Группа безопасности: Группы безопасности котла и предохранительные клапана

используются для сбора учетных записей пользователей, компьютеров и других групп в управляемые единицы.Работа с группами вместо отдельных пользователей помогает упростить обслуживание и администрирование сети.

В Active Directory есть два типа групп:

Группы сбыта

могут использоваться только с почтовыми приложениями (такими как Exchange Server) для отправки электронной почты коллекциям пользователей. Для групп рассылки не включена безопасность, что означает, что они не могут быть перечислены в списках управления доступом на уровне пользователей (DACL).

Группы безопасности

могут обеспечить эффективный способ назначения доступа к ресурсам в вашей сети.Используя группы безопасности, вы можете:

• Назначьте права пользователей группам безопасности в Active Directory.

  Права пользователя назначаются группе безопасности, чтобы определить, что члены этой группы могут делать в пределах домена или леса. Права пользователя автоматически назначаются некоторым группам безопасности при установке Active Directory, чтобы помочь администраторам определить административную роль человека в домене.

  Например, пользователь, добавленный в группу «Операторы резервного копирования» в Active Directory, имеет возможность создавать резервные копии и восстанавливать файлы и каталоги, расположенные на каждом контроллере домена в домене.Это возможно, потому что по умолчанию права пользователя Файлы и каталоги резервного копирования и Файлы и каталоги восстановления автоматически назначаются группе операторов резервного копирования. Следовательно, члены этой группы наследуют права пользователя, назначенные этой группе.

  Вы можете использовать групповую политику, чтобы назначать права пользователей группам безопасности для делегирования определенных задач. Дополнительные сведения об использовании групповой политики см. В разделе Назначение прав пользователей.

• Назначьте разрешения группам безопасности для ресурсов.

  Разрешения отличаются от прав пользователя. Разрешения назначаются группе безопасности для общего ресурса. Разрешения определяют, кто может получить доступ к ресурсу и уровень доступа, например Полный доступ. Некоторые разрешения, которые устанавливаются для объектов домена, автоматически назначаются, чтобы разрешить различные уровни доступа к группам безопасности по умолчанию, таким как группа операторов учетных записей или группа администраторов домена.

  Группы безопасности перечислены в списках DACL, которые определяют разрешения для ресурсов и объектов.При назначении разрешений для ресурсов (общих файловых ресурсов, принтеров и т. Д.) Администраторы должны назначать эти разрешения группе безопасности, а не отдельным пользователям. Разрешения назначаются группе один раз, а не несколько раз каждому отдельному пользователю. Каждая учетная запись, добавляемая в группу, получает права, назначенные этой группе в Active Directory, а пользователь получает разрешения, определенные для этой группы.

Как и группы рассылки, группы безопасности могут использоваться в качестве объекта электронной почты.Отправка сообщения электронной почты группе отправляет сообщение всем членам группы.

Объем группы

Группы характеризуются областью действия, которая определяет степень, в которой группа применяется в дереве доменов или в лесу. Область действия группы определяет, где группе могут быть предоставлены разрешения. Следующие три области действия групп определяются Active Directory:

• Универсальный

• Глобальный

• Домен Локальный

Примечание

В дополнение к этим трем областям группы по умолчанию в контейнере Builtin имеют область действия группы Builtin Local.Эта область действия группы и тип группы не могут быть изменены.

В следующей таблице перечислены три области действия группы и дополнительная информация о каждой области для группы безопасности.

Объемы групп

Особые идентификационные группы

Особые идентификаторы обычно называются группами.Специальные группы идентификации не имеют определенного членства, которое можно изменить, но они могут представлять разных пользователей в разное время, в зависимости от обстоятельств. Некоторые из этих групп включают «Создатель-владелец», «Пакетная партия» и «Пользователь, прошедший аутентификацию».

Для получения информации обо всех специальных группах удостоверений см. Особые удостоверения.

Группы безопасности по умолчанию

Группы по умолчанию, такие как группа администраторов домена, представляют собой группы безопасности, которые создаются автоматически при создании домена Active Directory.Эти предопределенные группы можно использовать для управления доступом к общим ресурсам и для делегирования определенных административных ролей на уровне домена.

Многим группам по умолчанию автоматически назначается набор прав пользователей, которые разрешают членам группы выполнять определенные действия в домене, такие как вход в локальную систему или резервное копирование файлов и папок. Например, член группы «Операторы резервного копирования» имеет право выполнять операции резервного копирования для всех контроллеров домена в домене.

Когда вы добавляете пользователя в группу, он получает все права пользователя, назначенные группе, и все разрешения, назначенные группе для любых общих ресурсов.

Группы по умолчанию расположены в контейнере Builtin и в контейнере Users в Active Directory Users and Computers. Контейнер Builtin включает группы, определенные в области локального домена. Users включает группы, которые определены с глобальной областью, и группы, которые определены с локальной областью домена.Вы можете перемещать группы, расположенные в этих контейнерах, в другие группы или подразделения (OU) в домене, но вы не можете перемещать их в другие домены.

Некоторые административные группы, перечисленные в этом разделе, и все члены этих групп защищены фоновым процессом, который периодически проверяет и применяет определенный дескриптор безопасности. Этот дескриптор представляет собой структуру данных, которая содержит информацию о безопасности, связанную с защищенным объектом. Этот процесс гарантирует, что любая успешная несанкционированная попытка изменить дескриптор безопасности в одной из административных учетных записей или групп будет перезаписана защищенными настройками.

Дескриптор безопасности присутствует в объекте AdminSDHolder . Это означает, что если вы хотите изменить разрешения для одной из групп администраторов службы или для любой из ее учетных записей, вы должны изменить дескриптор безопасности в объекте AdminSDHolder , чтобы он применялся согласованно. Будьте осторожны при внесении этих изменений, потому что вы также изменяете настройки по умолчанию, которые будут применяться ко всем вашим защищенным административным учетным записям.

Группы безопасности Active Directory по умолчанию для версии операционной системы

В следующих таблицах представлены описания групп по умолчанию, которые расположены в контейнерах Builtin и Users в каждой операционной системе.

Операторы помощи в управлении доступом

Члены этой группы могут удаленно запрашивать атрибуты авторизации и разрешения для ресурсов на компьютере.

Группа операторов поддержки контроля доступа применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Эта группа безопасности не менялась с Windows Server 2008.

Операторы счетов

Группа «Операторы учетной записи» предоставляет пользователю ограниченные права на создание учетной записи.Члены этой группы могут создавать и изменять большинство типов учетных записей, включая учетные записи пользователей, локальных групп и глобальных групп, а члены могут входить в систему локально на контроллерах домена.

Члены группы «Операторы учетных записей» не могут управлять учетной записью администратора, учетными записями пользователей администраторов или группами «Администраторы», «Операторы сервера», «Операторы учетных записей», «Операторы резервного копирования» или «Операторы печати». Члены этой группы не могут изменять права пользователей.

Группа «Операторы учетной записи» применяется к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности по умолчанию Active Directory».

Примечание

По умолчанию у этой встроенной группы нет участников, и она может создавать и управлять пользователями и группами в домене, включая свое собственное членство и членство в группе операторов сервера. Эта группа считается группой администраторов служб, поскольку она может изменять операторов сервера, которые, в свою очередь, могут изменять параметры контроллера домена. Рекомендуется оставить членство в этой группе пустым и не использовать его для делегированного администрирования. Эту группу нельзя переименовать, удалить или переместить.

Эта группа безопасности не менялась с Windows Server 2008.

Администраторы

Члены группы администраторов имеют полный и неограниченный доступ к компьютеру, или, если компьютер повышен до контроллера домена, члены имеют неограниченный доступ к домену.

Группа «Администраторы» применяется к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности Active Directory по умолчанию».

Примечание

Группа администраторов имеет встроенные возможности, которые дают ее членам полный контроль над системой. Эту группу нельзя переименовать, удалить или переместить. Эта встроенная группа контролирует доступ ко всем контроллерам домена в своем домене и может изменять членство во всех административных группах.

Членство может быть изменено членами следующих групп: администраторы службы по умолчанию, администраторы домена в домене или администраторы предприятия.Эта группа имеет особые права владения любым объектом в каталоге или любым ресурсом на контроллере домена. Эта учетная запись считается группой администраторов службы, поскольку ее участники имеют полный доступ к контроллерам домена в домене.

Эта группа безопасности включает следующие изменения по сравнению с Windows Server 2008:

Разрешенная группа репликации паролей RODC

Назначение этой группы безопасности — управление политикой репликации паролей RODC.По умолчанию в этой группе нет участников, и это приводит к тому, что новые контроллеры домена только для чтения не кэшируют учетные данные пользователей. Группа Denied RODC Password Replication Group содержит множество учетных записей с высоким уровнем привилегий и групп безопасности. Группа «Запрещенная репликация паролей RODC» заменяет группу «Разрешенная репликация паролей RODC».

Группа «Разрешенная репликация паролей RODC» применяется к версиям операционной системы Windows Server, указанным в таблице «Группы безопасности по умолчанию» Active Directory.

Эта группа безопасности не менялась с Windows Server 2008.

Операторы резервного копирования

Члены группы «Операторы резервного копирования» могут выполнять резервное копирование и восстановление всех файлов на компьютере, независимо от разрешений, которые защищают эти файлы.Операторы резервного копирования также могут войти в систему и выключить компьютер. Эту группу нельзя переименовать, удалить или переместить. По умолчанию у этой встроенной группы нет участников, и она может выполнять операции резервного копирования и восстановления на контроллерах домена. Его членство может быть изменено следующими группами: администраторы служб по умолчанию, администраторы домена в домене или администраторы предприятия. Он не может изменять членство в каких-либо административных группах. Хотя члены этой группы не могут изменять настройки сервера или изменять конфигурацию каталога, у них есть разрешения, необходимые для замены файлов (включая файлы операционной системы) на контроллерах домена.Из-за этого члены этой группы считаются администраторами служб.

Группа «Операторы архива» применяется к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности Active Directory по умолчанию».

Эта группа безопасности не менялась с Windows Server 2008.

Служба сертификации DCOM Access

Членам этой группы разрешено подключаться к центрам сертификации на предприятии.

Группа доступа DCOM службы сертификации применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Эта группа безопасности не менялась с Windows Server 2008.

Cert Publishers

Члены группы Cert Publishers имеют право публиковать сертификаты для объектов User в Active Directory.

Группа Cert Publishers применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Эта группа безопасности не менялась с Windows Server 2008.

Клонируемые контроллеры домена

Члены группы клонируемых контроллеров домена, которые являются контроллерами домена, могут быть клонированы.В Windows Server 2012 R2 и Windows Server 2012 вы можете развернуть контроллеры домена, скопировав существующий виртуальный контроллер домена. В виртуальной среде больше не нужно повторно развертывать образ сервера, подготовленный с помощью sysprep.exe, повышать уровень сервера до контроллера домена, а затем выполнять дополнительные требования к конфигурации для развертывания каждого контроллера домена (включая добавление виртуального контроллера домена. в эту группу безопасности).

Дополнительные сведения см. В разделе Введение в виртуализацию доменных служб Active Directory (AD DS) (уровень 100).

Эта группа безопасности была введена в Windows Server 2012 и не изменилась в последующих версиях.

Криптографические операторы

Члены этой группы имеют право выполнять криптографические операции.Эта группа безопасности была добавлена ​​в Windows Vista с пакетом обновления 1 (SP1) для настройки брандмауэра Windows для IPsec в режиме общих критериев.

Группа криптографических операторов применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Эта группа безопасности была введена в Windows Vista с пакетом обновления 1 (SP1) и не изменилась в последующих версиях.

Запрещенная группа репликации паролей RODC

Члены группы запрещенной репликации паролей RODC не могут реплицировать свои пароли на любой контроллер домена только для чтения.

Назначение этой группы безопасности — управление политикой репликации паролей RODC. Эта группа содержит множество учетных записей с высокими привилегиями и групп безопасности. Группа запрещенных репликаций паролей RODC заменяет разрешенную группу репликации паролей RODC.

