Организация защиты информации в вычислительных сетях средствами сетевых операционных систем. Сетевая операционная система Windows NT 5.0. Основные службы и механизмы защиты информации

5

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ

ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

Индивидуальная работа

по курсу: МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ

на тему: “ Организация защиты информации в вычислительных сетях средствами сетевых операционных систем (СОС). Сетевая операционная система Windows NT 5.0 (2000). Основные службы и механизмы защиты информации”

Оглавление

Введение

Безопасность файлов и папок

Файловая система NTFS

Защита файлов

Разрешения для файлов

Защита папок

Шифрующая файловая система EFS

Архитектура EFS

Технологии шифрования EFS

Служба каталогов Active Directory

Основы работы Active Directory

Отношения доверия между доменами

Управление мерами безопасности при помощи групповой политики

Аутентификация и управление доступом

Аутентификация

Управление доступом

Делегирование прав администрирования

Протокол аутентификации Kerberos

Аутентификация по протоколу Kerberos

Делегирование полномочий на выполнение аутентификации

Инфраструктура открытых ключей

Службы сертификации

Интерфейс CryptoAPI

Использование сертификатов для аутентификации внешних пользователей

Использование инфраструктуры открытых ключей в Windows 2000

Смарт-карты

Протокол IP Security (IPSec)

Расширяемая архитектура

Возможности взаимодействия

Аудит

Использование российских криптоалгоритмов в Windows 2000

Заключение

Список используемой литературы

Введение

При создании системы безопасности ОС Windows 2000 разработчики фирмы Microsoft постарались учесть как существующий опыт использования системы безопасности Windows NT 4.0, так и реализовать новые наборы механизмов и протоколов безопасной работы с информацией.

Система безопасности Windows 2000 состоит из множества компонентов, предоставляющих возможность обеспечения безопасности работы с данными в любой точке сети, начиная с хранения информации в файлах на дисках серверов и рабочих станций и заканчивая средствами обеспечения гарантированного уровня безопасности при передаче данных по сети путем использования механизмов виртуальных частных сетей (VPN). Windows 2000 содержит более 40 различных интегрированных между собой механизмов безопасности, каждый из которых может быть расширен разработчиками для учета особенностей применения этой ОС в сети своего предприятия.

Службы безопасности Windows 2000 ориентированы на соответствие следующим требованиям:

· Предоставление пользователям доступа ко всем ресурсам сети после выполнения единственной процедуры входа в систему.

· Надёжность методов аутентификации и авторизации пользователей.

· Безопасность соединений между внутренними и внешними ресурсами.

· Возможность применения необходимых политик безопасности и управления ими.

· Автоматизированный аудит безопасности.

· Способность к взаимодействию с другими операционными системами и протоколами безопасности.

· Расширяемая архитектура, что позволяет разрабатывать приложения, использующие возможности системы безопасности Windows 2000.

Перечисленные особенности являются важными элементами системы безопасности Windows 2000. В основе этой системы лежит простая модель аутентификации и авторизации. Аутентификация позволяет идентифицировать пользователя при входе в систему и установлении сетевых соединений со службами. Идентифицированный пользователь получает авторизацию для доступа к определённым сетевым ресурсам в зависимости от заданных разрешений. В процессе авторизации используется механизм управления доступом, проверяющий записи в каталоге Active Directory™, а также списки управления доступом (access control lists, ACL), в которых определяются разрешения на доступ к объектам, таким как локальные и общие принтеры и файлы.

Ключевая цель системы защиты Microsoft Windows 2000 - следить за тем, кто и к каким объектам осуществляет доступ. Система защиты хранит информацию, относящуюся к безопасности для каждого пользователя, группы пользователей и объекта. Единообразие контроля доступа к различным объектам (процессам, файлам, семафорам и др.) обеспечивается тем, что с каждым процессом связан маркер доступа, а с каждым объектом - дескриптор защиты. Маркер доступа в качестве параметра имеет идентификатор пользователя, а дескриптор защиты - списки прав доступа. ОС может контролировать попытки доступа, которые производятся процессами прямо или косвенно инициированными пользователем.

