно запускать команды Windows PowerShell.
Для получения дополнительной информации см. Что нового в MI? и о WMI.
Эта группа безопасности была введена в Windows Server 2012 и не изменилась в последующих версиях.
Атрибут | Значение |
---|---|
Известный SID / RID | С-1-5-32-580 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN = встроенный, DC = <домен>, DC = |
Элементы по умолчанию | Нет |
Член по умолчанию | Нет |
Защищено ADMINSDHOLDER? | № |
Можно ли выйти из контейнера по умолчанию? | Невозможно переместить |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | |
Права пользователя по умолчанию | Нет |
Репликатор
Компьютеры, входящие в группу репликатора, поддерживают репликацию файлов в домене.Операционные системы Windows Server используют службу репликации файлов (FRS) для репликации системных политик и сценариев входа в систему, хранящихся в системном томе (SYSVOL). Каждый контроллер домена хранит копию SYSVOL для доступа сетевых клиентов. FRS также может реплицировать данные для распределенной файловой системы (DFS), синхронизируя содержимое каждого члена в наборе реплик, как определено DFS. FRS может копировать и поддерживать общие файлы и папки одновременно на нескольких серверах. Когда происходят изменения, контент синхронизируется немедленно внутри сайтов и по расписанию между сайтами.
Предупреждение
В Windows Server 2008 R2 FRS нельзя использовать для репликации папок DFS или пользовательских (не SYSVOL) данных. Контроллер домена Windows Server 2008 R2 по-прежнему может использовать FRS для репликации содержимого общего ресурса SYSVOL в домене, который использует FRS для репликации общего ресурса SYSVOL между контроллерами домена.
Однако серверы Windows Server 2008 R2 не могут использовать FRS для репликации содержимого любого набора реплик, кроме общего ресурса SYSVOL.Служба репликации DFS является заменой FRS и может использоваться для репликации содержимого общего ресурса SYSVOL, папок DFS и других настраиваемых (не SYSVOL) данных. Вам следует перенести все наборы реплик FRS, не относящиеся к SYSVOL, в репликацию DFS. Для получения дополнительной информации см .:
Эта группа безопасности не менялась с Windows Server 2008.
Атрибут | Значение |
---|---|
Известный SID / RID | С-1-5-32-552 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN = встроенный, DC = <домен>, DC = |
Элементы по умолчанию | Нет |
Член по умолчанию | Нет |
Защищено ADMINSDHOLDER? | Есть |
Можно ли выйти из контейнера по умолчанию? | Невозможно переместить |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | |
Права пользователя по умолчанию | Нет |
Администраторы схемы
Члены группы «Администраторы схемы» могут изменять схему Active Directory.Эта группа существует только в корневом домене леса доменов Active Directory. Это универсальная группа, если домен находится в основном режиме; это глобальная группа, если домен находится в смешанном режиме.
Группе разрешено вносить изменения в схему в Active Directory. По умолчанию единственным членом группы является учетная запись администратора корневого домена леса. Эта группа имеет полный административный доступ к схеме.
Членство в этой группе может быть изменено любой из групп администраторов служб в корневом домене.Это считается учетной записью администратора службы, поскольку ее участники могут изменять схему, которая управляет структурой и содержимым всего каталога.
Для получения дополнительной информации см. Что такое схема Active Directory ?: Active Directory.
Группа «Администраторы схемы» применяется к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности Active Directory по умолчанию».
Эта группа безопасности не менялась с Windows Server 2008.
Атрибут | Значение |
---|---|
Известный SID / RID | S-1-5-21- <корневой домен> -518 |
Тип | Универсальный (если домен находится в основном режиме) иначе Глобальный |
Контейнер по умолчанию | CN = Пользователи, DC = <домен>, DC = |
Элементы по умолчанию | Администратор |
Член по умолчанию | Запрещенная группа репликации паролей RODC |
Защищено ADMINSDHOLDER? | Есть |
Можно ли выйти из контейнера по умолчанию? | Есть |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | № |
Права пользователя по умолчанию | См. Группу репликации запрещенного пароля контроллера домена только для чтения |
Операторы сервера
Члены группы «Операторы сервера» могут администрировать контроллеры домена.Эта группа существует только на контроллерах домена. По умолчанию в группе нет участников. Члены группы «Операторы сервера» могут интерактивно входить на сервер, создавать и удалять общие сетевые ресурсы, запускать и останавливать службы, создавать резервные копии и восстанавливать файлы, форматировать жесткий диск компьютера и выключать компьютер. Эту группу нельзя переименовать, удалить или переместить.