Эта группа безопасности включает следующие изменения по сравнению с Windows Server 2008:

• Windows Server 2012 изменила членов по умолчанию, включив в них издателей сертификатов.

Владельцы устройств

Эта группа в настоящее время не используется в Windows.

Microsoft не рекомендует изменять конфигурацию по умолчанию, в которой эта группа безопасности не имеет участников. Изменение конфигурации по умолчанию может помешать будущим сценариям, в которых используется эта группа.

Группа владельцев устройств применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Распределенные пользователи COM

Членам группы «Пользователи распределенного COM» разрешено запускать, активировать и использовать объекты распределенного COM на компьютере.Microsoft Component Object Model (COM) — это платформенно-независимая распределенная объектно-ориентированная система для создания двоичных программных компонентов, которые могут взаимодействовать. Распределенная объектная модель компонентов (DCOM) позволяет распределять приложения по местам, которые имеют наибольший смысл для вас и для приложения. Эта группа отображается как SID, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (также известную как гибкие операции с одним хозяином или FSMO).

Группа «Пользователи распределенного COM» применяется к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности по умолчанию Active Directory».

Эта группа безопасности не менялась с Windows Server 2008.

DnsUpdateProxy

Члены группы DnsUpdateProxy являются клиентами DNS.Им разрешено выполнять динамические обновления от имени других клиентов (например, DHCP-серверов). DNS-сервер может создавать устаревшие записи ресурсов, если DHCP-сервер настроен на динамическую регистрацию записей ресурсов хоста (A) и указателя (PTR) от имени DHCP-клиентов с помощью динамического обновления. Добавление клиентов в эту группу безопасности смягчает этот сценарий.

Однако для защиты от незащищенных записей или разрешения членам группы DnsUpdateProxy регистрировать записи в зонах, которые разрешают только защищенные динамические обновления, необходимо создать выделенную учетную запись пользователя и настроить DHCP-серверы для выполнения динамических обновлений DNS с использованием учетных данных этого учетная запись (имя пользователя, пароль и домен).Несколько серверов DHCP могут использовать учетные данные одной выделенной учетной записи пользователя. Эта группа существует только в том случае, если роль DNS-сервера установлена ​​или когда-то была установлена ​​на контроллере домена в домене.

Дополнительные сведения см. В разделах «Владение записями DNS» и «Группа DnsUpdateProxy».

Эта группа безопасности не менялась с Windows Server 2008.

DnsAdmins

Члены группы DNSAdmins имеют доступ к сетевой информации DNS.Разрешения по умолчанию следующие: Разрешить: чтение, запись, создание всех дочерних объектов, удаление дочерних объектов, особые разрешения. Эта группа существует только в том случае, если роль DNS-сервера установлена ​​или когда-то была установлена ​​на контроллере домена в домене.

Дополнительные сведения о безопасности и DNS см. В разделе DNSSEC в Windows Server 2012.

Эта группа безопасности не менялась с Windows Server 2008.

Администраторы домена

Члены группы безопасности «Администраторы домена» имеют право администрировать домен.По умолчанию группа администраторов домена является членом группы администраторов на всех компьютерах, которые присоединились к домену, включая контроллеры домена. Группа «Администраторы домена» является владельцем по умолчанию любого объекта, созданного в Active Directory для домена любым членом группы. Если члены группы создают другие объекты, например файлы, владельцем по умолчанию является группа «Администраторы».

Группа администраторов домена контролирует доступ ко всем контроллерам домена в домене и может изменять членство всех административных учетных записей в домене.Членство может быть изменено членами групп администраторов служб в своем домене (администраторы и администраторы домена), а также членами группы администраторов предприятия. Это считается учетной записью администратора службы, поскольку ее участники имеют полный доступ к контроллерам домена в домене.

Группа «Администраторы домена» применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Эта группа безопасности не менялась с Windows Server 2008.

Доменные компьютеры

В эту группу могут входить все компьютеры и серверы, которые присоединились к домену, за исключением контроллеров домена. По умолчанию любая созданная учетная запись компьютера автоматически становится членом этой группы.

Группа «Компьютеры домена» применяется к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности по умолчанию» Active Directory.

Эта группа безопасности не менялась с Windows Server 2008.

Контроллеры домена

Группа контроллеров домена может включать все контроллеры домена в домене.В эту группу автоматически добавляются новые контроллеры домена.

Группа «Контроллеры домена» применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Эта группа безопасности не менялась с Windows Server 2008.

Гости домена

Группа «Гости домена» включает встроенную гостевую учетную запись домена.Когда члены этой группы входят в систему как локальные гости на компьютере, присоединенном к домену, на локальном компьютере создается профиль домена.

Группа «Гости домена» применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Эта группа безопасности не менялась с Windows Server 2008.

Пользователи домена

Группа «Пользователи домена» включает в себя все учетные записи пользователей в домене.Когда вы создаете учетную запись пользователя в домене, она автоматически добавляется в эту группу.

По умолчанию любая учетная запись пользователя, созданная в домене, автоматически становится членом этой группы. Эта группа может использоваться для представления всех пользователей в домене. Например, если вы хотите, чтобы все пользователи домена имели доступ к принтеру, вы можете назначить разрешения для принтера этой группе (или добавить группу «Пользователи домена» в локальную группу на сервере печати, у которой есть разрешения для принтера).

Группа «Пользователи домена» применяется к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности по умолчанию» Active Directory.

Эта группа безопасности не менялась с Windows Server 2008.

Администраторы предприятия

Группа администраторов предприятия существует только в корневом домене леса доменов Active Directory.Это универсальная группа, если домен находится в основном режиме; это глобальная группа, если домен находится в смешанном режиме. Члены этой группы имеют право вносить изменения в Active Directory на уровне леса, например добавлять дочерние домены.

По умолчанию единственным членом группы является учетная запись администратора корневого домена леса. Эта группа автоматически добавляется в группу администраторов в каждом домене леса и обеспечивает полный доступ для настройки всех контроллеров домена.Члены этой группы могут изменять членство во всех административных группах. Членство может быть изменено только группами администраторов служб по умолчанию в корневом домене. Это считается учетной записью администратора службы.

Группа администраторов предприятия применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Эта группа безопасности не менялась с Windows Server 2008.

Ключевые администраторы предприятия

Члены этой группы могут выполнять административные действия над ключевыми объектами в лесу.

Группа Enterprise Key Admins появилась в Windows Server 2016.

Корпоративные контроллеры домена только для чтения

Члены этой группы являются контроллерами домена только для чтения на предприятии.За исключением паролей учетных записей, доступный только для чтения контроллер домена содержит все объекты и атрибуты Active Directory, которые содержит доступный для записи контроллер домена. Однако нельзя вносить изменения в базу данных, которая хранится на контроллере домена только для чтения. Изменения необходимо внести на доступный для записи контроллер домена, а затем реплицировать на контроллер домена только для чтения.

Контроллеры домена только для чтения решают некоторые проблемы, которые обычно встречаются в филиалах. В этих местах может не быть контроллера домена.Или у них может быть контроллер домена с возможностью записи, но нет физической безопасности, пропускной способности сети или местного опыта для его поддержки.

Для получения дополнительной информации см. Что такое контроллер домена только для чтения ?.

Группа корпоративных контроллеров домена только для чтения применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Эта группа безопасности не менялась с Windows Server 2008.

Считыватели журнала событий

Члены этой группы могут читать журналы событий с локальных компьютеров.Группа создается, когда сервер повышается до контроллера домена.

Группа «Читатели журнала событий» применяется к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности по умолчанию Active Directory».

Эта группа безопасности не менялась с Windows Server 2008.

Владельцы-создатели групповой политики

Этой группе разрешено создавать, редактировать или удалять объекты групповой политики в домене.По умолчанию единственным членом группы является администратор.

Для получения информации о других функциях, которые вы можете использовать с этой группой безопасности, см. Обзор групповой политики.

Группа владельцев-создателей групповой политики применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Эта группа безопасности не менялась с Windows Server 2008.

Гости

Члены группы «Гости» по умолчанию имеют тот же доступ, что и члены группы «Пользователи», за исключением того, что учетная запись «Гость» имеет дополнительные ограничения.По умолчанию единственным участником является гостевая учетная запись. Группа «Гости» позволяет случайным или разовым пользователям входить с ограниченными правами во встроенную гостевую учетную запись компьютера.

Когда член группы «Гости» выходит из системы, весь профиль удаляется. Сюда входит все, что хранится в каталоге % userprofile% , включая информацию о кусте реестра пользователя, пользовательские значки на рабочем столе и другие пользовательские настройки. Это означает, что гость должен использовать временный профиль для входа в систему.Эта группа безопасности взаимодействует с параметром групповой политики Не входить в систему с временными профилями , когда он включен. Этот параметр находится по следующему пути:

Конфигурация компьютера \ Административные шаблоны \ Система \ Профили пользователей

Примечание

Учетная запись гостя является членом группы безопасности «Гости» по умолчанию. Люди, у которых нет реальной учетной записи в домене, могут использовать гостевую учетную запись. Пользователь, учетная запись которого отключена (но не удалена), также может использовать гостевую учетную запись.

Учетная запись гостя не требует пароля. Вы можете установить права и разрешения для гостевой учетной записи, как и для любой учетной записи пользователя. По умолчанию учетная запись гостя является членом встроенной группы «Гости» и глобальной группы «Гости домена», что позволяет пользователю входить в домен. Учетная запись гостя отключена по умолчанию, и мы рекомендуем оставить ее отключенной.

Группа «Гости» применяется к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности по умолчанию Active Directory».

Эта группа безопасности не менялась с Windows Server 2008.

Администраторы Hyper-V

Члены группы администраторов Hyper-V имеют полный и неограниченный доступ ко всем функциям Hyper-V.Добавление участников в эту группу помогает уменьшить количество участников, необходимых в группе администраторов, и дополнительно разделяет доступ.

Примечание

До Windows Server 2012 доступ к функциям Hyper-V частично контролировался членством в группе администраторов.

Эта группа безопасности была введена в Windows Server 2012 и не изменилась в последующих версиях.

IIS_IUSRS

IIS_IUSRS — это встроенная группа, которая используется службами IIS, начиная с IIS 7.0. Операционная система гарантирует, что встроенная учетная запись и группа всегда имеют уникальный SID. IIS 7.0 заменяет учетную запись IUSR_MachineName и группу IIS_WPG на группу IIS_IUSRS, чтобы гарантировать, что фактические имена, используемые новой учетной записью и группой, никогда не будут локализованы. Например, независимо от языка устанавливаемой операционной системы Windows, имя учетной записи IIS всегда будет IUSR, а имя группы — IIS_IUSRS.

Дополнительные сведения см. В разделе Общие сведения о встроенных учетных записях пользователей и групп в IIS 7.

Эта группа безопасности не менялась с Windows Server 2008.

Построители входящего лесного траста

Члены группы Построители доверия входящего леса могут создавать входящие односторонние отношения доверия к этому лесу.Active Directory обеспечивает безопасность в нескольких доменах или лесах посредством доверительных отношений между доменами и лесами. Прежде чем аутентификация может происходить через доверительные отношения, Windows должна определить, имеет ли домен, запрашиваемый пользователем, компьютером или службой, доверительные отношения с доменом входа в систему запрашивающей учетной записи.

Чтобы сделать это определение, система безопасности Windows вычисляет доверительный путь между контроллером домена для сервера, который получает запрос, и контроллером домена в домене запрашивающей учетной записи.Защищенный канал распространяется на другие домены Active Directory через междоменные доверительные отношения. Этот защищенный канал используется для получения и проверки информации о безопасности, включая идентификаторы безопасности (SID) для пользователей и групп.

Примечание

Эта группа отображается как SID до тех пор, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (также известную как гибкие операции с одним хозяином или FSMO).

Для получения дополнительной информации см. Как работают доверительные отношения между доменами и лесами: доверительные отношения между доменами и лесами.

Группа построителей доверия входящих лесов применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Примечание

Эту группу нельзя переименовать, удалить или переместить.

