Rozszerzone zabezpieczenia systemu Windows przy użyciu grup DB2ADMNS i DB2USERS

Rozszerzone zabezpieczenia są domyślnie włączone we wszystkich produktach bazodanowych Db2® w systemach operacyjnych Windows z wyjątkiem sterowników IBM® Data Server Runtime Client i Db2 . Sterowniki IBM Data Server Runtime Client i Db2 nie obsługują rozszerzonych zabezpieczeń na platformach Windows.

Pole wyboru Włącz zabezpieczenia systemu operacyjnego jest wyświetlane na panelu Włącz zabezpieczenia systemu operacyjnego dla obiektów Db2 podczas instalowania produktów bazodanowych Db2 . Jeśli ta opcja nie zostanie wyłączona, instalator utworzy dwie nowe grupy: DB2ADMNS i DB2USERS. DB2ADMNS to grupa administratorów Db2 , a DB2USERS to grupa użytkowników Db2 . DB2ADMNS i DB2USERS są domyślnymi nazwami grup; opcjonalnie można podać różne nazwy dla tych grup podczas instalacji (jeśli wybrano instalację cichą, można zmienić te nazwy w pliku odpowiedzi instalacji). Jeśli wybrane zostaną grupy, które istnieją w systemie, należy pamiętać, że uprawnienia tych grup są modyfikowane. Otrzymują oni uprawnienia, zgodnie z wymaganiami, wymienione w tabeli poniżej.

Ważne jest, aby zrozumieć, że te grupy są używane do ochrony na poziomie systemu operacyjnego i nie są w żaden sposób powiązane z poziomami uprawnień Db2 . Jednak grupa administratorów Db2 (np. DB2ADMNS) jest używany jako domyślna grupa dla SYSADM, SYSMAINT i SYSCTRL, jeśli nie określono żadnych wartości dla parametrów konfiguracyjnych menedżera bazy danych SYSADM_GROUP, SYSMAINT_GROUP i SYSCTRL_GROUP. Zaleca się, aby w przypadku określania grupy SYSADM, grupa ta powinna być grupą administratorów Db2 . To ustawienie można ustanowić po instalacji przez administratora.

Uwaga: Użytkownik może określić grupę administratorów Db2 (DB2ADMNS lub nazwę wybraną podczas instalacji) oraz grupę użytkowników Db2 (DB2USERS lub nazwę wybraną podczas instalacji) jako grupy lokalne lub jako grupy domen. Obie grupy muszą być tego samego typu, tak więc zarówno lokalne, jak i obie domeny.
Jeśli zmienisz nazwę komputera, a grupy komputerów DB2ADMNS i DB2USERS to lokalne grupy komputerów, należy zaktualizować globalne rejestry DB2_ADMINGROUP i DB2_USERSGROUP . Aby zaktualizować zmienne rejestrowe po zmianie nazwy i zrestartowaniu komputera, uruchom następującą komendę:
  1. Otwórz wiersz komend.
  2. Uruchom komendę db2extsec , aby zaktualizować ustawienia zabezpieczeń:
    db2extsec -a new computer name\DB2ADMNS -u new computer name\DB2USERS
Uwaga: Jeśli rozszerzone zabezpieczenia są włączone w produktach bazodanowych Db2 w systemie Windows 7, tylko użytkownicy należący do grupy DB2ADMNS mogą uruchamiać graficzne narzędzia administracyjne Db2 . Ponadto członkowie grupy DB2ADMNS muszą uruchamiać narzędzia z pełnymi uprawnieniami administratora. W tym celu należy kliknąć skrót prawym przyciskiem myszy, a następnie wybrać opcję Uruchom jako administrator.

Umiejętności nabyte za pośrednictwem grup DB2ADMNS i DB2USERS

Grupy DB2ADMNS i DB2USERS udostępniają elementy o następujących możliwościach:
  • DB2ADMNS

    Pełna kontrola nad wszystkimi obiektami Db2 (patrz: poniższa lista obiektów chronionych)

  • DB2USERS

    Dostęp do odczytu i wykonywania dla wszystkich obiektów Db2 znajdujących się w katalogach instalacji i instancji, ale brak dostępu do obiektów w katalogu systemowym bazy danych i ograniczony dostęp do zasobów IPC.

    W przypadku niektórych obiektów mogą istnieć dodatkowe uprawnienia, takie jak wymagane (na przykład uprawnienia do zapisu, uprawnienia do dodawania lub aktualizowania plików itp.). Członkowie tej grupy nie mają dostępu do obiektów znajdujących się w katalogu systemowym bazy danych.
    Uwaga: Znaczenie dostępu do wykonywania zależy od obiektu. Na przykład w przypadku pliku .dll lub .exe , który ma uprawnienia do wykonywania, użytkownik ma uprawnienia do wykonywania tego pliku, jednak w przypadku katalogu oznacza to, że użytkownik ma uprawnienia do przeglądania katalogu.
Najlepiej, aby wszyscy administratorzy Db2 byli członkami grupy DB2ADMNS (jak również byli członkami lokalnej grupy Administratorzy), ale nie jest to ścisłe wymaganie. Wszyscy inni, którzy wymagają dostępu do systemu bazy danych Db2 muszą być członkiem grupy DB2USERS . Aby dodać użytkownika do jednej z tych grup:
  1. Uruchom narzędzie Użytkownicy i Menedżer haseł.
  2. Wybierz z listy nazwę użytkownika, który ma zostać dodany.
  3. Kliknij opcję Właściwości. W oknie Właściwości kliknij kartę przynależności do grupy.
  4. Wybierz inny przełącznik.
  5. Wybierz odpowiednią grupę z listy rozwijanej.