По умолчанию у этой встроенной группы нет участников, и у нее есть доступ к параметрам конфигурации сервера на контроллерах домена.Его членство контролируется группами администраторов служб «Администраторы» и «Администраторы домена» в домене и группой «Администраторы предприятия» в корневом домене леса. Члены этой группы не могут изменять членство в административных группах. Это считается учетной записью администратора службы, потому что ее участники имеют физический доступ к контроллерам домена, они могут выполнять задачи обслуживания (например, резервное копирование и восстановление) и имеют возможность изменять двоичные файлы, установленные на контроллерах домена.Обратите внимание на права пользователя по умолчанию в следующей таблице.
Группа «Операторы сервера» применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.
Эта группа безопасности не менялась с Windows Server 2008.
Администраторы реплики хранилища
Члены этой группы имеют полный и неограниченный доступ ко всем функциям Storage Replica.
Группа администраторов реплики хранилища применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.
Атрибут | Значение |
---|---|
Известный SID / RID | С-1-5-32-582 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN = встроенный, DC = <домен>, DC = |
Члены по умолчанию | Нет |
Член по умолчанию | Нет |
Защищено ADMINSDHOLDER? | Нет |
Можно ли выйти из контейнера по умолчанию? | Есть |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | Нет |
Права пользователя по умолчанию | Нет |
Группа управляемых счетов системы
Членами этой группы управляет система.
Группа «Управляемые системой учетные записи» применяется к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности Active Directory по умолчанию».
Атрибут | Значение |
---|---|
Известный SID / RID | С-1-5-32-581 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN = встроенный, DC = <домен>, DC = |
Члены по умолчанию | Пользователи |
Член по умолчанию | Нет |
Защищено ADMINSDHOLDER? | Нет |
Можно ли выйти из контейнера по умолчанию? | Есть |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | Нет |
Права пользователя по умолчанию | Нет |
Серверы лицензий сервера терминалов
Члены группы серверов лицензий сервера терминалов могут обновлять учетные записи пользователей в Active Directory информацией о выдаче лицензий.Это используется для отслеживания и составления отчетов об использовании клиентских лицензий TS на пользователя. Клиентская лицензия TS на пользователя дает одному пользователю право доступа к серверу терминалов с неограниченного числа клиентских компьютеров или устройств. Эта группа отображается как SID, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (также известную как гибкие операции с одним хозяином или FSMO).
Дополнительные сведения об этой группе безопасности см. В разделе Настройка группы безопасности сервера лицензий служб терминалов.
Группа серверов лицензий сервера терминалов применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.
Примечание
Эту группу нельзя переименовать, удалить или переместить.
Эта группа безопасности применяется только к Windows Server 2003 и Windows Server 2008, поскольку службы терминалов были заменены службами удаленных рабочих столов в Windows Server 2008 R2.
Атрибут | Значение |
---|---|
Известный SID / RID | С-1-5-32-561 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN = встроенный, DC = <домен>, DC = |
Элементы по умолчанию | Нет |
Член по умолчанию | Нет |
Можно ли выйти из контейнера по умолчанию? | Невозможно переместить |
Защищено ADMINSDHOLDER? | № |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | Есть |
Права пользователя по умолчанию | Нет |
Пользователи
Членам группы «Пользователи» запрещено вносить случайные или преднамеренные изменения в масштабе всей системы, и они могут запускать большинство приложений.После первоначальной установки операционной системы единственным членом является группа «Прошедшие проверку». Когда компьютер присоединяется к домену, группа «Пользователи домена» добавляется к группе «Пользователи» на компьютере.
Пользователи могут выполнять такие задачи, как запуск приложений, использование локальных и сетевых принтеров, выключение компьютера и блокировка компьютера. Пользователи могут устанавливать приложения, которые разрешено использовать только им, если программа установки приложения поддерживает установку для каждого пользователя.Эту группу нельзя переименовать, удалить или переместить.
Группа «Пользователи» применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.
Эта группа безопасности включает следующие изменения по сравнению с Windows Server 2008:
В Windows Server 2008 R2 ИНТЕРАКТИВНЫЙ был добавлен в список участников по умолчанию.
В Windows Server 2012 список Член из по умолчанию изменен с «Пользователи домена» на «Нет».