Эта группа безопасности не менялась с Windows Server 2008.

Ключевые администраторы

Члены этой группы могут выполнять административные действия над ключевыми объектами в домене.

Группа «Ключевые администраторы» применяется к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности Active Directory по умолчанию».

Операторы конфигурации сети

Члены группы операторов конфигурации сети могут иметь следующие административные привилегии для управления конфигурацией сетевых функций:

• Измените свойства протокола управления передачей / Интернет-протокола (TCP / IP) для подключения к локальной сети (LAN), включая IP-адрес, маску подсети, шлюз по умолчанию и серверы имен.

• Переименуйте подключения к локальной сети или подключения удаленного доступа, доступные всем пользователям.

• Включение или отключение подключения к локальной сети.

• Измените свойства всех подключений удаленного доступа пользователей.

• Удалите все подключения удаленного доступа пользователей.

• Переименовать все подключения удаленного доступа пользователей.

• Проблема ipconfig , ipconfig / release или ipconfig / Renew команд.

• Введите ключ разблокировки PIN-кода (PUK) для мобильных широкополосных устройств, поддерживающих SIM-карту.

Примечание

Эта группа отображается как SID до тех пор, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (также известную как гибкие операции с одним хозяином или FSMO).

Группа операторов настройки сети применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Примечание

Эту группу нельзя переименовать, удалить или переместить.

Эта группа безопасности не менялась с Windows Server 2008.

Журнал производительности Пользователи

Члены группы «Пользователи журнала производительности» могут управлять счетчиками производительности, журналами и предупреждениями локально на сервере и с удаленных клиентов, не входя в группу «Администраторы».В частности, члены этой группы безопасности:

• Может использовать все функции, доступные группе пользователей системного монитора.

• Может создавать и изменять наборы сборщиков данных после того, как группе будет назначено право «Входить в качестве пакетного задания».

  Предупреждение

  Если вы являетесь членом группы «Пользователи журнала производительности», вы должны настроить наборы сборщиков данных, которые вы создаете, для работы под вашими учетными данными.

• Невозможно использовать поставщик событий трассировки ядра Windows в наборах сборщиков данных.

Чтобы члены группы «Пользователи журнала производительности» могли инициировать регистрацию данных или изменять наборы сборщиков данных, группе сначала должно быть назначено право «Вход в систему как пакетное задание». Чтобы назначить это право пользователя, используйте оснастку «Локальная политика безопасности» в консоли управления Microsoft.

Примечание

Эта группа отображается как SID до тех пор, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (также известную как гибкие операции с одним хозяином или FSMO).

Группа «Пользователи журнала производительности» относится к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности по умолчанию» Active Directory.

Примечание

Эту учетную запись нельзя переименовать, удалить или переместить.

Эта группа безопасности не менялась с Windows Server 2008.

Пользователи системного монитора

Члены этой группы могут отслеживать счетчики производительности на контроллерах домена в домене, локально и с удаленных клиентов, не являясь членами групп «Администраторы» или «Пользователи журнала производительности».Монитор производительности Windows — это оснастка консоли управления Microsoft (MMC), которая предоставляет инструменты для анализа производительности системы. С единой консоли вы можете отслеживать производительность приложений и оборудования, настраивать данные, которые нужно собирать в журналах, определять пороговые значения для предупреждений и автоматических действий, создавать отчеты и просматривать прошлые данные о производительности различными способами.

В частности, члены этой группы безопасности:

• Может использовать все функции, доступные группе «Пользователи».

• Может просматривать данные о производительности в реальном времени в системном мониторе.

  Может изменять свойства отображения монитора производительности во время просмотра данных.

• Невозможно создать или изменить группы сборщиков данных.

  Предупреждение

  Вы не можете настроить набор сборщиков данных для работы в качестве члена группы пользователей системного монитора.

Примечание

Эта группа отображается как SID до тех пор, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (также известную как гибкие операции с одним хозяином или FSMO).Эту группу нельзя переименовать, удалить или переместить.

Группа «Пользователи монитора производительности» применяется к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности по умолчанию» Active Directory.

Эта группа безопасности не менялась с Windows Server 2008.

Доступ для пред-Windows 2000

Члены группы Pre – Windows 2000 Compatible Access имеют доступ на чтение для всех пользователей и групп в домене.Эта группа предназначена для обратной совместимости для компьютеров под управлением Windows NT 4.0 и более ранних версий. По умолчанию специальная группа удостоверений «Все» является членом этой группы. Добавляйте пользователей в эту группу, только если они работают под Windows NT 4.0 или более ранней версии.

Предупреждение

Эта группа отображается как SID до тех пор, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (также известную как гибкие операции с одним хозяином или FSMO).

Группа пред-Windows 2000 Compatible Access применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Эта группа безопасности не менялась с Windows Server 2008.

Операторы печати

Члены этой группы могут управлять, создавать, совместно использовать и удалять принтеры, подключенные к контроллерам домена в домене.Они также могут управлять объектами принтеров Active Directory в домене. Члены этой группы могут локально входить в систему и выключать контроллеры домена в домене.

В этой группе нет участников по умолчанию. Поскольку члены этой группы могут загружать и выгружать драйверы устройств на всех контроллерах домена в домене, добавляйте пользователей с осторожностью. Эту группу нельзя переименовать, удалить или переместить.

Группа «Операторы печати» применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Эта группа безопасности не менялась со времен Windows Server 2008. Однако в Windows Server 2008 R2 были добавлены функции для управления администрированием печати. Дополнительные сведения см. В разделе Назначение администратора делегированной печати и параметров разрешений принтера в Windows Server 2012.

Защищенные пользователи

Членам группы «Защищенные пользователи» предоставляется дополнительная защита от компрометации учетных данных во время процессов аутентификации.

Эта группа безопасности разработана как часть стратегии эффективной защиты учетных данных и управления ими на предприятии. К учетным записям членов этой группы автоматически применяется ненастраиваемая защита. Членство в группе «Защищенные пользователи» по умолчанию должно быть ограничительным и проактивно защищенным. Единственный способ изменить защиту учетной записи — удалить ее из группы безопасности.

Эта глобальная группа, относящаяся к домену, запускает ненастраиваемую защиту на устройствах и хост-компьютерах, начиная с Windows Server 2012 R2 и Windows 8.1 операционные системы. Он также запускает ненастраиваемую защиту на контроллерах домена в доменах с основным контроллером домена под управлением Windows Server 2012 R2 или Windows Server 2016. Это значительно сокращает объем памяти, занимаемый учетными данными, когда пользователи входят в компьютеры в сети с компьютера, который не был взломан. .

В зависимости от функционального уровня домена учетной записи члены группы «Защищенные пользователи» дополнительно защищены благодаря изменениям поведения в методах проверки подлинности, поддерживаемых в Windows.

• Члены группы «Защищенные пользователи» не могут пройти проверку подлинности с помощью следующих поставщиков поддержки безопасности (SSP): NTLM, дайджест-проверка подлинности или CredSSP. Пароли не кэшируются на устройстве под управлением Windows 8.1 или Windows 10, поэтому устройству не удается пройти аутентификацию в домене, если учетная запись является членом группы защищенных пользователей.

• Протокол Kerberos не будет использовать более слабые типы шифрования DES или RC4 в процессе предварительной аутентификации. Это означает, что домен должен быть настроен для поддержки хотя бы набора шифров AES.

• Учетная запись пользователя не может быть делегирована с ограниченным или неограниченным делегированием Kerberos. Это означает, что прежние подключения к другим системам могут завершиться ошибкой, если пользователь является членом группы «Защищенные пользователи».

• Срок службы билетов выдачи билетов Kerberos (TGT) по умолчанию, равный четырем часам, можно настроить с помощью политик проверки подлинности и разрозненных хранилищ, к которым можно получить доступ через Центр администрирования Active Directory. Это означает, что по прошествии четырех часов пользователь должен снова пройти аутентификацию.

Группа «Защищенные пользователи» применяется к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности Active Directory по умолчанию».

Эта группа появилась в Windows Server 2012 R2. Дополнительные сведения о том, как работает эта группа, см. В разделе «Группа безопасности защищенных пользователей».

В следующей таблице указаны свойства группы «Защищенные пользователи».

Серверы RAS и IAS

Компьютеры, входящие в группу серверов RAS и IAS, при правильной настройке могут использовать службы удаленного доступа.По умолчанию в этой группе нет участников. Компьютеры, на которых запущена служба маршрутизации и удаленного доступа, добавляются в группу автоматически, например, серверы IAS и серверы политики сети. Члены этой группы имеют доступ к определенным свойствам объектов «Пользователь», таким как «Чтение ограничений учетной записи», «Чтение информации для входа в систему» ​​и «Чтение информации об удаленном доступе».

Группа серверов RAS и IAS применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Эта группа безопасности не менялась с Windows Server 2008.

Конечные серверы RDS

, входящие в группу серверов конечных точек RDS, могут запускать виртуальные машины и сеансы хоста, на которых выполняются пользовательские программы RemoteApp и личные виртуальные рабочие столы.Эта группа должна быть заполнена на серверах, на которых запущен посредник подключений к удаленному рабочему столу. Серверы узла сеанса и серверы узла виртуализации удаленных рабочих столов, используемые в развертывании, должны быть в этой группе.

Дополнительные сведения о службах удаленных рабочих столов см. В разделе Размещение рабочих столов и приложений в службах удаленных рабочих столов.

Эта группа безопасности была введена в Windows Server 2012 и не изменилась в последующих версиях.

Серверы управления RDS

Серверы, входящие в группу серверов управления RDS, могут использоваться для выполнения рутинных административных действий на серверах, на которых запущены службы удаленных рабочих столов.Эта группа должна быть заполнена на всех серверах в развертывании служб удаленных рабочих столов. Серверы, на которых запущена служба центрального управления RDS, должны быть включены в эту группу.

Эта группа безопасности была введена в Windows Server 2012 и не изменилась в последующих версиях.

Серверы удаленного доступа RDS

Серверы в группе серверов удаленного доступа RDS предоставляют пользователям доступ к программам RemoteApp и персональным виртуальным рабочим столам.При развертывании с выходом в Интернет эти серверы обычно развертываются в пограничной сети. Эта группа должна быть заполнена на серверах, на которых запущен посредник подключений к удаленному рабочему столу. Серверы шлюза удаленных рабочих столов и серверы веб-доступа к удаленным рабочим столам, которые используются при развертывании, должны быть в этой группе.

Дополнительные сведения см. В разделе Размещение рабочих столов и приложений в службах удаленных рабочих столов.

Эта группа безопасности была введена в Windows Server 2012 и не изменилась в последующих версиях.

Контроллеры домена только для чтения

Эта группа состоит из контроллеров домена только для чтения в домене.Контроллер домена только для чтения позволяет организациям легко развертывать контроллер домена в сценариях, где физическая безопасность не может быть гарантирована, например в филиалах, или в сценариях, где локальное хранилище всех паролей домена считается основной угрозой, например в экстрасети или в роли, связанной с приложениями.

Поскольку администрирование контроллера домена только для чтения может быть делегировано пользователю домена или группе безопасности, контроллер домена только для чтения хорошо подходит для сайта, на котором не должен быть пользователь, являющийся членом группы администраторов домена.Контроллер домена только для чтения включает следующие функции:

• База данных AD DS только для чтения

• Однонаправленная репликация

• Кэширование учетных данных

• Разделение ролей администратора

• Система доменных имен (DNS) только для чтения

Сведения о развертывании контроллера домена только для чтения см. В разделе Общие сведения о планировании и развертывании контроллеров домена только для чтения.

Эта группа безопасности была введена в Windows Server 2008 и не изменилась в последующих версиях.

Пользователи удаленного рабочего стола

Группа «Пользователи удаленного рабочего стола» на сервере узла сеансов удаленных рабочих столов используется для предоставления пользователям и группам разрешений на удаленное подключение к серверу узла сеансов удаленных рабочих столов.Эту группу нельзя переименовать, удалить или переместить. Он отображается как SID до тех пор, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (также известную как гибкие операции с одним хозяином или FSMO).