В системе Microsoft Windows 2000 были, по большей части, заменены внутренние и внешние настройки, присутствовавшие в Windows NT. Без сомнения, Windows 2000 является одной из наиболее передовых операционной системой в отношении интернета. Также очевиден тот факт, что в Windows 2000 сохранены традиционные возможности, такие как серверы файлов, печати и баз данных для внутреннего пользования, а также веб-серверы и серверы приложений для работы с интернетом. Дополнительные возможности, такие как сервер telnet, позволяют выполнять в Windows 2000 те функции, которые зарезервированы для систем Unix. Несмотря на то, что эти функции могут использоваться, совершенно понятно, что в Windows 2000 будет храниться и осуществляться работа с секретной информацией.

Безопасность файлов и папок

В Windows 2000 применяется иерархическая файловая система. На каждом диске создается так называемый корневой каталог, который может включать в себя файлы и другие каталоги (подкаталоги). Таким образом, создается связанная древовидная иерархия файлов и каталогов.

Все файловые системы, поддерживаемые Windows 2000, являются иерархическими, хотя существенно отличаются между собой способами записи файлов на носителях информации. Windows 2000 поддерживает следующие файловые системы:

· FAT: применяется в MS-DOS.

· FAT32: применяется в Windows 95/98.

· NTFS: применяется в Windows 2000.

Используя любую файловую систему, можно использовать разрешения для доступа к общим папкам, чтобы их контролировать. Можно указать, какие пользователи могут читать, записывать, создавать или изменять файлы и папки внутри папок, предоставленных в общее пользование.

Файловая система NTFS

Обозначение файловой системы NTFS представляет собой аббревиатуру от New Technology File System (файловая система операционной системы NT).

NTFS представляет собой новую файловую систему, используемую в операционной системе Windows 2000. Ограничения, которые имелись в FAT32, в NTFS были в значительной степени устранены.

Для томов NTFS система Windows 2000 предлагает дополнительные параметры защиты. Кроме контроля за папками, предоставленными в общее пользование, можно следить за безопасностью файлов и папок локальных пользователей (тех, что входят в систему с вашей рабочей станции). Можно налагать ограничения на любые папки и файлы; в томах FAT можно выдавать разрешения только на уровне папки (и только для пользователей, что вошли через сеть).

У файловой системы NTFS имеется и ряд других преимуществ:

· Поддерживается только на жестких дисках.

· Система NTFS более экономно размещает информацию на очень больших жестких дисках (поддерживает 64-разрядную адресацию данных).

· При записи имен файлов используется уникальный код (Unicode). Такая кодировка символов пришла на смену кодировке ANSI. В Unicode используется 16-разрядное представление символов. Поэтому в таблице кодирования может содержаться до 65536 символов.

· Система обеспечивает лучшее восстановление информации в случае проблем с жестким диском.

· Поддерживает сжатие файлов. (Программы для компрессии, написанные на базе MS-DOS (DriveSpase, Doublespase, Stacker) не работают в системе Windows 2000.)

· Система поддерживает дисковые квоты - ограничение дискового пространства, которые можно установить для каждого пользователя.

· Система NTFS поддерживает шифрование файлов для повышения безопасности.

Недостатком файловой системы NTFS является невозможность для других систем (Windows 9x, Linux, MS-DOS и OS/2) читать тома NTFS. Если используется система, отличная от Windows 2000, прочесть информацию из томов NTFS будет невозможно.

Файловая система NTFS 5.0. Эта версия файловой системы является объектно-ориентированным хранилищем данных, представляемых в виде привычных для пользователя объектов -- файлов и каталогов. В NTFS 5.0 теперь можно хранить потенциально любую информацию и в любых форматах представления. Реализуются эти возможности за счет появления в файловой системе нового механизма Reparse points (повторный грамматический анализ).

Reparse points  -- это объекты, которые могут быть связаны с файлами или каталогами, и описывают правила хранения и обработки информации, хранящейся в нестандартном для файловой системы виде. С использованием этого механизма в NTFS уже реализованы механизмы шифрования данных и механизмы монтирования томов (представление любого тома в виде каталога на другом диске -- возможность создания виртуальной файловой системы, состоящей только из файлов и каталогов на любой рабочей станции или сервере). А разработчики получили мощный инструмент для создания приложений, способных хранить данные в своем уникальном формате (включая и собственные алгоритмы шифрования) для обеспечения необходимого уровня производительности и безопасности работы с данными.

