2.4. Управление доступом и полномочиями, защита информации

Сервер Exchange позволяет использовать разнообразные средства, чтобы сохранить неприкосновенной важную информацию. Среди них:

• подтверждение прав пользователя на доступ к серверу, выполняемое средствами защиты Windows NT Server;
• проверка прав пользователя на доступ к информационным ресурсам, включая почтовые ящики, общие папки, почтовые шлюзы и т.п.;
• аудит и протоколирование в системном журнале событий, имеющих отношение к системе разграничения доступа;
• расширенные средства защиты, такие как шифрование и цифровая подпись сообщений;
• шифрование трафика между клиентом и сервером.

2.4.1. Списки доступа и наследование полномочий

Контроль доступа к объектам каталога и информационных хранилищ в Exchange производится на основе списков доступа (access control lists). Список доступа содержит перечень идентификаторов пользователей домена Windows NT. С каждым пользовательским идентификатором ассоциирован набор привилегий, определяющих, какие действия способен выполнить конкретный пользователь над данным объектом. Ниже приведен список привилегий, поддерживаемых сервером Exchange:

• право создавать объекты, расположенные в иерархии ниже данного (Add Child), например вложенные пользовательские контейнеры;
• право модифицировать пользовательские атрибуты объекта (Modify User Attributes), например добавлять адресатов в список рассылки;
• право модифицировать административные атрибуты объекта (Modify Admin Attributes), например изменять название улицы или отображаемое имя в свойствах пользовательского ящика;
• право удалять текущий объект (Delete);
• право производить посылку от имени данного объекта (Send As), как правило, используется для пользовательских ящиков или серверных контейнеров;
• право выполнять регистрацию в почтовом ящике, выполнять посылку и прием сообщений (Mailbox Owner), как правило, используется для пользовательских ящиков или серверных контейнеров;
• право выполнять репликацию каталога (Replication), как правило, используется для серверных контейнеров;
• изменять набор привилегий для текущего объекта (Modify Permission), например, без данной привилегии администратор может создавать новых пользователей, но не имеет права изменять списки доступа к существующим почтовым ящикам.

Для удобства назначения прав существует несколько стандартных наборов привилегии, называемых ролями. Ниже приводится список стандартных ролей и их привилегий:

• роль администратор (Admin.), дает право создавать новые объекты каталога, удалять и модифицировать существующие, но не позволяет модифицировать для них списки доступа;
• роль администратор полномочий (Permissions Admin.), дополнительно к правам администратора позволяет изменять текущие списки доступа на объекты;
• роль посылка от имени (Send As), дает право посылать сообщения от имени данного объекта;
• роль администратор учетной записи сервиса (Service Account Admin.), предназначена для использования только сервисом Exchange Server, имеет полный набор прав на объект;
• роль пользователь (User), дает право на получение доступа к почтовому ящику и назначение прав другим пользователям на доступ к содержимому этого ящика.

В случае, когда требуемый или достаточный набор прав не может быть обеспечен ни одной стандартной ролью, пользователю можно назначить нестандартный набор привилегий (роль custom). Примером использования специального набора привилегий может являться случай настройки RAS-коннектора между двумя площадками. В этом случае достаточный набор привилегий, которым должен обладать звонящий агент передачи сообщений (MTA) - право Send As и Mailbox Owner на контейнере серверов принимающей стороны.

В зависимости от типа объекта, набор привилегий может наследоваться всеми или только некоторыми объектами, находящимися в каталоге на нижних уровнях иерархии.

В Exchange Server используется следующая схема наследования прав (рисунок 2.20):

• права на объект организация, пользователи с правами на этот объект могут менять только отображаемое имя организации, привилегии не наследуются другими объектами иерархии;
• права на объект площадка, пользователи с правами на этот объект могут манипулировать объектами уровня площадки и контейнерами адресатов. Привилегии автоматически наследуются всеми вложенными, за исключением объекта настройки;
• права на объект настройки, пользователи с правами на этот объект могут управлять всеми настройками текущей площадки, как-то таблицы маршрутизации, соединения, мониторы, серверы и т.д. Привилегии автоматически наследуются объектами нижних уровней, за исключением контейнеров адресатов, которые наследуют набор привилегий объекта площадка.