Группа «Пользователи удаленного рабочего стола» применяется к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности по умолчанию Active Directory».

Эта группа безопасности не менялась с Windows Server 2008.

Пользователи удаленного управления

Члены группы «Пользователи удаленного управления» могут получать доступ к ресурсам WMI через протоколы управления (например, WS-Management через службу удаленного управления Windows).Это применимо только к пространствам имен WMI, которые предоставляют доступ пользователю.

Группа «Пользователи удаленного управления» обычно используется, чтобы позволить пользователям управлять серверами через консоль диспетчера серверов, тогда как группа WinRMRemoteWMIUsers_ позволяет удаленно запускать команды Windows PowerShell.

Для получения дополнительной информации см. Что нового в MI? и о WMI.

Эта группа безопасности была введена в Windows Server 2012 и не изменилась в последующих версиях.

Репликатор

Компьютеры, входящие в группу репликатора, поддерживают репликацию файлов в домене.Операционные системы Windows Server используют службу репликации файлов (FRS) для репликации системных политик и сценариев входа в систему, хранящихся в системном томе (SYSVOL). Каждый контроллер домена хранит копию SYSVOL для доступа сетевых клиентов. FRS также может реплицировать данные для распределенной файловой системы (DFS), синхронизируя содержимое каждого члена в наборе реплик, как определено DFS. FRS может копировать и поддерживать общие файлы и папки одновременно на нескольких серверах. Когда происходят изменения, контент синхронизируется немедленно внутри сайтов и по расписанию между сайтами.

Предупреждение

В Windows Server 2008 R2 FRS нельзя использовать для репликации папок DFS или пользовательских (не SYSVOL) данных. Контроллер домена Windows Server 2008 R2 по-прежнему может использовать FRS для репликации содержимого общего ресурса SYSVOL в домене, который использует FRS для репликации общего ресурса SYSVOL между контроллерами домена.

Однако серверы Windows Server 2008 R2 не могут использовать FRS для репликации содержимого любого набора реплик, кроме общего ресурса SYSVOL.Служба репликации DFS является заменой FRS и может использоваться для репликации содержимого общего ресурса SYSVOL, папок DFS и других настраиваемых (не SYSVOL) данных. Вам следует перенести все наборы реплик FRS, не относящиеся к SYSVOL, в репликацию DFS. Для получения дополнительной информации см .:

Эта группа безопасности не менялась с Windows Server 2008.

Администраторы схемы

Члены группы «Администраторы схемы» могут изменять схему Active Directory.Эта группа существует только в корневом домене леса доменов Active Directory. Это универсальная группа, если домен находится в основном режиме; это глобальная группа, если домен находится в смешанном режиме.

Группе разрешено вносить изменения в схему в Active Directory. По умолчанию единственным членом группы является учетная запись администратора корневого домена леса. Эта группа имеет полный административный доступ к схеме.

Членство в этой группе может быть изменено любой из групп администраторов служб в корневом домене.Это считается учетной записью администратора службы, поскольку ее участники могут изменять схему, которая управляет структурой и содержимым всего каталога.

Для получения дополнительной информации см. Что такое схема Active Directory ?: Active Directory.

Группа «Администраторы схемы» применяется к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности Active Directory по умолчанию».

Эта группа безопасности не менялась с Windows Server 2008.

Операторы сервера

Члены группы «Операторы сервера» могут администрировать контроллеры домена.Эта группа существует только на контроллерах домена. По умолчанию в группе нет участников. Члены группы «Операторы сервера» могут интерактивно входить на сервер, создавать и удалять общие сетевые ресурсы, запускать и останавливать службы, создавать резервные копии и восстанавливать файлы, форматировать жесткий диск компьютера и выключать компьютер. Эту группу нельзя переименовать, удалить или переместить.

По умолчанию у этой встроенной группы нет участников, и у нее есть доступ к параметрам конфигурации сервера на контроллерах домена.Его членство контролируется группами администраторов служб «Администраторы» и «Администраторы домена» в домене и группой «Администраторы предприятия» в корневом домене леса. Члены этой группы не могут изменять членство в административных группах. Это считается учетной записью администратора службы, потому что ее участники имеют физический доступ к контроллерам домена, они могут выполнять задачи обслуживания (например, резервное копирование и восстановление) и имеют возможность изменять двоичные файлы, установленные на контроллерах домена.Обратите внимание на права пользователя по умолчанию в следующей таблице.

Группа «Операторы сервера» применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Эта группа безопасности не менялась с Windows Server 2008.

Администраторы реплики хранилища

Члены этой группы имеют полный и неограниченный доступ ко всем функциям Storage Replica.

Группа администраторов реплики хранилища применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Группа управляемых счетов системы

Членами этой группы управляет система.

Группа «Управляемые системой учетные записи» применяется к версиям операционной системы Windows Server, перечисленным в таблице «Группы безопасности Active Directory по умолчанию».

Серверы лицензий сервера терминалов

Члены группы серверов лицензий сервера терминалов могут обновлять учетные записи пользователей в Active Directory информацией о выдаче лицензий.Это используется для отслеживания и составления отчетов об использовании клиентских лицензий TS на пользователя. Клиентская лицензия TS на пользователя дает одному пользователю право доступа к серверу терминалов с неограниченного числа клиентских компьютеров или устройств. Эта группа отображается как SID, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (также известную как гибкие операции с одним хозяином или FSMO).

Дополнительные сведения об этой группе безопасности см. В разделе Настройка группы безопасности сервера лицензий служб терминалов.

Группа серверов лицензий сервера терминалов применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Примечание

Эту группу нельзя переименовать, удалить или переместить.

Эта группа безопасности применяется только к Windows Server 2003 и Windows Server 2008, поскольку службы терминалов были заменены службами удаленных рабочих столов в Windows Server 2008 R2.

Пользователи

Членам группы «Пользователи» запрещено вносить случайные или преднамеренные изменения в масштабе всей системы, и они могут запускать большинство приложений.После первоначальной установки операционной системы единственным членом является группа «Прошедшие проверку». Когда компьютер присоединяется к домену, группа «Пользователи домена» добавляется к группе «Пользователи» на компьютере.

Пользователи могут выполнять такие задачи, как запуск приложений, использование локальных и сетевых принтеров, выключение компьютера и блокировка компьютера. Пользователи могут устанавливать приложения, которые разрешено использовать только им, если программа установки приложения поддерживает установку для каждого пользователя.Эту группу нельзя переименовать, удалить или переместить.

Группа «Пользователи» применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Эта группа безопасности включает следующие изменения по сравнению с Windows Server 2008:

• В Windows Server 2008 R2 ИНТЕРАКТИВНЫЙ был добавлен в список участников по умолчанию.

• В Windows Server 2012 список Член из по умолчанию изменен с «Пользователи домена» на «Нет».

Группа авторизации доступа Windows

Члены этой группы имеют доступ к вычисляемому токену атрибута GroupsGlobalAndUniversal на объектах «Пользователь».Некоторые приложения имеют функции, которые считывают атрибут token-groups-global-and-universal (TGGAU) в объектах учетных записей пользователей или в объектах учетных записей компьютеров в доменных службах Active Directory. Некоторые функции Win32 упрощают чтение атрибута TGGAU. Приложения, которые читают этот атрибут или вызывают API (называемый функцией), который считывает этот атрибут, не завершаются успешно, если вызывающий контекст безопасности не имеет доступа к атрибуту. Эта группа отображается как SID, пока контроллер домена не станет основным контроллером домена и не будет выполнять роль хозяина операций (также известную как гибкие операции с одним хозяином или FSMO).

Группа доступа для авторизации Windows применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Примечание

Эту группу нельзя переименовать, удалить или переместить.

Эта группа безопасности не менялась с Windows Server 2008.

WinRMRemoteWMIUsers_

В Windows 8 и Windows Server 2012 вкладка Share была добавлена ​​в пользовательский интерфейс дополнительных параметров безопасности.На этой вкладке отображаются свойства безопасности удаленного файлового ресурса. Для просмотра этой информации у вас должны быть следующие разрешения и членство в зависимости от версии Windows Server, на которой работает файловый сервер.

Группа WinRMRemoteWMIUsers_ применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

• Если общий файловый ресурс размещен на сервере, на котором работает поддерживаемая версия операционной системы:

• Если общий файловый ресурс размещен на сервере под управлением версии Windows Server более ранней, чем Windows Server 2012:

В Windows Server 2012 функция помощи при отказе в доступе добавляет группу «Прошедшие проверку» в локальную группу WinRMRemoteWMIUsers__.Таким образом, когда функция помощи при отказе в доступе включена, все прошедшие проверку подлинности пользователи, имеющие разрешения на чтение для общего файлового ресурса, могут просматривать разрешения для общего файлового ресурса.

Примечание

Группа WinRMRemoteWMIUsers_ позволяет запускать команды Windows PowerShell удаленно, тогда как группа «Пользователи удаленного управления» обычно используется, чтобы позволить пользователям управлять серверами с помощью консоли диспетчера серверов.

Эта группа безопасности была введена в Windows Server 2012 и не изменилась в последующих версиях.

См. Также

terraform-aws-modules / terraform-aws-security-group: модуль Terraform, который создает группы безопасности EC2-VPC на AWS