Принципы работы механизма Reparse points основаны на следующих положениях:

· Любое приложение, работающее с файловой системой, при обращении к дискам отображает информацию в виде привычных файлов и каталогов, хранящихся в NTFS.

· При попытке открытия выбранного пользователем файла (или каталога), запрос на чтение данных передается приложением ядру ОС, которое анализируя свойства выбранного файла и обнаруживая связанный с ним объект Reparse points, анализирует хранящуюся в этом объекте информацию (в этом и состоит суть названия механизма -- повторный грамматический анализ).

Объект Reparse points, по сути, содержит ссылку на специальный драйвер, создаваемый любым разработчиком. Этот драйвер и определяет реальный формат хранения данных на томах NTFS. При попытке открытия файла управление передается созданному разработчиком модулю, который и считывает данные с диска в известном ему формате. Поэтому с появлением этого нового механизма любой разработчик имеет возможность обеспечить безопасность и удобство хранения данных для своего специфического приложения.

Еще одним новшеством файловой системы NTFS 5.0 стали обновленные механизмы разграничения прав доступа и появившиеся средства квотирования дискового пространства. Отныне система прав доступа обладает встроенными механизмами наследования, позволяющими с большой степенью удобства выполнять разграничение полномочий в файловых системах с большим количеством уровней вложенности каталогов. Из приятных нововведений также можно назвать появившийся инструментарий (в отличие от Windows NT 4.0 он поставляется в составе Windows 2000), позволяющий описывать маски наследуемых прав для любых комбинаций каталогов, файлов и целых ветвей файловой системы. Сами права доступа стали обладать существенно большей гибкостью, не создающей путаницу из-за обилия вариантов разграничения прав.

В Windows 2000 каждый пользователь должен зарегистрироваться в системе перед началом работы. Это необходимо как на локальной рабочей станции без подключения к сети, так и на станции в компьютерной сети. Внутри системы каждый пользователь имеет свой ID (идентификатор или уникальное имя пользователя, состоящее из имени и пароля). Каждый пользователь также может войти в систему в качестве гостя (Guest). В этом случае ему предоставляется возможность обращения к файлам других компьютеров сети, которые разрешены для совместного использования, но не к файлам, расположенным на NT-сервере.

Каждый пользователь должен зарегистрироваться в системе индивидуально. Это позволяет организовать защиту файлов таким образом, что некоторые каталоги или диски для одних пользователей могут быть закрыты, а для других - открыты. Это относится к предоставлению всех прав доступа.

Пользователю, обладающему правами администратора, доступны все ресурсы, имеющиеся в данной системе. И если он однажды забудет свой пароль, то это приведет к необходимости форматирования диска и переустановки операционной системы. Следует, однако, отметить, что полный ассортимент средств защиты доступен лишь тогда, когда установлена файловая система NTFS.

Защита файлов

Файловая система NTFS для каждого файла в томе сохраняет имя файла, его размер, дату последнего изменения и собственно информацию, также выдает список контроля доступа (access control list, ACL), который определяет степень доступа к файлам и папкам системы, имеющуюся у пользователя. Каждый файл и папка в томе NTFS имеют свой ACL.

Защитой файлов в томе NTFS можно управлять с помощью вкладки Security (Безопасность) в диалоговом окне свойств файла:

1. Щелкнуть правой кнопкой мыши на файле в Проводнике.

2. Выбрать во всплывающем меню пункт Properties (Свойства).

3. Щелкнуть на вкладке Security (Безопасность), чтобы открыть диалоговое окно, изображенное на рис.1.

Если выделенный файл не хранится в томе NTFS, вкладка Security(Безопасность) не появится, поскольку защита файла возможна только в томе NTFS.



