Windows Dynamic Access Control (DAC)

Windows动态访问控制

实验说明

本实验将利用域控服务器配置中心访问控制,实验拓扑图如下:

Image

本实验要求如下:

域控服务器中建立如下用户。

用户名 部门
Tom Central Control Department Managers
Alice Central Control Department -
Jerry Research Department -

文件服务器中路径C:\下建立如下文件夹并开启共享。

名称 权限描述
CCD 仅允许部门为Central Control Department的用户访问,对此文件夹应用高保密性文件分类(详见其他权限要求
RD 仅允许部门为Research Department的用户访问
  • 在上述两个文件夹中,创建如下文件(为便于实验,两个文件夹中文件一致):
文件名 内容
file1.txt This is file one.
file2.txt This is file two.
file3.txt This is file three, secret.

其他权限要求如下:

  • 当文件中包含关键字secret时,设置为高保密性
  • 当用户部门为Central Control Department且隶属于Managers用户组,允许访问高保密性文档

实验步骤

以下步骤不再详细描述:

  • 域控服务器文件服务器中安装AD域服务
  • 域控服务器提升为域控制器,域名为msj.sh
  • 在域控服务器中创建用户与组。
  • 文件服务器域控成员PC加入域。

用户详情如下:

Image

Image

Image

Image

点击服务器管理器中的工具组策略管理,在组策略管理窗口中,依次展开林:msj.shmsj.shDomain Controllers,右键单击Default Domain Controllers Policy,选择编辑打开组策略管理编辑器

Image

组策略管理编辑器中,依次展开计算机配置策略管理模板系统,点击KDC,将KDC支持声明、复合身份验证和Kerberos Armoring策略配置为启用始终提供声明

Image

配置后,在域控服务器中刷新策略组。

1
gpupdate /force

随后在域控服务器中进入Active Directory管理中心,进入动态访问控制节点中的Claim Types(声明类型)界面中,新建声明类型。

Image

源属性区域中选择department,在显示名称栏位中修改成Company Department,并勾选下方的用户计算机复选框,并添加建议值Central Control DepartmentResearch Department

Image

回到动态访问控制Resource Properties(资源属性),启用DepartmentConfidentiality

Image

双击Department属性,添加建议值Central Control DepartmentResearch Department

以下操作将在文件服务器中操作。

安装文件服务器资源管理器

Image

打开文件服务器资源管理器中的分类属性节点,可以观察到之前启用的Resource Properties(资源属性)已经显示。

Image

切换至分类规则界面,新建一条规则。

Image

创建分类规则窗口中,切换至常规选项卡,填写规则名称配置保密性

Image

随后切换至作用域选项卡,添加路径C:\CCD

Image

再切换至分类选项卡,分类方法选择内容分类器,属性为Confidentiality(保密性),指定值为High

Image

随后点击参数一栏中的配置按钮,添加一条表达式类型字符串、表达式为secret的条目。

Image

随后切换至评估类型选项卡,勾选重新评估现有的属性值覆盖现有值,点击确定按钮创建分类规则。

回到文件服务器资源管理器窗口,在分类管理分类规则界面的右侧,点击立即使用所有规则运行分类

完成分类后,打开资源管理器,进入路径C:\CCD,查看file3.txt文件属性中的分类,Confidentiality值为High即为成功。

Image

C:\CCD文件夹的分类属性设置为Central Control Department

Image

C:\RD文件夹的分类属性设置为Research Department

Image

C:\CCDC:\RD设置共享,添加Domain Users读取/写入权限。

Image

以下操作需要在域控服务器中进行。

打开Active Directory 管理中心,进入动态访问控制Central Access Rules(中心访问规则),右击选择新建中心访问规则

创建 中心访问规则窗口中,填写名称部门限制,并编辑目标资源,将分类为组Central Control DepartmentResearch Department的资源添加至管理目标。

Image

确认配置后,返回创建 中心访问规则窗口,勾选将以下权限作为当前权限后,编辑权限,在弹出的权限的高级安全设置窗口中移除Administrators,然后点击添加按钮,选择Authenticated Uers作为主体,赋予它修改读写读取执行权限,点击下方的添加条件当用户的部门与访问的目标资源的部门一致时,赋予以上权限,具体配置如下。

Image

Image

Image

再创建一条中心访问规则,在创建 中心访问规则窗口中,填写名称高保密性文件访问规则,并编辑目标资源,将资源的Confidentiality(保密性)属性等于High的资源添加至管理目标。

Image

确认配置后,返回创建 中心访问规则窗口,勾选将以下权限作为当前权限后,编辑权限,在弹出的权限的高级安全设置窗口中移除Administrators,然后点击添加按钮,选择Authenticated Uers作为主体,赋予它修改读写读取执行权限,点击下方的添加条件,当用户部门为Central Control Department且隶属于Managers用户组时,赋予以上权限,具体配置如下。

Image

Image

Image

Image

随后配置中心访问策略,进入动态访问控制Central Access Policies(中心访问策略),右击选择新建中心访问策略

创建一条保密文件保护的策略,添加高保密性文件访问规则到策略。

Image

创建一条部门限制的策略,添加部门限制到策略。

Image

创建一条保密文件保护与部门限制的策略,添加高保密性文件访问规则部门限制到策略。

Image

随后推送策略,点击服务器管理器中的工具组策略管理,在组策略管理窗口中,依次展开林:msj.shmsj.shDomain Controllers,右键单击Default Domain Controllers Policy,选择编辑打开组策略管理编辑器(此步骤已经在上文中操作过,不再赘述)

组策略管理编辑器中依次展开计算机配置``策略``Windows设置-安全设置-文件系统,右键选择管理中心访问策略

Image

中央访问策略配置窗口中,添加所有现有策略。

Image

以下操作在文件服务器中进行。

配置完成后,在文件服务器中刷新组策略。

打开C:\CCD的属性,切换至安全选项卡,点击高级按钮,在CCD的高级安全设置窗口中,切换至中央策略界面,更改中央策略保密文件保护与部门限制。(C:\RD文件夹进行相同操作,不再赘述

Image

验证

  • 使用不同用户访问文件服务器

注意: 由于Windows的Samba服务刷新较慢,建议使用磁盘映射的形式进行验证。

如磁盘映射仍然没有刷新Samba的服务缓存,尝试使用强制组策略更新。

除上述验证条目外,也可尝试应用其他的中央策略,深入理解其应用机制。


Built with Hugo
主题 StackJimmy 设计