Атрибут | Значение |
---|---|
Известный SID / RID | С-1-5-32-545 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN = встроенный, DC = <домен>, DC = |
Элементы по умолчанию | Прошедшие аутентификацию пользователи Пользователи домена ИНТЕРАКТИВНЫЙ |
Член по умолчанию | Нет |
Защищено ADMINSDHOLDER? | № |
Можно ли выйти из контейнера по умолчанию? | Невозможно переместить |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | № |
Права пользователя по умолчанию | Нет |
Группа авторизации доступа Windows
Члены этой группы имеют доступ к вычисляемому токену атрибута GroupsGlobalAndUniversal на объектах «Пользователь».Некоторые приложения имеют функции, которые считывают атрибут token-groups-global-and-universal (TGGAU) в объектах учетных записей пользователей или в объектах учетных записей компьютеров в доменных службах Active Directory. Некоторые функции Win32 упрощают чтение атрибута TGGAU. Приложения, которые читают этот атрибут или вызывают API (называемый функцией), который считывает этот атрибут, не завершаются успешно, если вызывающий контекст безопасности не имеет доступа к атрибуту. Эта группа отображается как SID, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (также известную как гибкие операции с одним хозяином или FSMO).
Группа доступа для авторизации Windows применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.
Примечание
Эту группу нельзя переименовать, удалить или переместить.
Эта группа безопасности не менялась с Windows Server 2008.
Атрибут | Значение |
---|---|
Известный SID / RID | С-1-5-32-560 |
Тип | Встроенный локальный |
Контейнер по умолчанию | CN = встроенный, DC = <домен>, DC = |
Элементы по умолчанию | Контроллеры домена предприятия |
Член по умолчанию | Нет |
Защищено ADMINSDHOLDER? | № |
Можно ли выйти из контейнера по умолчанию? | Невозможно переместить |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | Есть |
Права пользователя по умолчанию | Нет |
WinRMRemoteWMIUsers_
В Windows 8 и Windows Server 2012 вкладка Share была добавлена в пользовательский интерфейс дополнительных параметров безопасности.На этой вкладке отображаются свойства безопасности удаленного файлового ресурса. Для просмотра этой информации у вас должны быть следующие разрешения и членство в зависимости от версии Windows Server, на которой работает файловый сервер.
Группа WinRMRemoteWMIUsers_ применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.
Если общий файловый ресурс размещен на сервере, на котором работает поддерживаемая версия операционной системы:
Если общий файловый ресурс размещен на сервере под управлением версии Windows Server более ранней, чем Windows Server 2012:
В Windows Server 2012 функция помощи при отказе в доступе добавляет группу «Прошедшие проверку» в локальную группу WinRMRemoteWMIUsers__.Таким образом, когда функция помощи при отказе в доступе включена, все прошедшие проверку подлинности пользователи, имеющие разрешения на чтение для общего файлового ресурса, могут просматривать разрешения для общего файлового ресурса.
Примечание
Группа WinRMRemoteWMIUsers_ позволяет запускать команды Windows PowerShell удаленно, тогда как группа «Пользователи удаленного управления» обычно используется, чтобы позволить пользователям управлять серверами с помощью консоли диспетчера серверов.
Эта группа безопасности была введена в Windows Server 2012 и не изменилась в последующих версиях.
Атрибут | Значение |
---|---|
Известный SID / RID | S-1-5-21- <домен> -1000 |
Тип | Домен локальный |
Контейнер по умолчанию | CN = Пользователи, DC = <домен>, DC = |
Элементы по умолчанию | Нет |
Член по умолчанию | Нет |
Защищено ADMINSDHOLDER? | № |
Можно ли выйти из контейнера по умолчанию? | Есть |
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами? | |
Права пользователя по умолчанию | Нет |
См. Также
auto_groups | Карта групп правил группы безопасности, используемых для создания модулей (см. Update_groups.ш) | карта (карта (список (строка))) | { | № | правил | Карта известных правил группы безопасности (определите как ‘name’ = [‘from port’, ‘to port’, ‘protocol’, ‘description’]) | карта (список (любой)) | { | № |
Группы безопасности AWS и NACL
Во второй части серии блогов по безопасности облачной сети мы обсудим два метода защиты вашей сети в Amazon Web Services: группы безопасности и списки управления доступом к сети (NACL).Оба типа ресурсов действуют как виртуальный брандмауэр для защиты вашей сети, и у них есть некоторые сходства. Например, группы безопасности и NACL используют наборы правил для входящего и исходящего трафика для управления трафиком к ресурсам и от них в VPC.
Однако группы безопасности и NACL работают на разных уровнях в VPC, имеют немного разные правила по умолчанию и не обрабатывают ответный трафик одинаково.
Итак, какой способ защиты вашей сети лучше всего — группы безопасности или NACL?
На самом деле лучшим решением является реализация обоих типов ресурсов для блокировки вашей сети.Глубокая защита — это все об уровнях безопасности; группы безопасности и NACL — это два уровня, которые дополняют друг друга.
Но мы вернемся к этому через минуту. Во-первых, давайте быстро рассмотрим основы. Начнем с групп безопасности.
Что такое группа безопасности AWS?