Dodawanie rozszerzonych zabezpieczeń po instalacji (komendadb2extsec )

Jeśli system bazy danych Db2 został zainstalowany bez włączonych zabezpieczeń rozszerzonych, można je włączyć, wykonując komendę db2extsec. Aby wykonać komendę db2extsec , należy należeć do lokalnej grupy Administratorzy, aby użytkownik miał uprawnienia do modyfikowania listy ACL chronionych obiektów.

Komendę db2extsec można uruchomić wielokrotnie, jeśli jest to konieczne, jednak w razie potrzeby nie można wyłączyć zabezpieczeń rozszerzonych, chyba że zostanie wydana komenda db2extsec -r natychmiast po każdym wykonaniu komendy db2extsec.

Usuwanie rozszerzonych zabezpieczeń

Uwaga:
Nie usuwaj rozszerzonych zabezpieczeń po jego włączeniu, jeśli nie jest to absolutnie konieczne.

Można usunąć rozszerzone zabezpieczenia, uruchamiając komendę db2extsec -r. Ta operacja zakończy się powodzeniem tylko wtedy, gdy po włączeniu zabezpieczeń rozszerzonych nie zostaną wykonane żadne inne operacje bazodanowe (takie jak tworzenie bazy danych, tworzenie nowej instancji, dodawanie obszarów tabel itp.). Najbezpieczniejszym sposobem usunięcia opcji zabezpieczeń rozszerzonych jest zdeinstalowanie systemu bazy danych Db2 , usunięcie wszystkich odpowiednich katalogów Db2 (łącznie z katalogami bazy danych), a następnie ponowne zainstalowanie systemu bazy danych Db2 bez włączonego zabezpieczenia rozszerzonego.

Obiekty chronione

Obiekty statyczne , które mogą być chronione za pomocą grup DB2ADMNS i DB2USERS , są następujące:
  • System plików
    • Plik
    • Katalog
  • Usługi
  • Klucze rejestru
Obiekty dynamiczne , które mogą być chronione za pomocą grup DB2ADMNS i DB2USERS , są następujące:
  • Zasoby IPC, w tym:
    • Rury
    • Semafory
    • Zdarzenia
  • pamięć współużytkowana,

Uprawnienia należące do grup DB2ADMNS i DB2USERS

Uprawnienia przypisane do grup DB2ADMNS i DB2USERS są wymienione w poniższej tabeli:
Tabela 1. Uprawnienia dla grup DB2ADMNS i DB2USERS
Uprawnienie DB2ADMNS DB2USERS Kod
Tworzenie obiektu znacznika (SeCreateTokenPrivilege) Y N Manipulowanie tokenami (wymagane w przypadku niektórych operacji manipulowania tokenem i używane w uwierzytelnianiu i autoryzacji)
Zastępowanie znacznika poziomu procesu (SeAssignPrimaryTokenPrivilege) Y N Utwórz proces jako inny użytkownik
Zwiększanie limitów (SeIncreaseQuotaPrivilege) Y N Utwórz proces jako inny użytkownik
Działanie jako część systemu operacyjnego (uprawnienieSeTcb) Y N LogonUser
Generowanie audytów zabezpieczeń (uprawnieniaSeSecurity) Y N Manipulowanie dziennikiem kontroli i bezpieczeństwa
Przejmowanie prawa własności do plików lub innych obiektów (SeTakeOwnershipPrivilege) Y N Modyfikowanie list ACL obiektu
Zwiększanie priorytetu harmonogramu (SeIncreaseBasePriorityPrivilege) Y N Modyfikowanie zbioru roboczego procesu
Tworzenie kopii zapasowych plików i katalogów (uprawnienieSeBackup) Y N Manipulowanie profilami/rejestrem (wymagane do wykonania niektórych procedur związanych z profilem użytkownika i rejestrem: LoadUserProfile, RegSaveKey (Ex), RegRestoreKey, RegReplaceKey, RegLoadKey (Ex))
Odtwarzanie plików i katalogów (uprawnienieSeRestore) Y N Manipulowanie profilami/rejestrem (wymagane do wykonania niektórych procedur związanych z profilem użytkownika i rejestrem: LoadUserProfile, RegSaveKey (Ex), RegRestoreKey, RegReplaceKey, RegLoadKey (Ex))
Debugowanie programów (uprawnienieSeDebug) Y N Manipulowanie tokenami (wymagane w przypadku niektórych operacji manipulowania tokenem i używane w uwierzytelnianiu i autoryzacji)
Zarządzanie kontrolą i dziennikiem zabezpieczeń (uprawnienieSeAudit) Y N Generowanie pozycji dziennika kontroli
Zaloguj się jako usługa (SeServiceLogonRight) Y N Uruchom usługę Db2 jako usługę
Dostęp do tego komputera z sieci (SeNetworkLogonRight) Y Y Zezwalaj na referencje sieciowe (umożliwia menedżerowi bazy danych Db2 korzystanie z opcji LOGON32_LOGON_NETWORK do uwierzytelniania, co ma wpływ na wydajność)
Personifikuj klienta po uwierzytelnieniu (uprawnienieSeImpersonate) Y N Personifikacja klienta (wymagana w systemie Windows, aby umożliwić korzystanie z niektórych interfejsów API w celu uosobnienia klientów Db2 : ImpersonateLoggedOnUser, ImpersonateSelf, RevertToSelf, itd.)
Blokowanie stron w pamięci (SeLockMemoryPrivilege) Y N Obsługa dużych stron
Tworzenie obiektów globalnych (SeCreateGlobalPrivilege) Y Y Obsługa serwera terminali (wymagane w systemie Windows)