 {
 "activemq": {
 "egress_rules": [
 "all-all" 
], 
 "ingress_rules": [
 "activemq-5671-tcp", 
 "activemq-8883-tcp", 
 » activemq-61614-tcp ", 
" activemq-61617-tcp ", 
" activemq-61619-tcp "
], 
" ingress_with_self ": [
" all-all "
] 
}, 
" alertmanager ": { 
 "egress_rules": [
 "all-all" 
], 
 "ingress_rules": [
 "alertmanager-9093-tcp", 
 "alertmanager-9094-tcp" 
], 
 "ingress_with_self": [
 "все -all "
] 
}, 
" carbon-relay-ng ": {
" egress_rules ": [
" all-all "
], 
" ingress_rules ": [
" carbon-line-in-tcp ", 
 «карбон-линия-в-UDP», 
 «углерод-рассол-tcp», 
 «карбон-рассол-удп», 
 «карбон-гуй-удп» 
], 
 «ingress_with_self»: ​​[
 «все- all "
] 
}, 
" cassandra ": {
" egress_rules ": [
" all-all "
], 
" ingress_rules ": [
" cassandra-clients-tcp ", 
" cassandra-thrif t-clients-tcp ", 
" cassandra-jmx-tcp "
], 
" ingress_with_self ": [
" all-all "
] 
}, 
" consul ": {
" egress_rules ": [
" все -all «
], 
« ingress_rules »: [
« consul-tcp », 
« consul-cli-rpc-tcp », 
« consul-webui-tcp », 
« consul-dns-tcp », 
» consul-dns-udp ", 
" consul-serf-lan-tcp ", 
" consul-serf-lan-udp ", 
" consul-serf-wan-tcp ", 
" consul-serf-wan-udp " 
], 
 «ingress_with_self»: ​​[
 «all-all» 
] 
}, 
 «docker-swarm»: {
 «egress_rules»: [
 «all-all» 
], 
 «ingress_rules»: [
 «docker-swarm-mngmt-tcp», 
 «docker-swarm-node-tcp», 
 «docker-swarm-node-udp», 
 «docker-swarm-overlay-udp» 
], 
 «ingress_with_self»: [
 «все-все» 
] 
}, 
 «elasticsearch»: {
 «egress_rules»: [
 «all-all» 
], 
 «ingress_rules»: [
 «elasticsearch-rest-tcp», 
 » elasticsearch-java-tcp "
], 
" ingress_with_ self ": [
" all-all "
] 
}, 
" grafana ": {
" egress_rules ": [
" all-all "
], 
" ingress_rules ": [
" grafana-tcp "
] , 
 "ingress_with_self": [
 "all-all" 
] 
}, 
 "graphite-statsd": {
 "egress_rules": [
 "all-all" 
], 
 "ingress_rules": [
 "графит -webui », 
« графит-2003-tcp », 
« графит-2004-tcp », 
« графит-2023-tcp », 
« графит-2024-tcp », 
« графит-8080-tcp », 
 «графит-8125-tcp», 
 «графит-8125-udp», 
 «графит-8126-tcp» 
], 
 «ingress_with_self»: ​​[
 «all-all» 
] 
}, 
 «http-80 ": {
" egress_rules ": [
" all-all "
], 
" ingress_rules ": [
" http-80-tcp "
], 
" ingress_with_self ": [
" all-all "
] 
 }, 
 «http-8080»: {
 «egress_rules»: [
 «all-all» 
], 
 «ingress_rules»: [
 «http-8080-tcp» 
], 
 «ingress_with_self»: ​​[
 » все-все "
] 
}, 
 «https-443»: {
 «egress_rules»: [
 «all-all» 
], 
 «ingress_rules»: [
 «https-443-tcp» 
], 
 «ingress_with_self»: ​​[
 "все-все" 
] 
}, 
 "https-8443": {
 "egress_rules": [
 "все-все" 
], 
 "ingress_rules": [
 "https-8443-tcp" 
], 
 "ingress_with_self": [
 "all-all" 
] 
}, 
 "ipsec-4500": {
 "egress_rules": [
 "all-all" 
], 
 "ingress_rules": [
 "ipsec- 4500-udp "
], 
" ingress_with_self ": [
" all-all "
] 
}, 
" ipsec-500 ": {
" egress_rules ": [
" all-all "
], 
" ingress_rules ": [
" ipsec-500-udp "
], 
" ingress_with_self ": [
" all-all "
] 
}, 
" kafka ": {
" egress_rules ": [
" all-all "
 ], 
 «ingress_rules»: [
 «кафка-брокер-tcp», 
 «кафка-брокер-tls-tcp», 
 «кафка-jmx-экспортер-tcp», 
 «кафка-узел-экспортер-tcp» 
 ], 
 "ingress_ with_self ": [
" all-all "
] 
}, 
" kibana ": {
" egress_rules ": [
" all-all "
], 
" ingress_rules ": [
" kibana-tcp "
] , 
 "ingress_with_self": [
 "all-all" 
] 
}, 
 "kubernetes-api": {
 "egress_rules": [
 "all-all" 
], 
 "ingress_rules": [
 "kubernetes -api-tcp "
], 
" ingress_with_self ": [
" all-all "
] 
}, 
" ldap ": {
" egress_rules ": [
" all-all "
], 
" ingress_rules " : [
 «ldap-tcp» 
], 
 «ingress_with_self»: ​​[
 «all-all» 
] 
}, 
 «ldaps»: {
 «egress_rules»: [
 «all-all» 
], 
 "ingress_rules": [
 "ldaps-tcp" 
], 
 "ingress_with_self": [
 "all-all" 
] 
}, 
 "logstash": {
 "egress_rules": [
 "all-all" 
 ], 
 "ingress_rules": [
 "logstash-tcp" 
], 
 "ingress_with_self": [
 "all-all" 
] 
}, 
 "memcached": {
 "e gress_rules ": [
" all-all "
], 
" ingress_rules ": [
" memcached-tcp "
], 
" ingress_with_self ": [
" all-all "
] 
}, 
" minio ": {
 "egress_rules": [
 "all-all" 
], 
 "ingress_rules": [
 "minio-tcp" 
], 
 "ingress_with_self": [
 "all-all" 
] 
}, 
 " mongodb ": {
" egress_rules ": [
" all-all "
], 
" ingress_rules ": [
" mongodb-27017-tcp ", 
" mongodb-27018-tcp ", 
" mongodb-27019-tcp «
], 
« ingress_with_self »: [
« all-all »
] 
}, 
« mssql »: {
« egress_rules »: [
« all-all »
], 
« ingress_rules »: [
» mssql-tcp ", 
" mssql-udp ", 
" mssql-analytics-tcp ", 
" mssql-broker-tcp "
], 
" ingress_with_self ": [
" all-all "
] 
}, 
 "mysql": {
 "egress_rules": [
 "all-all" 
], 
 "ingress_rules": [
 "mysql-tcp" 
], 
 "ingress_with_self": [
 "all-all" 
] 
}, 
 "nfs": {
 "egress_rules": [
 "all-all" 
], 
 "ingress_rules": [
 "nfs-tcp" 
], 
 "ingress_with_self": [
 "все -all "
] 
}, 
" кочевник ": {
" egress_rules ": [
" все-все "
], 
" ingress_rules ": [
" кочевник-http-tcp ", 
" кочевник-rpc- tcp ", 
" nomad-serf-tcp ", 
" nomad-serf-udp "
], 
" ingress_with_self ": [
" all-all "
] 
}, 
" ntp ": {
" egress_rules " : [
 "все-все" 
], 
 "ingress_rules": [
 "ntp-udp" 
], 
 "ingress_with_self": [
 "все-все" 
] 
}, 
 "openvpn": {
 «egress_rules»: [
 «all-all» 
], 
 «ingress_rules»: [
 «openvpn-udp», 
 «openvpn-tcp», 
 «openvpn-https-tcp» 
], 
 «ingress_with_self»: [
 «all-all» 
] 
}, 
 «oracle-db»: {
 «egress_rules»: [
 «all-all» 
], 
 «ingress_rules»: [
 «oracle-db-tcp» 
 ], 
 "ingress_wi th_self ": [
" all-all "
] 
}, 
" postgresql ": {
" egress_rules ": [
" all-all "
], 
" ingress_rules ": [
" postgresql-tcp "
] , 
 "ingress_with_self": [
 "all-all" 
] 
}, 
 "prometheus": {
 "egress_rules": [
 "all-all" 
], 
 "ingress_rules": [
 "prometheus-http -tcp ", 
" prometheus-pushgateway-http-tcp "
], 
" ingress_with_self ": [
" all-all "
] 
}, 
" марионетка ": {
" egress_rules ": [
" all- all "
], 
" ingress_rules ": [
" puppet-tcp ", 
" puppetdb-tcp "
], 
" ingress_with_self ": [
" all-all "
] 
}, 
" rabbitmq ": { 
 «egress_rules»: [
 «all-all» 
], 
 «ingress_rules»: [
 «rabbitmq-4369-tcp», 
 «rabbitmq-5671-tcp», 
 «rabbitmq-5672-tcp», 
 » rabbitmq-15672-tcp ", 
" rabbitmq-25672-tcp "
], 
" ingress_with_self ": [
" all-all "
] 
}, 
" rdp ": {
" например ress_rules ": [
" all-all "
], 
" ingress_rules ": [
" rdp-tcp ", 
" rdp-udp "
], 
" ingress_with_self ": [
" all-all "
] 
 }, 
 "redis": {
 "egress_rules": [
 "all-all" 
], 
 "ingress_rules": [
 "redis-tcp" 
], 
 "ingress_with_self": [
 "all-all" 
] 
}, 
 "красное смещение": {
 "egress_rules": [
 "все-все" 
], 
 "ingress_rules": [
 "красное смещение-tcp" 
], 
 "ingress_with_self": [
 "все -all "
] 
}, 
" solr ": {
" egress_rules ": [
" all-all "
], 
" ingress_rules ": [
" solr-tcp "
], 
" ingress_with_self ": [ 
 "все-все" 
] 
}, 
 "splunk": {
 "egress_rules": [
 "все-все" 
], 
 "ingress_rules": [
 "splunk-indexer-tcp", 
 "splunk -clients-tcp ", 
" splunk-splunkd-tcp ", 
" splunk-hec-tcp "
], 
" ingress_with_self ": [
" all-all "
] 
}, 
" squid ": { 
 "egress_rules": [
 "all-all" 
], 
 "ingress_rules": [
 "squid-proxy-tcp" 
], 
 "ingress_with_self": [
 "all-all" 
] 
}, 
 "ssh": {
 "egress_rules": [
 "all-all" 
], 
 "ingress_rules": [
 "ssh-tcp" 
], 
 "ingress_with_self": [
 "all-all" 
] 
 }, 
 "storm": {
 "egress_rules": [
 "all-all" 
], 
 "ingress_rules": [
 "storm-nimbus-tcp", 
 "storm-ui-tcp", 
 "storm -supervisor-tcp "
], 
" ingress_with_self ": [
" all-all "
] 
}, 
" web ": {
" egress_rules ": [
" all-all "
], 
" ingress_rules " : [
 «http-80-tcp», 
 «http-8080-tcp», 
 «https-443-tcp», 
 «web-jmx-tcp» 
], 
 «ingress_with_self»: ​​[
 «all- все "
] 
}, 
" winrm ": {
" egress_rules ": [
" all-all "
], 
" ingress_rules ": [
" winrm-http-tcp ", 
" winrm-https-tcp «
], 
» ingress_with_s elf ": [
" all-all "
] 
}, 
" zipkin ": {
" egress_rules ": [
" all-all "
], 
" ingress_rules ": [
" zipkin-admin-tcp " , 
 «zipkin-admin-query-tcp», 
 «zipkin-admin-web-tcp», 
 «zipkin-query-tcp», 
 «zipkin-web-tcp» 
], 
 «ingress_with_self»: ​​[
 "все-все" 
] 
}, 
 "zookeeper": {
 "egress_rules": [
 "все-все" 
], 
 "ingress_rules": [
 "zookeeper-2181-tcp", 
 "zookeeper- 2888-tcp ", 
" zookeeper-3888-tcp ", 
" zookeeper-jmx-tcp "
], 
" ingress_with_self ": [
" all-all "
] 
} 
} 