В AWS группа безопасности контролирует трафик к или от экземпляра EC2 в соответствии с набором правил для входящего и исходящего трафика. Это означает, что он представляет безопасность на уровне экземпляра.Например, правило для входящего трафика может разрешать трафик с одного IP-адреса для доступа к экземпляру, а правило для исходящего трафика может разрешать весь трафик покидать экземпляр.
Поскольку группы безопасности работают на уровне экземпляра VPC, каждая группа безопасности может применяться к одному или нескольким экземплярам, даже в подсетях. И каждый экземпляр должен быть связан с одной или несколькими группами безопасности. Если быть точным, группа безопасности связана с сетевым интерфейсом, подключенным к экземпляру, но мы не обсуждаем эту деталь для простоты.
При создании VPC AWS автоматически создает для него группу безопасности по умолчанию. Вы можете добавлять и удалять правила из группы безопасности по умолчанию, но вы не можете удалить саму группу безопасности.
Теперь давайте посмотрим на NACL.
Что такое AWS NACL?
В AWS сетевой ACL (или NACL) контролирует трафик в или из подсети в соответствии с набором правил для входящего и исходящего трафика. Это означает, что он представляет собой безопасность сетевого уровня.Например, правило для входящего трафика может запрещать входящий трафик с диапазона IP-адресов, а правило для исходящего трафика может разрешать весь трафик покидать подсеть.
Поскольку NACL функционируют на уровне подсети VPC, каждый NACL может применяться к одной или нескольким подсетям, но каждая подсеть должна быть связана с одним — и только одним — NACL.
При создании VPC AWS автоматически создает для него NACL по умолчанию. Вы можете добавлять и удалять правила из NACL по умолчанию, но вы не можете удалить сам NACL.
В чем разница?
Вы, безусловно, можете защитить свой VPC с помощью только групп безопасности. Поскольку для экземпляров требуются группы безопасности, вы все равно будете их использовать, так что вы также можете настроить их в соответствии со своими потребностями. А поскольку у групп безопасности и NACL так много общего, вы можете добиться одинаковых результатов с обоими. Но для практики глубокой защиты лучшим решением является использование обоих типов ресурсов в качестве виртуальных межсетевых экранов. Если вы правильно настроите их правила, они образуют очень эффективную комбинацию для фильтрации трафика к вашим экземплярам и от них.
Теперь, когда мы установили основы, давайте углубимся в то, что отличает группы безопасности и NACL, и, что более важно, как они работают вместе. Мы сосредоточимся на следующих ключевых областях:
- Как воспользоваться «порядком операций»
- Как они применяются к экземплярам
- Все, что вы хотели знать о правилах, но боялись спросить
- Как обрабатывается состояние
- Разделение обязанностей
Воспользовавшись «порядком операций»
Когда трафик входит в вашу сеть, он фильтруется с помощью NACL , до он фильтруется по группам безопасности.
Это означает, что трафик, разрешенный NACL, может быть разрешен или запрещен группой безопасности, а трафик, остановленный NACL, никогда не продвигается дальше.
Учитывая этот «порядок операций» при обработке входящего трафика, вот два примера реализации NACL и групп безопасности в тандеме:
Используйте детальные правила с NACL и позвольте группам безопасности управлять подключениями между VPC.
Например, если вы настраиваете NACL с детализированными правилами для управления входящим и исходящим трафиком, NACL могут взять на себя основную тяжесть работы по фильтрации трафика.Вы можете настроить NACL, чтобы разрешить входящий трафик HTTP и HTTPS с любого IP-адреса, запретить весь другой входящий трафик и разрешить весь исходящий трафик. В качестве другого примера вы можете разрешить входящий SSH-доступ (порт 22) с одного IP-адреса — вашего — и разрешить исходящий доступ через любой порт к тому же IP-адресу.
Между тем, вы можете настроить группу безопасности, чтобы разрешить входящий трафик от самой себя, обеспечивая связь между ресурсами. Или вы можете настроить группу безопасности, чтобы разрешать входящий и исходящий трафик из другой группы безопасности, что позволяет экземплярам в разных подсетях взаимодействовать друг с другом.
Устранение целых классов трафика с помощью NACL и использование детализированных правил с группами безопасности.
В этом сценарии вы можете настроить NACL для запрета всего трафика от широкого диапазона IP-адресов к определенному протоколу и порту и разрешить остальным переходить к группе безопасности, которая может быть настроена для оценки входящего и исходящего трафика на более детальный уровень. NACL использует грубый подход к контролю трафика, оставляя группу безопасности фильтровать остальное через зубчатую гребенку.