Такая схема наследования позволяет разделить функции между несколькими администраторами, одни из которых отвечают за ведение базы пользователей и общие папки организации, другие обеспечивают взаимодействие серверов в пределах площадки и сопряжение с внешним миром, включая шлюзы в другие почтовые системы и синхронизацию каталога в рамках организации.

Следует иметь ввиду, что если все функции администрирования должны выполняться одним лицом, то ему необходимо назначить соответствующие привилегии на каждом из трех указанных объектов. При инсталляции первого сервера площадки администратор, выполняющий установку, автоматически получает права Permissions Admin. на упомянутые объекты.

Рис. 2.20. Схема наследования привилегий

Отдельно следует упомянуть о назначении привилегий на общие папки. Как и для прочих объектов каталога, для общих папок поддерживаются списки доступа и роли, однако назначение прав пользователям происходит на основе учетных записей в доменах Windows NT, а не на основе записей в глобальной адресной книге. Это позволяет пользователям, относящимся к различным площадкам организации выполнять над данными, находящимися в локальных репликах общих папок, действия, предписанные администратором.

На общие папки могут быть назначены следующие права:

• создание сообщений (Create Items), дает право пользователю помещать новые сообщения в папку;
• чтение сообщений (Read Items), дает право пользователю просматривать сообщения в папке;
• создание подпапок (Create Subfolders), дает право пользователю создавать папки, вложенные в данную;
• владелец папки (Folder Owner), дает пользователю все права на папку;
• ответственный за папку (Folder Contact), получает уведомления о конфликтах и разрешает их, обычные пользователи посылают данному пользователю пожелания и рекомендации;
• видимость папки (Folder Visible), позволяет пользователю видеть данную папку при просмотре иерархии общих папок;
• редактирование (Edit), дает право пользователю редактировать сообщения;
• удаление (Delete), дает право пользователю удалять сообщения.

Два последних права имеют три градации каждое:

• ничего (None), не дает пользователю права выполнять действие над сообщениями;
• собственные (Own), дает пользователю право выполнять действие над сообщениями, созданные им сами;
• все (All), дает пользователю право выполнять действие над сообщениями, созданными другими пользователями.

Для упрощения задачи назначения полномочий на общие папки, в сервере Exchange предусмотрен набор стандартных ролей:

• роль владелец (Owner), дает право пользователю назначать привилегии другим пользователям, манипулировать сообщениями в папке и вложенными папками, назначать способы представления папки (folder Views), а так же удалять саму папку и все в нее вложенные;
• роль главный редактор (Publishing Editor), дает право пользователю создавать, редактировать и удалять любые сообщения и создавать подпапки;
• роль редактор (Editor), в отличие от главного редактора не имеет права создавать подпапки;
• роль главный автор (Publishing Author), дает право пользователю создавать, редактировать и удалять созданные им сообщения и создавать подпапки;
• роль автор (Author), в отличие от главного автора, не имеет права создавать подпапки;
• роль не редактирующий автор (Nonediting Author), в отличие от автора не имеет права редактировать сообщения, но имеет право удалять собственные;
• роль читатель (Reviewer), дает право пользователю только просматривать сообщения, созданные другими пользователями;
• роль помощник (Contributor), дает право пользователю только создавать сообщения;
• роль никто (None), не дает пользователю никаких прав в папке.

Кроме пользователей в глобальной адресной книге, права могут быть назначены псевдопользователю Anonymous, представляющему клиентов, использующих анонимный режим доступа к общим папкам, например при обращении к серверу Exchange из клиентских программ чтения новостей Internet.