 {
 "_": [
 "", 
 "", 
 "" 
], 
 "activemq-5671-tcp": [
 5671, 
 5671, 
 "tcp", 
 "ActiveMQ AMQP" 
 ], 
 "activemq-61614-tcp": [
 61614, 
 61614, 
 "tcp", 
 "ActiveMQ STOMP" 
], 
 "activemq-61617-tcp": [
 61617, 
 61617, 
 "tcp ", 
" ActiveMQ OpenWire "
], 
" activemq-61619-tcp ": [
 61619, 
 61619, 
" tcp ", 
" ActiveMQ WebSocket "
], 
" activemq-8883-tcp ": [
 8883, 
 8883, 
 "tcp", 
 "ActiveMQ MQTT" 
], 
 "alertmanager-9093-tcp": [
 9093, 
 9093, 
 "tcp", 
 "Alert Manager" 
], 
 "alertmanager -9094-tcp ": [
 9094, 
 9094, 
" tcp ", 
" Кластер диспетчера предупреждений "
], 
" все-все ": [
-1, 
-1, 
" -1 ", 
 «Все протоколы» 
], 
 «all-icmp»: [
 -1, 
 -1, 
 «icmp», 
 «Все IPV4 ICMP» 
], 
 «all-ipv6-icmp»: [
 -1 , 
-1, 
 58 , 
 «Все IPV6 ICMP» 
], 
 «all-tcp»: [
 0, 
 65535, 
 «tcp», 
 «Все TCP-порты» 
], 
 «all-udp»: [
 0, 
 65535, 
 "udp", 
 "Все порты UDP" 
], 
 "carbon-admin-tcp": [
 2004, 
 2004, 
 "tcp", 
 "Carbon admin" 
], 
 "carbon-gui -udp ": [
 8081, 
 8081, 
" tcp ", 
" Carbon GUI "
], 
" carbon-line-in-tcp ": [
 2003, 
 2003, 
" tcp ", 
" Carbon line-in "
], 
" carbon-line-in-udp ": [
 2003, 
 2003, 
" udp ", 
" Carbon line-in "
], 
" carbon-pickle-tcp ": [ 
 2013, 
 2013, 
 «tcp», 
 «Carbon pickle» 
], 
 «Carbon-pickle-udp»: [
 2013, 
 2013, 
 «udp», 
 «Carbon pickle» 
], 
 » cassandra-clients-tcp ": [
 9042, 
 9042, 
" tcp ", 
" Клиенты Cassandra "
], 
" cassandra-jmx-tcp ": [
 7199, 
 7199, 
" tcp ", 
" JMX "
], 
" кассандра-thrift-cli ents-tcp ": [
 9160, 
 9160, 
" tcp ", 
" Клиенты Cassandra Thrift "
], 
" consul-cli-rpc-tcp ": [
 8400, 
 8400, 
" tcp ", 
 «Consul CLI RPC» 
], 
 «consul-dns-tcp»: [
 8600, 
 8600, 
 «tcp», 
 «Consul DNS» 
], 
 «consul-dns-udp»: [
 8600, 
 8600, 
 "udp", 
 "Consul DNS" 
], 
 "consul-serf-lan-tcp": [
 8301, 
 8301, 
 "tcp", 
 "Serf LAN" 
], 
 "consul -serf-lan-udp ": [
 8301, 
 8301, 
" udp ", 
" Serf LAN "
], 
" consul-serf-wan-tcp ": [
 8302, 
 8302, 
" tcp " , 
 «Serf WAN» 
], 
 «consul-serf-wan-udp»: [
 8302, 
 8302, 
 «udp», 
 «Serf WAN» 
], 
 «consul-tcp»: [
 8300 , 
 8300, 
 "tcp", 
 "Consul server" 
], 
 "consul-webui-tcp": [
 8500, 
 8500, 
 "tcp", 
 "Consul web UI" 
], 
 "dns -tcp ": [
 53, 
 53, 
" tcp ", 
" DNS "9 6005], 
 «dns-udp»: [
 53, 
 53, 
 «udp», 
 «DNS» 
], 
 «docker-swarm-mngmt-tcp»: [
 2377, 
 2377, 
 «tcp ", 
" Управление кластером Docker Swarm "
], 
" docker-swarm-node-tcp ": [
 7946, 
 7946, 
" tcp ", 
" Узел Docker Swarm "
], 
" docker-swarm- node-udp ": [
 7946, 
 7946, 
" udp ", 
" Docker Swarm node "
], 
" docker-swarm-overlay-udp ": [
 4789, 
 4789, 
" udp ", 
 «Docker Swarm Overlay Network Traffic» 
], 
 «elasticsearch-java-tcp»: [
 9300, 
 9300, 
 «tcp», 
 «Java-интерфейс Elasticsearch» 
], 
 «elasticsearch-rest-tcp»: [ 
 9200, 
 9200, 
 "tcp", 
 "Интерфейс REST Elasticsearch" 
], 
 "grafana-tcp": [
 3000, 
 3000, 
 "tcp", 
 "Grafana Dashboard" 
], 
 "графит -2003-tcp ": [
 2003, 
 2003, 
" tcp ", 
" Карбоновый приемник обычный текст "
], 
" графит-2004-tc p ": [
 2004, 
 2004, 
" tcp ", 
" Рассол для приемника углерода "
], 
" graphite-2023-tcp ": [
 2023, 
 2023, 
" tcp ", 
" Открытый текст агрегатора углерода «
], 
« графит-2024-tcp »: [
 2024, 
 2024, 
« tcp », 
« Углеродный агрегатор рассола »
], 
« графит-8080-tcp »: [
 8080, 
 8080, 
 "tcp", 
 "Graphite gunicorn port" 
], 
 "graphite-8125-tcp": [
 8125, 
 8125, 
 "tcp", 
 "Statsd TCP" 
], 
 "графит-8125-udp ": [
 8125, 
 8125, 
" udp ", 
" Statsd UDP по умолчанию "
], 
" graphite-8126-tcp ": [
 8126, 
 8126, 
" tcp ", 
" Statsd admin "
 ], 
 «graphite-webui»: [
 80, 
 80, 
 «tcp», 
 «Graphite admin interface» 
], 
 «http-80-tcp»: [
 80, 
 80, 
 «tcp» , 
 «HTTP» 
], 
 «http-8080-tcp»: [
 8080, 
 8080, 
 «tcp», 
 «HTTP» 
], 
 «https-443-tcp»: [
 443, 9 6005 443, 
 "tcp", 
 "HTTPS" 
], 
 "https-8443-tcp": [
 8443, 
 8443, 
 "tcp", 
 "HTTPS" 
], 
 "ipsec-4500-udp ": [
 4500, 
 4500, 
" udp ", 
" IPSEC NAT-T "
], 
" ipsec-500-udp ": [
 500, 
 500, 
" udp ", 
" IPSEC ISAKMP " 
], 
 «кафка-брокер-tcp»: [
 9092, 
 9092, 
 «tcp», 
 «брокер Kafka 0.8.2+ "
], 
" kafka-broker-tls-tcp ": [
 9094, 
 9094, 
" tcp ", 
" Брокер с поддержкой Kafka TLS 0.8.2+ "
], 
" kafka-jmx-exporter -tcp ": [
 11001, 
 11001, 
" tcp ", 
" Kafka JMX Exporter "
], 
" kafka-node-exporter-tcp ": [
 11002, 
 11002, 
" tcp ", 
" Kafka Node Exporter "
], 
" kibana-tcp ": [
 5601, 
 5601, 
" tcp ", 
" Kibana Web Interface "
], 
" kubernetes-api-tcp ": [
 6443, 
 6443 , 
 "tcp", 
 "Сервер API Kubernetes" 
], 
 "ldap-tcp": [
 389, 
 389, 
 "tcp", 
 "LDAP" 
], 
 "ldaps-tcp": [
 636, 
 636, 
 «tcp», 
 «LDAPS» 
], 
 «logstash-tcp»: [
 5044, 
 5044, 
 «tcp», 
 «Logstash» 
], 
 «memcached-tcp»: [
 11211, 
 11211, 
 "tcp", 
 "Memcached" 
], 
 "minio-tcp": [
 9000, 
 9000, 
 "tcp", 
 "MinIO" 
], 
 "mongodb-27017 -tcp ": [ 
 27017, 
 27017, 
 "tcp", 
 "MongoDB" 
], 
 "mongodb-27018-tcp": [
 27018, 
 27018, 
 "tcp", 
 "MongoDB shard" 
], 96b005 "mongod -27019-tcp ": [
 27019, 
 27019, 
" tcp ", 
" Сервер конфигурации MongoDB "
], 
" mssql-analytics-tcp ": [
 2383, 
 2383, 
" tcp ", 
" MSSQL Analytics "
], 
" mssql-broker-tcp ": [
 4022, 
 4022, 
" tcp ", 
" MSSQL Broker "
], 
" mssql-tcp ": [
 1433, 
 1433, 
 "tcp", 
 "Сервер MSSQL" 
], 
 "mssql-udp": [
 1434, 
 1434, 
 "udp", 
 "Браузер MSSQL" 
], 
 "mysql-tcp": [
 3306, 
 3306, 
 «tcp», 
 «MySQL / Aurora» 
], 
 «nfs-tcp»: [
 2049, 
 2049, 
 «tcp», 
 «NFS / EFS» 
], 
 «nomad-http -tcp ": [
 4646, 
 4646, 
" tcp ", 
" Nomad HTTP "
], 
" nomad-rpc-tcp ": [
 4647, 
 4647, 
" tcp ", 
" Nomad RPC " 
], 
 дюймов п. omad-serf-tcp ": [
 4648, 
 4648, 
" tcp ", 
" Serf "
], 
" nomad-serf-udp ": [
 4648, 
 4648, 
" udp ", 
" Serf 
], 
 «ntp-udp»: [
 123, 
 123, 
 «udp», 
 «NTP» 
], 
 «openvpn-https-tcp»: [
 443, 
 443, 
 «tcp» , 
 «OpenVPN» 
], 
 «openvpn-tcp»: [
 943, 
 943, 
 «tcp», 
 «OpenVPN» 
], 
 «openvpn-udp»: [
 1194, 
 1194, 
 » udp ", 
" OpenVPN "
], 
" oracle-db-tcp ": [
 1521, 
 1521, 
" tcp ", 
" Oracle "
], 
" postgresql-tcp ": [
 5432, 
 5432, 
 "tcp", 
 "PostgreSQL" 
], 
 "prometheus-http-tcp": [
 9090, 
 9090, 
 "tcp", 
 "Prometheus" 
], 
 "prometheus-pushgateway-http- tcp ": [
 9091, 
 9091, 
" tcp ", 
" Прометей Pushgateway "
], 
" puppet-tcp ": [
 8140, 
 8140, 
" tcp ", 
" Puppet "
], 
 "puppetdb-tcp": [
 8081, 
 8081, 
 "tcp", 
 "PuppetDB" 
], 
 "rabbitmq-15672-tcp": [
 15672, 
 15672, 
 "tcp", 
 "RabbitMQ" 
], 
 "rabbitmq -tcp ": [
 25672, 
 25672, 
" tcp ", 
" RabbitMQ "
], 
" rabbitmq-4369-tcp ": [
 4369, 
 4369, 
" tcp ", 
" RabbitMQ5 epmd "9600 ], 
 "rabbitmq-5671-tcp": [
 5671, 
 5671, 
 "tcp", 
 "RabbitMQ" 
], 
 "rabbitmq-5672-tcp": [
 5672, 
 5672, 
 "tcp" , 
 «RabbitMQ» 
], 
 «rdp-tcp»: [
 3389, 
 3389, 
 «tcp», 
 «Удаленный рабочий стол» 
], 
 «rdp-udp»: [
 3389, 
 3389, 
 «udp», 
 «Удаленный рабочий стол» 
], 
 «redis-tcp»: [
 6379, 
 6379, 
 «tcp», 
 «Redis» 
], 
 «redshift-tcp»: [
 5439, 
 5439, 
 «tcp», 
 «Redshift» 
], 
 «solr-tcp»: [
 8983, 
 8987, 
 «tcp», 
 «Solr» 
], 
 «splunk-hec-tcp»: [ 
 8088, 
 8088, 
 "tcp", 
 "Splunk HEC" 
], 
 "splunk-indexer-tcp": [
 9997, 
 9997, 
 "tcp", 
 "Splunk indexer" 
], 
 "splunk-splunkd-tcp" : [
 8089, 
 8089, 
 «tcp», 
 «Splunkd» 
], 
 «splunk-web-tcp»: [
 8000, 
 8000, 
 «tcp», 
 «Splunk Web» 
], 
 "squid-proxy-tcp": [
 3128, 
 3128, 
 "tcp", 
 "Прокси-сервер Squid по умолчанию" 
], 
 "ssh-tcp": [
 22, 
 22, 
 "tcp", 
 " SSH "
], 
" storm-nimbus-tcp ": [
 6627, 
 6627, 
" tcp ", 
" Nimbus "
], 
" storm-supervisor-tcp ": [
 6700, 
 6703, 
 "tcp", 
 "Supervisor" 
], 
 "storm-ui-tcp": [
 8080, 
 8080, 
 "tcp", 
 "Storm UI" 
], 
 "web-jmx-tcp": [ 
 1099, 
 1099, 
 "tcp", 
 "JMX" 
], 
 "winrm-http-tcp": [
 5985, 
 5985, 
 "tcp", 
 "WinRM HTTP" 
], 
 "winrm -https-tcp ": [
 5986, 
 5986, 
 "tcp", 
 "WinRM HTTPS" 
], 
 "zipkin-admin-query-tcp": [
 9901, 
 9901, 
 "tcp", 
 "Запрос порта администратора Zipkin" 
], 
 "zipkin-admin -tcp ": [
 9990, 
 9990, 
" tcp ", 
" Zipkin Admin Port Collector "
], 
" zipkin-admin-web-tcp ": [
 9991, 
 9991, 
" tcp ", 
 "Порт администратора Zipkin web" 
], 
 "zipkin-query-tcp": [
 9411, 
 9411, 
 "tcp", 
 "Порт запроса Zipkin" 
], 
 "zipkin-web-tcp": [
 8080, 
 8080, 
 "tcp", 
 "Веб-порт Zipkin" 
], 
 "zookeeper-2181-tcp": [
 2181, 
 2181, 
 "tcp", 
 "Zookeeper" 
], 
 "zookeeper -2888-tcp ": [
 2888, 
 2888, 
" tcp ", 
" Zookeeper "
], 
" zookeeper-3888-tcp ": [
 3888, 
 3888, 
" tcp ", 
" Zookeeper " 
], 
 "zookeeper-jmx-tcp": [
 7199, 
 7199, 
 "tcp", 
 "JMX" 
] 
} 

Группы безопасности AWS и NACL

Во второй части серии блогов по безопасности облачной сети мы обсудим два метода защиты вашей сети в Amazon Web Services: группы безопасности и списки управления доступом к сети (NACL).Оба типа ресурсов действуют как виртуальный брандмауэр для защиты вашей сети, и у них есть некоторые сходства. Например, группы безопасности и NACL используют наборы правил для входящего и исходящего трафика для управления трафиком к ресурсам и от них в VPC.