Приложение к инстансам AWS EC2
Как мы упоминали ранее, группы безопасности работают на уровне экземпляра, тогда как NACL работают на уровне подсети.
Группы безопасности — это форма защиты , требуемая для экземпляров, потому что экземпляр должен быть связан хотя бы с одной группой безопасности. Вы не можете запустить экземпляр без него, и вы не можете удалить единственную оставшуюся группу безопасности из существующего экземпляра.
Однако конкретная группа безопасности применяется к экземпляру только в том случае, если пользователь намеренно связывает ее с экземпляром, либо во время запуска, либо после того, как экземпляр был создан.
NACL, с другой стороны, автоматически применяется ко всем экземплярам в подсети, с которой он связан. Это повышает безопасность при использовании вместе с группами безопасности. Например, если пользователь случайно связывает экземпляр с чрезмерно разрешающей группой безопасности, экземпляр все равно может быть защищен NACL.
NACL считаются необязательной формой защиты , например. Подсеть должна иметь NACL, но по умолчанию NACL настроен так, чтобы разрешать весь входящий и исходящий трафик.Напротив, группы безопасности по умолчанию заблокированы.
Говоря о правилах, давайте рассмотрим, как они работают как для групп безопасности, так и для NACL.
Входящие и исходящие правила
Как оцениваются правила
И группы безопасности, и NACL имеют правила для входящего и исходящего трафика. Однако AWS оценивает все правила для всех групп безопасности, связанных с экземпляром, прежде чем принять решение, разрешить входящий или исходящий трафик. Применяется наиболее разрешающее правило, поэтому помните, что ваш экземпляр защищен ровно настолько, насколько надежно ваше самое слабое правило.
Напротив, AWS обрабатывает правила NACL по одному. У каждого правила NACL есть номер, и AWS начинается с правила с наименьшим номером. Если трафик соответствует правилу, правило применяется, и никакие другие правила не оцениваются. Если трафик не соответствует правилу, AWS переходит к оценке следующего правила подряд.
Разрешить или запретить правила
Правила группы безопасности являются неявным запретом, что означает, что запрещается весь трафик, если это явно не разрешено входящим или исходящим правилом.Вы можете только добавлять или удалять «разрешающие» правила — вы не можете добавлять или удалять «запрещающие» правила, и в этом нет необходимости.
С другой стороны, с NACL вы можете добавлять или удалять «разрешающие» правила и «запрещать». Правило для входящего или исходящего трафика может явно разрешать или запрещать соответствующий трафик.
Группы безопасности по умолчанию, NACL по умолчанию
При создании VPC AWS автоматически создает группу безопасности по умолчанию и NACL по умолчанию для вас.
Вы также можете создавать собственные (нестандартные) группы безопасности и NACL по своему усмотрению.
Правила по умолчанию
Все группы безопасности и NACL — как стандартные, так и настраиваемые — поставляются с набором правил по умолчанию .
Этот набор правил по умолчанию различается в зависимости от того, применяется ли он к группе безопасности по умолчанию, настраиваемой группе безопасности или NACL. Давайте посмотрим на разницу.
Группы безопасности по умолчанию: Группа безопасности, созданная AWS по умолчанию, имеет одно правило для входящего трафика по умолчанию , разрешающее трафик от других экземпляров, связанных с той же группой безопасности.Правило позволяет экземплярам общаться друг с другом без необходимости выходить в Интернет.
Группы безопасности по умолчанию, как и все группы безопасности, имеют одно правило для исходящего трафика по умолчанию , разрешающее весь исходящий трафик.
Настраиваемые группы безопасности: Когда вы создаете настраиваемую группу безопасности (не по умолчанию), она не имеет правил для входящих входящих событий по умолчанию.
Группы безопасности, созданные пользователями, как и все группы безопасности, имеют одно правило исходящего трафика по умолчанию , разрешающее весь исходящий трафик.
NACL по умолчанию: В отличие от групп безопасности, NACL по умолчанию, созданный AWS, имеет правила по умолчанию, которые разрешают весь входящий и исходящий трафик. Этот NACL по умолчанию имеет одно правило «разрешить все» и одно правило «запретить все» как для входящего, так и для исходящего трафика, всего четыре правила по умолчанию. Сначала обрабатываются разрешающие все правила. В правилах запретить все есть звездочка вместо номера, поэтому они не обрабатываются, если не соответствует ни одно другое правило.
В результате NACL по умолчанию разрешают весь входящий и исходящий трафик по умолчанию.
Пользовательские NACL: Когда вы создаете пользовательский (не используемый по умолчанию) NACL, он имеет одно правило запретить все как для входящего, так и для исходящего трафика, как и NACL по умолчанию. В правилах запретить все вместо номера стоит звездочка. Однако, в отличие от NACL по умолчанию, пользовательский NACL не имеет разрешающих всех правил, поэтому правило deny-all вместо этого соответствует трафику.