Рис.1. На вкладке Безопасность отображены пользователи, имеющие разрешения на доступ к файлу

Диалоговое окно используется для просмотра и изменения степени доступа пользователя к файлу. При выделении имени в поле Name (Имя) в поле Permissions (Разрешения) в нижней части диалогового окна отображается степень доступа данного пользователя или группы к данному файлу. Затененные флажки определяют наличие разрешения “по наследству”. Это значит, что разрешение было предоставлено родительским объектом. Например, родительский объект для файла - папка, в которой он содержится. Затененный флажок дает знать, что разрешение дано по умолчанию, поскольку файл создан в папке, у которой помечен соответствующий флажок.

Разрешения для файлов

Поле Permissions (Разрешения) включает список основных разрешений, и использовать их можно в различных сочетаниях, чтобы они подходили именно вам. По сути, каждое разрешение из списка представляет собой установленный набор разрешений. В табл. 1 показано, что именно включено в то или иное разрешение из списка в поле Permissions (Разрешения).

Таблица 1.

Основные разрешения для файла

Разрешение	Описание	Индивидуальные разрешения
Read (Чтение)	Позволяет пользователю просматривать информацию файла	- List Folder/Read Data (Содержание папки/ Чтение данных) - Read Attributes (Чтение атрибутов) - Read Extended Attributes (Чтение дополни- тельных атрибутов) - Read Permissions (Чтение разрешений ) - Synchronize (Синхронизация)
Read & Execute (Чтение и выполнение)	Позволяет запускать Программы	- Все разрешения, перечисленные выше - Traverse Folder/Execute Files (Обзор папок Выполнение файлов)
Write (Запись), Содержимое Файла	Позволяет изменять Файлы	- Create Files/Write Data (Создание файлов/ Запись данных) - Create Folders/Append Data (Создание па- пок/Дозапись данных) - Write Attributes (Запись атрибутов) - Write Extended Attributes (Запись дополни- тельных атрибутов) - Read Permissions (Чтение разрешений) - Synchronize (Синхронизация)
Modify (Изменить)	Позволяет читать, изменять и удалять файл	- Все перечисленные выше разрешения - Delete (Удаление)
Full Control ( Полный доступ)	Позволяет осуществлять полный контроль над файлом	- Все перечисленные выше разрешения - Delete Subfolders and Files ( Удаление подпапок и файлов) - Change Permissions ( Смена разрешений) - Take Ownership (Смена владельца)

В некоторых случаях установленный набор разрешений не обеспечивает контроль над доступом пользователей или групп к файлу. В таких ситуациях следует присваивать разрешения в индивидуальном порядке. Для этого необходимо выполнить следующие действия:

1. На вкладке Security (Безопасность) в диалоговом окне свойств файла щелкнуть на кнопке Advanced (Дополнительно).

2. На вкладке Permissions (Разрешения) появившегося диалогового окна Access Control Settings (Параметры управления доступом) выделить нужную группу или пользователя и щелкнуть на кнопке View/Edit (Показать).

Как показано на рис.2, появляется список разрешений, похожий на список со вкладки Security (Безопасность) из диалогового окна свойств, но в этом списке можно устанавливать индивидуальные разрешения.

Рис.2. Щелчок на вкладке Дополнительно и далее на кнопке Показать приводит в диалоговое окно, где можно выбрать комбинацию разрешений

Защита папок

Установление разрешений для папок похоже на установление разрешений для доступа к файлам, однако существуют и отличия.

Одно из них состоит в том, что вкладка Security (Безопасность) в диалоговом окне свойств папки включает дополнительное разрешение List Folder Content (Список содержимого папки). В это разрешение включены те же пункты, что и в разрешение Read & Execute (Чтение и выполнение). Разница между этими разрешениями состоит в способе наследования. Разрешение List Folder Content (Список содержимого папки) наследуется папками, но не файлами, тогда как разрешение Read & Execute (Чтение и выполнение) наследуется и папками, и файлами. Наследование является наиболее значимой разницей между разрешениями для файлов и для папок.