Однако группы безопасности и NACL работают на разных уровнях в VPC, имеют немного разные правила по умолчанию и не обрабатывают ответный трафик одинаково.

Итак, какой способ защиты вашей сети лучше всего — группы безопасности или NACL?

На самом деле лучшим решением является реализация обоих типов ресурсов для блокировки вашей сети.Глубокая защита — это все об уровнях безопасности; группы безопасности и NACL — это два уровня, которые дополняют друг друга.

Но мы вернемся к этому через минуту. Во-первых, давайте быстро рассмотрим основы. Начнем с групп безопасности.

Что такое группа безопасности AWS?

В AWS группа безопасности контролирует трафик к или от экземпляра EC2 в соответствии с набором правил для входящего и исходящего трафика. Это означает, что он представляет безопасность на уровне экземпляра.Например, правило для входящего трафика может разрешать трафик с одного IP-адреса для доступа к экземпляру, а правило для исходящего трафика может разрешать весь трафик покидать экземпляр.

Поскольку группы безопасности работают на уровне экземпляра VPC, каждая группа безопасности может применяться к одному или нескольким экземплярам, ​​даже в подсетях. И каждый экземпляр должен быть связан с одной или несколькими группами безопасности. Если быть точным, группа безопасности связана с сетевым интерфейсом, подключенным к экземпляру, но мы не обсуждаем эту деталь для простоты.

При создании VPC AWS автоматически создает для него группу безопасности по умолчанию. Вы можете добавлять и удалять правила из группы безопасности по умолчанию, но вы не можете удалить саму группу безопасности.

Теперь давайте посмотрим на NACL.

Что такое AWS NACL?

В AWS сетевой ACL (или NACL) контролирует трафик в или из подсети в соответствии с набором правил для входящего и исходящего трафика. Это означает, что он представляет собой безопасность сетевого уровня.Например, правило для входящего трафика может запрещать входящий трафик с диапазона IP-адресов, а правило для исходящего трафика может разрешать весь трафик покидать подсеть.

Поскольку NACL функционируют на уровне подсети VPC, каждый NACL может применяться к одной или нескольким подсетям, но каждая подсеть должна быть связана с одним — и только одним — NACL.

При создании VPC AWS автоматически создает для него NACL по умолчанию. Вы можете добавлять и удалять правила из NACL по умолчанию, но вы не можете удалить сам NACL.

В чем разница?

Вы, безусловно, можете защитить свой VPC с помощью только групп безопасности. Поскольку для экземпляров требуются группы безопасности, вы все равно будете их использовать, так что вы также можете настроить их в соответствии со своими потребностями. А поскольку у групп безопасности и NACL так много общего, вы можете добиться одинаковых результатов с обоими. Но для практики глубокой защиты лучшим решением является использование обоих типов ресурсов в качестве виртуальных межсетевых экранов. Если вы правильно настроите их правила, они образуют очень эффективную комбинацию для фильтрации трафика к вашим экземплярам и от них.

Теперь, когда мы установили основы, давайте углубимся в то, что отличает группы безопасности и NACL, и, что более важно, как они работают вместе. Мы сосредоточимся на следующих ключевых областях:

• Как воспользоваться «порядком операций»
• Как они применяются к экземплярам
• Все, что вы хотели знать о правилах, но боялись спросить
• Как обрабатывается состояние
• Разделение обязанностей

Воспользовавшись «порядком операций»

Когда трафик входит в вашу сеть, он фильтруется с помощью NACL , до он фильтруется по группам безопасности.

Это означает, что трафик, разрешенный NACL, может быть разрешен или запрещен группой безопасности, а трафик, остановленный NACL, никогда не продвигается дальше.

Учитывая этот «порядок операций» при обработке входящего трафика, вот два примера реализации NACL и групп безопасности в тандеме:

Используйте детальные правила с NACL и позвольте группам безопасности управлять подключениями между VPC.

Например, если вы настраиваете NACL с детализированными правилами для управления входящим и исходящим трафиком, NACL могут взять на себя основную тяжесть работы по фильтрации трафика.Вы можете настроить NACL, чтобы разрешить входящий трафик HTTP и HTTPS с любого IP-адреса, запретить весь другой входящий трафик и разрешить весь исходящий трафик. В качестве другого примера вы можете разрешить входящий SSH-доступ (порт 22) с одного IP-адреса — вашего — и разрешить исходящий доступ через любой порт к тому же IP-адресу.

Между тем, вы можете настроить группу безопасности, чтобы разрешить входящий трафик от самой себя, обеспечивая связь между ресурсами. Или вы можете настроить группу безопасности, чтобы разрешать входящий и исходящий трафик из другой группы безопасности, что позволяет экземплярам в разных подсетях взаимодействовать друг с другом.

Устранение целых классов трафика с помощью NACL и использование детализированных правил с группами безопасности.

В этом сценарии вы можете настроить NACL для запрета всего трафика от широкого диапазона IP-адресов к определенному протоколу и порту и разрешить остальным переходить к группе безопасности, которая может быть настроена для оценки входящего и исходящего трафика на более детальный уровень. NACL использует грубый подход к контролю трафика, оставляя группу безопасности фильтровать остальное через зубчатую гребенку.

Приложение к инстансам AWS EC2

Как мы упоминали ранее, группы безопасности работают на уровне экземпляра, тогда как NACL работают на уровне подсети.

Группы безопасности — это форма защиты , требуемая для экземпляров, потому что экземпляр должен быть связан хотя бы с одной группой безопасности. Вы не можете запустить экземпляр без него, и вы не можете удалить единственную оставшуюся группу безопасности из существующего экземпляра.

Однако конкретная группа безопасности применяется к экземпляру только в том случае, если пользователь намеренно связывает ее с экземпляром, либо во время запуска, либо после того, как экземпляр был создан.

NACL, с другой стороны, автоматически применяется ко всем экземплярам в подсети, с которой он связан. Это повышает безопасность при использовании вместе с группами безопасности. Например, если пользователь случайно связывает экземпляр с чрезмерно разрешающей группой безопасности, экземпляр все равно может быть защищен NACL.

NACL считаются необязательной формой защиты , например. Подсеть должна иметь NACL, но по умолчанию NACL настроен так, чтобы разрешать весь входящий и исходящий трафик.Напротив, группы безопасности по умолчанию заблокированы.

Говоря о правилах, давайте рассмотрим, как они работают как для групп безопасности, так и для NACL.

Входящие и исходящие правила

Как оцениваются правила

И группы безопасности, и NACL имеют правила для входящего и исходящего трафика. Однако AWS оценивает все правила для всех групп безопасности, связанных с экземпляром, прежде чем принять решение, разрешить входящий или исходящий трафик. Применяется наиболее разрешающее правило, поэтому помните, что ваш экземпляр защищен ровно настолько, насколько надежно ваше самое слабое правило.

Напротив, AWS обрабатывает правила NACL по одному. У каждого правила NACL есть номер, и AWS начинается с правила с наименьшим номером. Если трафик соответствует правилу, правило применяется, и никакие другие правила не оцениваются. Если трафик не соответствует правилу, AWS переходит к оценке следующего правила подряд.

Разрешить или запретить правила

Правила группы безопасности являются неявным запретом, что означает, что запрещается весь трафик, если это явно не разрешено входящим или исходящим правилом.Вы можете только добавлять или удалять «разрешающие» правила — вы не можете добавлять или удалять «запрещающие» правила, и в этом нет необходимости.

С другой стороны, с NACL вы можете добавлять или удалять «разрешающие» правила и «запрещать». Правило для входящего или исходящего трафика может явно разрешать или запрещать соответствующий трафик.

Группы безопасности по умолчанию, NACL по умолчанию

При создании VPC AWS автоматически создает группу безопасности по умолчанию и NACL по умолчанию для вас.

Вы также можете создавать собственные (нестандартные) группы безопасности и NACL по своему усмотрению.

Правила по умолчанию

Все группы безопасности и NACL — как стандартные, так и настраиваемые — поставляются с набором правил по умолчанию .

Этот набор правил по умолчанию различается в зависимости от того, применяется ли он к группе безопасности по умолчанию, настраиваемой группе безопасности или NACL. Давайте посмотрим на разницу.

Группы безопасности по умолчанию: Группа безопасности, созданная AWS по умолчанию, имеет одно правило для входящего трафика по умолчанию , разрешающее трафик от других экземпляров, связанных с той же группой безопасности.Правило позволяет экземплярам общаться друг с другом без необходимости выходить в Интернет.

Группы безопасности по умолчанию, как и все группы безопасности, имеют одно правило для исходящего трафика по умолчанию , разрешающее весь исходящий трафик.

Настраиваемые группы безопасности: Когда вы создаете настраиваемую группу безопасности (не по умолчанию), она не имеет правил для входящих входящих событий по умолчанию.

Группы безопасности, созданные пользователями, как и все группы безопасности, имеют одно правило исходящего трафика по умолчанию , разрешающее весь исходящий трафик.

NACL по умолчанию: В отличие от групп безопасности, NACL по умолчанию, созданный AWS, имеет правила по умолчанию, которые разрешают весь входящий и исходящий трафик. Этот NACL по умолчанию имеет одно правило «разрешить все» и одно правило «запретить все» как для входящего, так и для исходящего трафика, всего четыре правила по умолчанию. Сначала обрабатываются разрешающие все правила. В правилах запретить все есть звездочка вместо номера, поэтому они не обрабатываются, если не соответствует ни одно другое правило.

В результате NACL по умолчанию разрешают весь входящий и исходящий трафик по умолчанию.

Пользовательские NACL: Когда вы создаете пользовательский (не используемый по умолчанию) NACL, он имеет одно правило запретить все как для входящего, так и для исходящего трафика, как и NACL по умолчанию. В правилах запретить все вместо номера стоит звездочка. Однако, в отличие от NACL по умолчанию, пользовательский NACL не имеет разрешающих всех правил, поэтому правило deny-all вместо этого соответствует трафику.

В результате настраиваемые NACL по умолчанию запрещают весь входящий и исходящий трафик.

Удаление правил

Вы можете удалить любое существующее правило для входящего или исходящего трафика в группе безопасности.

Напротив, вы можете удалить любое существующее правило в NACL , кроме для правил запретить все по умолчанию.

В любом случае конечный результат один и тот же — весь входящий и весь исходящий трафик запрещен.

Правила NACL, правила группы безопасности и вы

Правила группы безопасности и правила NACL могут выполнять одни и те же задачи и одинаково управлять трафиком. NACL по умолчанию разрешены для всех, поэтому, если вы решите оставить их такими, используйте группы безопасности для фильтрации трафика VPC.Однако наиболее безопасный подход — использовать NACL в качестве первой линии защиты, а затем настроить группы безопасности для обработки трафика, разрешенного из NACL. Вы можете сделать это, настроив одни и те же правила для групп безопасности и NACL.

Этот метод глубокой защиты способствует избыточности сети и снижает риск неправильной конфигурации, утечки данных и атак со стороны злоумышленников. Если NACL настроен неправильно, группа безопасности должна быть неправильно настроена таким же образом, чтобы пропустить трафик.Например, если правило NACL открывает порт 22 для всего мира, правило группы безопасности также должно открывать порт 22 для всего мира, чтобы неавторизованный трафик SSH мог пройти к экземпляру.