В результате настраиваемые NACL по умолчанию запрещают весь входящий и исходящий трафик.
Удаление правил
Вы можете удалить любое существующее правило для входящего или исходящего трафика в группе безопасности.
Напротив, вы можете удалить любое существующее правило в NACL , кроме для правил запретить все по умолчанию.
В любом случае конечный результат один и тот же — весь входящий и весь исходящий трафик запрещен.
Правила NACL, правила группы безопасности и вы
Правила группы безопасности и правила NACL могут выполнять одни и те же задачи и одинаково управлять трафиком. NACL по умолчанию разрешены для всех, поэтому, если вы решите оставить их такими, используйте группы безопасности для фильтрации трафика VPC.Однако наиболее безопасный подход — использовать NACL в качестве первой линии защиты, а затем настроить группы безопасности для обработки трафика, разрешенного из NACL. Вы можете сделать это, настроив одни и те же правила для групп безопасности и NACL.
Этот метод глубокой защиты способствует избыточности сети и снижает риск неправильной конфигурации, утечки данных и атак со стороны злоумышленников. Если NACL настроен неправильно, группа безопасности должна быть неправильно настроена таким же образом, чтобы пропустить трафик.Например, если правило NACL открывает порт 22 для всего мира, правило группы безопасности также должно открывать порт 22 для всего мира, чтобы неавторизованный трафик SSH мог пройти к экземпляру.
Состояние
Еще одно важное различие между группами безопасности и NACL заключается в том, применяют ли они правила на основе состояния соединения.
Группы безопасности с отслеживанием состояния; они автоматически разрешают обратный трафик независимо от установленных правил.Если ваш экземпляр отправляет запрос, соединение отслеживается и ответ принимается независимо от явных правил для входящих подключений. Если трафик разрешен в экземпляр, ответ разрешен независимо от явных исходящих правил.
NACL, с другой стороны, не имеют состояния. Если экземпляр в вашей подсети отправляет запрос, соединение не отслеживается, и ответ подчиняется правилам для входящих подключений NACL. Аналогичным образом, если в подсеть разрешен трафик, ответ оценивается в соответствии с правилами исходящего трафика.
На практике это означает, что правила NACL обычно идут парами. Для каждого входящего правила для NACL должно быть соответствующее исходящее правило, и наоборот.
Группам безопасности не нужны правила для оценки трафика ответа. Для оценки запросов необходимо только определить правила для входящих или исходящих сообщений, поскольку, если запрос разрешен, автоматически разрешается и его ответ.
Штат обычно не имеет большого значения при принятии решения о внедрении групп безопасности vs.NACL, потому что оба инструмента могут эффективно контролировать трафик. Основное различие в отношении состояния состоит в том, что с группами безопасности вы не можете разрешить трафик в одном направлении, но запретите ответ.
Например, если ваш источник находится за пределами экземпляра и он разрешен, вы не сможете отклонить ответ, потому что он автоматически вернется обратно. Если ваше состояние безопасности требует очень детального контроля для обработки трафика запросов и ответов, NACL больше подходят для этой задачи, потому что и запросы, и ответы оцениваются в соответствии с явными правилами.
С другой стороны, если у вас небольшая операция и вам не нужен трафик запросов и ответов, оцениваемый на таком детальном уровне, группами безопасности легче управлять, и для них требуется меньше правил, чем для NACL.
В конечном счете, оба метода действительны сами по себе — и даже лучше в сочетании.
Разделение обязанностей
Настройка групп безопасности и NACL способствует разделению обязанностей, что является еще одним передовым методом обеспечения безопасности.Поскольку группы безопасности и NACL работают на разных уровнях, вы можете гарантировать, что за них несут ответственность разные группы. Если в вашей организации есть группа для уровня сетевой безопасности и группа для уровня безопасности сервера, сетевые администраторы могут управлять NACL, а администраторы серверов могут управлять группами безопасности. Таким образом, одному члену группы намного сложнее поставить под угрозу оба уровня безопасности. Это также способ продвигать принцип безопасности с наименьшими привилегиями, поскольку обязанности разделены между командами.