Если оставлен установленный по умолчанию флажок Allow Inheritable Permissions From Parent To Propagate To This Object (Переносить наследуемые от родительского объекта разрешения на этот объект) со вкладки Security (Безопасность) в диалоговом окне файла или папки, разрешение передается от родительского объекта (папки, содержащей данную папку или файл) “по наследству”. Если сам родительский объект имеет такую пометку, разрешение передается от его родительского объекта и т. д. У объекта может быть огромная коллекция наследованных и явно указанных разрешений (тех, у которых разрешения были изменены или добавлены). Наследованные разрешения обозначены в затененных полях столбцов Allow (Разрешить) и Deny (Запретить), остальные разрешения помещены в обычных полях.

Однако, каждый пользователь или член группы, имеющий разрешение на полный контроль папки, может удалять любые файлы из этой папки независимо от разрешений для этих файлов.

Преимущество такой настройки состоит в том, что она позволяет изменять разрешения для одной папки и распространять их на все ее дочерние объекты, не изменяя разрешения в индивидуальном порядке. При изменении степени доступа пользователя к папке меняется и разрешение к файлам этой папки.

Каждый файл или папка в томе NTFS имеет владельца, то есть человека, который осуществляет контроль за разрешениями для объектов и присваивает их другим пользователям. Создатель нового файла является его начальным владельцем.

Иногда приходится присваивать “чужой ” файл или папку. Например, если владелец файла больше не хочет им заниматься, системный администратор может присвоить файл себе или другому пользователю, или другой пользователь может присвоить файл напрямую.

Для присвоения файла или папки необходимо иметь разрешение Take Ownership (Смена владельца), которое включено в разрешение Full Control (Полный доступ). Чтобы получить такое разрешение, необходимо получить разрешение на полный доступ у администратора или владельца файла, который также обладает полным доступом.

Шифрующая файловая система EFS

На персональном компьютере операционную систему можно загрузить не с жесткого, а с гибкого диска. Это позволяет обойти проблемы, связанные с отказом жесткого диска и разрушением загрузочных разделов. Однако, поскольку с помощью гибкого диска можно загружать различные операционные системы, любой пользователь, получивший физический доступ к компьютеру, может обойти встроенную систему управления доступом файловой системы Windows 2000 (NTFS) и с помощью определенных инструментов прочесть информацию жесткого диска. Многие конфигурации оборудования позволяют применять пароли, регулирующие доступ при загрузке. Однако такие средства не имеют широкого распространения. Кроме того, если на компьютере работает несколько пользователей, подобный подход не дает хороших результатов, да и сама защита с помощью пароля недостаточно надежна. Вот типичные примеры несанкционированного доступа к данным:

· Хищение переносного компьютера. Любой злоумышленник может похитить переносной компьютер, а затем получить доступ к конфиденциальной информации, находящейся на его жестком диске.

· Неограниченный доступ. Компьютер оставлен в рабочем состоянии, и за ним никто не наблюдает. Любой пользователь может подойти к такому компьютеру и получить доступ к конфиденциальной информации.

Доступ к данным можно ограничить с помощью средств NTFS. Такой подход обеспечивает хорошую степень защиты, если единственной загружаемой операционной системой является Windows 2000, жесткий диск не может быть физически удален из компьютера, и данные находятся в разделе NTFS. Если кто-либо захочет получить доступ к данным, он может осуществить свое желание, получив физический доступ к компьютеру или жесткому диску. Существуют инструменты, позволяющие получить доступ к файлам, находящимся в разделе NTFS, из операционных систем MS-DOS или UNIX в обход системы безопасности NTFS.

Практически все приложения в процессе редактирования документов создают временные файлы. Они остаются на диске незашифрованными, несмотря на то, что оригинальный файл зашифрован. Кроме того, шифрование информации на уровне приложений выполняется в режиме пользователя Windows 2000. Это значит, что ключ, применяемый для такого типа шифрования, может храниться в файле подкачки. В результате, с помощью изучения данных файла подкачки можно получить ключ и расшифровать все документы пользователя.

Слабая криптостойкость ключей. Ключи образуются от паролей или случайных фраз. Поэтому в случае, если пароль был легко запоминаемым, атаки с помощью словарей могут легко привести к взлому системы защиты.