Состояние

Еще одно важное различие между группами безопасности и NACL заключается в том, применяют ли они правила на основе состояния соединения.

Группы безопасности с отслеживанием состояния; они автоматически разрешают обратный трафик независимо от установленных правил.Если ваш экземпляр отправляет запрос, соединение отслеживается и ответ принимается независимо от явных правил для входящих подключений. Если трафик разрешен в экземпляр, ответ разрешен независимо от явных исходящих правил.

, с другой стороны, не имеют состояния. Если экземпляр в вашей подсети отправляет запрос, соединение не отслеживается, и ответ подчиняется правилам для входящих подключений NACL. Аналогичным образом, если в подсеть разрешен трафик, ответ оценивается в соответствии с правилами исходящего трафика.

На практике это означает, что правила NACL обычно идут парами. Для каждого входящего правила для NACL должно быть соответствующее исходящее правило, и наоборот.

Группам безопасности не нужны правила для оценки трафика ответа. Для оценки запросов необходимо только определить правила для входящих или исходящих сообщений, поскольку, если запрос разрешен, автоматически разрешается и его ответ.

Штат обычно не имеет большого значения при принятии решения о внедрении групп безопасности vs.NACL, потому что оба инструмента могут эффективно контролировать трафик. Основное различие в отношении состояния состоит в том, что с группами безопасности вы не можете разрешить трафик в одном направлении, но запретите ответ.

Например, если ваш источник находится за пределами экземпляра и он разрешен, вы не сможете отклонить ответ, потому что он автоматически вернется обратно. Если ваше состояние безопасности требует очень детального контроля для обработки трафика запросов и ответов, NACL больше подходят для этой задачи, потому что и запросы, и ответы оцениваются в соответствии с явными правилами.

С другой стороны, если у вас небольшая операция и вам не нужен трафик запросов и ответов, оцениваемый на таком детальном уровне, группами безопасности легче управлять, и для них требуется меньше правил, чем для NACL.

В конечном счете, оба метода действительны сами по себе — и даже лучше в сочетании.

Разделение обязанностей

Настройка групп безопасности и NACL способствует разделению обязанностей, что является еще одним передовым методом обеспечения безопасности.Поскольку группы безопасности и NACL работают на разных уровнях, вы можете гарантировать, что за них несут ответственность разные группы. Если в вашей организации есть группа для уровня сетевой безопасности и группа для уровня безопасности сервера, сетевые администраторы могут управлять NACL, а администраторы серверов могут управлять группами безопасности. Таким образом, одному члену группы намного сложнее поставить под угрозу оба уровня безопасности. Это также способ продвигать принцип безопасности с наименьшими привилегиями, поскольку обязанности разделены между командами.

Лучшее из обоих миров

Подведем итог тому, что мы узнали о группах безопасности и NACL:

Оба…

• Использование правил для входящего и исходящего трафика для управления трафиком
• Может применяться более чем к одному экземпляру (группа безопасности) или подсети (NACL)
• Может быть заблокирован, чтобы запретить весь трафик в любом направлении
• Допустимые методы защиты ресурсов в VPC
• Совместная работа по обеспечению избыточности сети и предотвращению несанкционированных действий

Короче говоря, группы безопасности и NACL могут использоваться для защиты вашей сети — по отдельности и вместе.При правильной настройке оба представляют собой эффективные способы защиты ресурсов в вашем VPC. Обратите внимание, что просто иметь эти ресурсы в вашей сети недостаточно; в конце концов, все сводится к тому, как вы их настраиваете. Ваш самый строгий брандмауэр защищен настолько, насколько безопасны его самые разрешающие правила. И все группы безопасности и все NACL в мире не могут защитить ваш экземпляр, если есть правило, разрешающее доступ к нему всему трафику из всех источников.

Что такое группы безопасности Active Directory?

98% угроз безопасности начинаются с Active Directory.

Active Directory буквально держит ключи от вашего королевства. Если не установлены правильные принципы безопасности и вы предоставляете своим пользователям чрезмерные разрешения, вы подвергаете себя потенциальным угрозам безопасности.

В Active Directory существует множество протоколов безопасности на выбор для реализации политики наименьших привилегий, при которой вы предоставляете административный доступ только тем, кто действительно в нем нуждается.

В этом блоге мы подробно рассмотрим, что такое группы безопасности в Active Directory, разницу между группами рассылки и группами безопасности, какие группы безопасности можно использовать и как именно их создать.

Получите бесплатное руководство по обеспечению безопасности Active Directory

Пожалуйста, проверьте свою электронную почту (включая папку со спамом) на предмет ссылки на технический документ!

Что такое группы Active Directory?

Active Directory — это программа, которая сортирует пользователей по различным группам.Это централизованная платформа, которую большинство предприятий используют для управления учетными записями компьютеров и предоставления доступа к конфиденциальным данным.

Группа Active Directory — это группа пользователей, которым предоставлен доступ к определенным ресурсам. Есть два способа предоставить группам такой доступ; через глобальный уникальный идентификатор (GUID) или идентификатор безопасности (SID).

в основном используются, когда доступ должен быть предоставлен определенным пользователям, тогда как идентификаторы GUID используются при группировке пользователей, которым всем необходим доступ к одним и тем же ресурсам.

Группы могут быть созданы на основе отдельных пользователей, которым всем необходим доступ к определенным ресурсам, или они могут быть созданы на основе глобальных групп (таких как отдел) или членов определенного домена.

Два типа групп Active Directory

Active Directory разделены на две категории — Группы безопасности Active Directory и Группы рассылки Active Directory .

Фактический тип группы, которая вам нужна, будет зависеть от требуемой функции группы. Группы рассылки проще в том, что они будут использоваться, если от центрального контроллера требуются только односторонние уведомления. Группы безопасности более сложные, и они применяются, когда вы хотите разрешить пользователям доступ к данным и их изменение.

должны уделять гораздо больше внимания группам безопасности, чтобы гарантировать, что разрешения не выходят из-под контроля и что риски для безопасности ваших данных уменьшаются.

Почему следует использовать группы безопасности Active Directory?

Группы безопасности жизненно важны, когда речь идет о поддержании соответствующих прав доступа к наиболее конфиденциальным данным.Возможность группировать пользователей в банки для назначения уровней разрешений невероятно полезна для поддержания политики наименьших привилегий.

Например, вы можете использовать группы безопасности Active Directory, чтобы назначать высокоуровневые разрешения членам правления, чтобы они могли отправлять финансовую информацию и KPI своим коллегам. Вы также можете использовать группы безопасности, чтобы назначать разрешения более низкого уровня новым участникам.

Active Directory также можно изменить через портал AD, где пользователей можно перемещать или полностью удалять.

Как создать группу безопасности в Active Directory

Следующие шаги применимы к Windows 10 и к Windows Server 2016 . Обратите внимание, что вам нужно быть членом группы администраторов домена или иметь уже примененные правильные разрешения, чтобы иметь возможность создавать новые группы самостоятельно.

1. Откройте консоль «Пользователи и компьютеры Active Directory».
2. Выберите контейнер, в котором вы хотите сохранить свою группу (например, «Пользователи»).
3. Нажмите «Действие» — «Создать» — «Группа»
4. Назовите свою группу, используя текстовое поле Имя группы, и введите описание.
5. В зависимости от инфраструктуры леса Active Directory выберите правильную область действия группы: глобальную или универсальную.
6. Щелкните «Безопасность» в качестве типа группы, а затем нажмите «ОК», чтобы создать группу безопасности.

Как повысить безопасность групп безопасности Active Directory

Многие предприятия должны иметь дело со столярами, увольняющимися и грузчиками в своей среде.Когда пользователи меняют роли, уходят из бизнеса или начинают новую роль, их требуемые разрешения будут другими.

К сожалению, многие предприятия недостаточно эффективно взаимодействуют с ИТ-отделами и группами безопасности, чтобы обеспечить надлежащее обслуживание разрешений и членов групп безопасности. В худшем случае это потенциально может привести к тому, что внутренние угрозы получат доступ к вашим наиболее конфиденциальным данным.

Платформа безопасности данных Lepide дает вам возможность мгновенно создавать список пользователей, которые, как считается, обладают «чрезмерными разрешениями», или генерировать предупреждения в режиме реального времени при изменении разрешений, чтобы вы могли предпринять необходимые шаги для поддержки ваша политика наименьших привилегий.

Чтобы увидеть решение в действии, запланируйте демонстрацию с одним из наших инженеров сегодня.

и услуги установщиков | Конвергентная безопасность в Филадельфии, Пенсильвания

2021 Тенденции в решениях безопасности

Инновации в решениях безопасности прошли долгий путь, и каждый день появляются новые технологии. Конвергентная безопасность, технология множественного восприятия и искусственный интеллект — лишь некоторые из примеров. Вот пять основных тенденций в области решений безопасности в 2021 году.

5 основных тенденций в области безопасности в 2021 году

Надежные видеорешения

Каждое охранное агентство имеет в своем арсенале те или иные видеорешения. Но лучшая компания по обеспечению безопасности — это та, которая предлагает высококачественные и интеллектуальные системы видеонаблюдения.

Предприятия уделяют особое внимание здоровью и безопасности своих сотрудников и клиентов. Интеллектуальная видеотехнология на базе искусственного интеллекта как решение безопасности сейчас в моде, особенно в местах с интенсивным пешеходным движением.Видеонаблюдение с тепловизором, распознаванием лиц, уведомлениями о тревогах и другими новыми функциями неоценимо каждый день, но особенно во время пандемии.

Конвергентная безопасность

Представьте себе одну платформу безопасности, которая может делать все: видеонаблюдение, обнаружение движения, контроль доступа, уведомление о тревоге и т. Д. Множественные системы безопасности — это путь в будущее. Многие компании, занимающиеся защитными решениями, вкладывают значительные средства в объединение функций безопасности в одной системе для повышения эффективности и экономии.Типичный пример — системы видеонаблюдения с установщиками охранной сигнализации.

Другие преимущества объединения нескольких систем безопасности включают сокращение времени и затрат на установку, обслуживание, лицензирование.

Искусственный интеллект

Искусственный интеллект или ИИ был тенденцией на протяжении многих лет, потому что он постоянно совершенствуется. Чем интеллектуальнее становятся алгоритмы, тем больше у них приложений. ИИ также интегрируется в решения по обеспечению безопасности.

для искусственного интеллекта включают автоматическое распознавание номерных знаков, тепловую карту, обнаружение каски на строительных площадках или масок для лица в плотных общественных местах и ​​многое другое.Ожидается, что ИИ будет решать все более интеллектуальные задачи, поскольку алгоритмы продолжают совершенствоваться. Это приведет к повышению безопасности и эффективности.

Облачная безопасность

Облачная безопасность пользуется популярностью в течение многих лет, потому что она устраняет необходимость в программном обеспечении и / или локальных серверах, обеспечивая пользователям хранилище, простоту работы в сети, аналитику и безопасность. Однако, когда разразилась пандемия, использование облачных серверов резко возросло. Это позволило людям работать из дома или где бы они ни находились.

Компании, занимающиеся защитными решениями, теперь также используют облачные решения для обеспечения безопасности. Используя существующую облачную инфраструктуру, поставщики решений безопасности могут предоставлять удаленные операции, помощь и обслуживание. Это также позволяет быстро и легко развертывать обновления, обновления системы, версии прошивки и многое другое.

Технология 5G

Технология 5G революционизирует то, как мы живем и общаемся. Это также кардинальное изменение решений в области безопасности. Благодаря большей пропускной способности и меньшей задержке 5G обеспечивает беспрецедентные улучшения в области видеобезопасности, включая изображения UHD сверхвысокой четкости, бесперебойную работу видео, многомерное восприятие, беспроводное наблюдение и т. Д.5G также сделает приложения ИИ более эффективными.

Компании, школы, государственные учреждения и почти все другие организации полагаются на системы безопасности для поддержания безопасности своей повседневной деятельности. Благодаря постоянному совершенствованию и инновациям в решениях безопасности мы можем обеспечить безопасность наших сотрудников и наших активов.