Лучшее из обоих миров
Подведем итог тому, что мы узнали о группах безопасности и NACL:
Оба…
- Использование правил для входящего и исходящего трафика для управления трафиком
- Может применяться более чем к одному экземпляру (группа безопасности) или подсети (NACL)
- Может быть заблокирован, чтобы запретить весь трафик в любом направлении
- Допустимые методы защиты ресурсов в VPC
- Совместная работа по обеспечению избыточности сети и предотвращению несанкционированных действий
Короче говоря, группы безопасности и NACL могут использоваться для защиты вашей сети — по отдельности и вместе.При правильной настройке оба представляют собой эффективные способы защиты ресурсов в вашем VPC. Обратите внимание, что просто иметь эти ресурсы в вашей сети недостаточно; в конце концов, все сводится к тому, как вы их настраиваете. Ваш самый строгий брандмауэр защищен настолько, насколько безопасны его самые разрешающие правила. И все группы безопасности и все NACL в мире не могут защитить ваш экземпляр, если есть правило, разрешающее доступ к нему всему трафику из всех источников.
Что такое группы безопасности Active Directory?
98% угроз безопасности начинаются с Active Directory.
Active Directory буквально держит ключи от вашего королевства. Если не установлены правильные принципы безопасности и вы предоставляете своим пользователям чрезмерные разрешения, вы подвергаете себя потенциальным угрозам безопасности.
В Active Directory существует множество протоколов безопасности на выбор для реализации политики наименьших привилегий, при которой вы предоставляете административный доступ только тем, кто действительно в нем нуждается.
В этом блоге мы подробно рассмотрим, что такое группы безопасности в Active Directory, разницу между группами рассылки и группами безопасности, какие группы безопасности можно использовать и как именно их создать.
Получите бесплатное руководство по обеспечению безопасности Active Directory
Спасибо за загрузку.Пожалуйста, проверьте свою электронную почту (включая папку со спамом) на предмет ссылки на технический документ!
Что такое группы Active Directory?
В общем,Active Directory — это программа, которая сортирует пользователей по различным группам.Это централизованная платформа, которую большинство предприятий используют для управления учетными записями компьютеров и предоставления доступа к конфиденциальным данным.
Группа Active Directory — это группа пользователей, которым предоставлен доступ к определенным ресурсам. Есть два способа предоставить группам такой доступ; через глобальный уникальный идентификатор (GUID) или идентификатор безопасности (SID).
Идентификаторы безопасностив основном используются, когда доступ должен быть предоставлен определенным пользователям, тогда как идентификаторы GUID используются при группировке пользователей, которым всем необходим доступ к одним и тем же ресурсам.
Группы могут быть созданы на основе отдельных пользователей, которым всем необходим доступ к определенным ресурсам, или они могут быть созданы на основе глобальных групп (таких как отдел) или членов определенного домена.
Два типа групп Active Directory
ГруппыActive Directory разделены на две категории — Группы безопасности Active Directory и Группы рассылки Active Directory .
Фактический тип группы, которая вам нужна, будет зависеть от требуемой функции группы. Группы рассылки проще в том, что они будут использоваться, если от центрального контроллера требуются только односторонние уведомления. Группы безопасности более сложные, и они применяются, когда вы хотите разрешить пользователям доступ к данным и их изменение.
Команды безопасностидолжны уделять гораздо больше внимания группам безопасности, чтобы гарантировать, что разрешения не выходят из-под контроля и что риски для безопасности ваших данных уменьшаются.
Почему следует использовать группы безопасности Active Directory?
Группы безопасности жизненно важны, когда речь идет о поддержании соответствующих прав доступа к наиболее конфиденциальным данным.Возможность группировать пользователей в банки для назначения уровней разрешений невероятно полезна для поддержания политики наименьших привилегий.
Например, вы можете использовать группы безопасности Active Directory, чтобы назначать высокоуровневые разрешения членам правления, чтобы они могли отправлять финансовую информацию и KPI своим коллегам. Вы также можете использовать группы безопасности, чтобы назначать разрешения более низкого уровня новым участникам.
Группы безопасностиActive Directory также можно изменить через портал AD, где пользователей можно перемещать или полностью удалять.
Как создать группу безопасности в Active Directory
Следующие шаги применимы к Windows 10 и к Windows Server 2016 . Обратите внимание, что вам нужно быть членом группы администраторов домена или иметь уже примененные правильные разрешения, чтобы иметь возможность создавать новые группы самостоятельно.
- Откройте консоль «Пользователи и компьютеры Active Directory».
- Выберите контейнер, в котором вы хотите сохранить свою группу (например, «Пользователи»).
- Нажмите «Действие» — «Создать» — «Группа»
- Назовите свою группу, используя текстовое поле Имя группы, и введите описание.
- В зависимости от инфраструктуры леса Active Directory выберите правильную область действия группы: глобальную или универсальную.
- Щелкните «Безопасность» в качестве типа группы, а затем нажмите «ОК», чтобы создать группу безопасности.
Как повысить безопасность групп безопасности Active Directory
Многие предприятия должны иметь дело со столярами, увольняющимися и грузчиками в своей среде.Когда пользователи меняют роли, уходят из бизнеса или начинают новую роль, их требуемые разрешения будут другими.
К сожалению, многие предприятия недостаточно эффективно взаимодействуют с ИТ-отделами и группами безопасности, чтобы обеспечить надлежащее обслуживание разрешений и членов групп безопасности. В худшем случае это потенциально может привести к тому, что внутренние угрозы получат доступ к вашим наиболее конфиденциальным данным.
Платформа безопасности данных Lepide дает вам возможность мгновенно создавать список пользователей, которые, как считается, обладают «чрезмерными разрешениями», или генерировать предупреждения в режиме реального времени при изменении разрешений, чтобы вы могли предпринять необходимые шаги для поддержки ваша политика наименьших привилегий.
Чтобы увидеть решение в действии, запланируйте демонстрацию с одним из наших инженеров сегодня.
Решения для систем безопасностии услуги установщиков | Конвергентная безопасность в Филадельфии, Пенсильвания
2021 Тенденции в решениях безопасности
Инновации в решениях безопасности прошли долгий путь, и каждый день появляются новые технологии. Конвергентная безопасность, технология множественного восприятия и искусственный интеллект — лишь некоторые из примеров. Вот пять основных тенденций в области решений безопасности в 2021 году.
5 основных тенденций в области безопасности в 2021 году
Надежные видеорешения
Каждое охранное агентство имеет в своем арсенале те или иные видеорешения. Но лучшая компания по обеспечению безопасности — это та, которая предлагает высококачественные и интеллектуальные системы видеонаблюдения.
Предприятия уделяют особое внимание здоровью и безопасности своих сотрудников и клиентов. Интеллектуальная видеотехнология на базе искусственного интеллекта как решение безопасности сейчас в моде, особенно в местах с интенсивным пешеходным движением.Видеонаблюдение с тепловизором, распознаванием лиц, уведомлениями о тревогах и другими новыми функциями неоценимо каждый день, но особенно во время пандемии.
Конвергентная безопасность
Представьте себе одну платформу безопасности, которая может делать все: видеонаблюдение, обнаружение движения, контроль доступа, уведомление о тревоге и т. Д. Множественные системы безопасности — это путь в будущее. Многие компании, занимающиеся защитными решениями, вкладывают значительные средства в объединение функций безопасности в одной системе для повышения эффективности и экономии.Типичный пример — системы видеонаблюдения с установщиками охранной сигнализации.
Другие преимущества объединения нескольких систем безопасности включают сокращение времени и затрат на установку, обслуживание, лицензирование.
Искусственный интеллект
Искусственный интеллект или ИИ был тенденцией на протяжении многих лет, потому что он постоянно совершенствуется. Чем интеллектуальнее становятся алгоритмы, тем больше у них приложений. ИИ также интегрируется в решения по обеспечению безопасности.
Приложения безопасностидля искусственного интеллекта включают автоматическое распознавание номерных знаков, тепловую карту, обнаружение каски на строительных площадках или масок для лица в плотных общественных местах и многое другое.Ожидается, что ИИ будет решать все более интеллектуальные задачи, поскольку алгоритмы продолжают совершенствоваться. Это приведет к повышению безопасности и эффективности.
Облачная безопасность
Облачная безопасность пользуется популярностью в течение многих лет, потому что она устраняет необходимость в программном обеспечении и / или локальных серверах, обеспечивая пользователям хранилище, простоту работы в сети, аналитику и безопасность. Однако, когда разразилась пандемия, использование облачных серверов резко возросло. Это позволило людям работать из дома или где бы они ни находились.
Компании, занимающиеся защитными решениями, теперь также используют облачные решения для обеспечения безопасности. Используя существующую облачную инфраструктуру, поставщики решений безопасности могут предоставлять удаленные операции, помощь и обслуживание. Это также позволяет быстро и легко развертывать обновления, обновления системы, версии прошивки и многое другое.
Технология 5G
Технология 5G революционизирует то, как мы живем и общаемся. Это также кардинальное изменение решений в области безопасности. Благодаря большей пропускной способности и меньшей задержке 5G обеспечивает беспрецедентные улучшения в области видеобезопасности, включая изображения UHD сверхвысокой четкости, бесперебойную работу видео, многомерное восприятие, беспроводное наблюдение и т. Д.5G также сделает приложения ИИ более эффективными.
Компании, школы, государственные учреждения и почти все другие организации полагаются на системы безопасности для поддержания безопасности своей повседневной деятельности. Благодаря постоянному совершенствованию и инновациям в решениях безопасности мы можем обеспечить безопасность наших сотрудников и наших активов.