Все перечисленные выше проблемы позволяет решить шифрующая файловая система (Encrypting File System, EFS), реализованная в Windows 2000 и работающая только на NTFS 5.0.

EFS тесно взаимодействует с NTFS 5.0. Временные файлы, создаваемые приложениями, наследуют атрибуты оригинальных файлов (если файлы находятся в разделе NTFS). Вместе с файлом шифруются также и его временные копии. EPS находится в ядре Windows 2000 и использует для хранения ключей специальный пул, не выгружаемый на жесткий диск. Поэтому ключи никогда не попадают в файл подкачки.

Конфигурация EFS, устанавливаемая по умолчанию, позволяет пользователю шифровать свои файлы без всякого вмешательства со стороны администратора. В этом случае EFS автоматически генерирует для пользователя пару ключей (открытый и личный), применяемую для криптозащиты данных. Шифрование и дешифрование файлов может быть выполнено как для определенных файлов, так и для целого каталога. Криптозащита каталога прозрачна для пользователя. При шифровании каталога автоматически шифруются и все входящие в него файлы и подкаталоги. Каждый файл обладает уникальным ключом, позволяющим легко выполнять операцию переименования. Если вы переименовываете файл, находящийся в зашифрованном каталоге, и переносите его в незашифрованный каталог, сам файл остается зашифрованным (при условии, что целевой каталог находится на томе NTFS 5.0). Средства шифрования и дешифрования доступны через Проводник. Кроме того, можно использовать все возможности криптозащиты данных с помощью набора утилит командной строки и интерфейсов администрирования.

EFS исключает необходимость предварительного расшифровывания данных при доступе к ним. Операции шифрования и Дешифрования выполняются автоматически при записи или считывании информации. EFS автоматически распознает зашифрованный файл и найдет соответствующий ключ пользователя в системном хранилище ключей. Поскольку механизм хранения ключей основан на использовании CryptoAPI, пользователи получают возможность хранить ключи на защищенных устройствах, например, смарт-картах. Если зашифрованные файлы хранятся на общих ресурсах, то для работы с ними пользователи должны иметь сертификат и личный ключ того, кто установил шифрование этих файлов. Впоследствии каждый пользователь может при необходимости независимо расшифровать файл при помощи своего личного ключа.

Архитектура EFS

EFS содержит следующие компоненты операционной системы Windows 2000:

· Драйвер EFS. Драйвер EFS является надстройкой над файловой системой NTFS. Он обменивается данными со службой EFS -- запрашивает ключи шифрования, наборы DDF (Data Decryption Field) и DRF (Data Recovery Field), -- а также с другими службами управления ключами. Полученную информацию драйвер EFS передает библиотеке реального времени файловой системы EFS (File System Run Time Library, FSRTL), которая прозрачно для операционной системы выполняет различные операции, характерные для файловой системы (чтение, запись, открытие файла, присоединение информации).

· Библиотека реального времени файловой системы EFS. FSRTL -- это модуль, находящийся внутри драйвера EFS, реализующий вызовы NTFS, выполняющие такие операции, как чтение, запись и открытие зашифрованных файлов и каталогов, а также операции, связанные с шифрованием, дешифрованием и восстановлением файлов при их чтении или записи на диск. Хотя драйверы EFS и FSRTL реализованы в виде одного компонента, они никогда не обмениваются данными напрямую. Для передачи сообщений друг другу они используют механизм вызовов (callouts) NTFS, предназначенный для управления файлами. Это гарантирует, что вся работа с файлами происходит при непосредственном участии NTFS. С помощью механизма управления файлами операции записи значений атрибутов EFS (DDF и DRF) реализованы как обычная модификация атрибутов файла.

· Служба EFS. Служба EFS (EFS Service) является частью системы безопасности операционной системы. Для обмена данными с драйвером EFS она использует порт связи LPC, существующий между локальным администратором безопасности (Local Security Authority, LSA) и монитором безопасности, работающим в привилегированном режиме. В режиме пользователя для создания ключей шифрования файлов и генерирования данных для DDF и DRF служба EFS использует CryptoAPI. Она также поддерживает набор API для Win32.

· Набор API для Win32. Этот набор интерфейсов прикладного программирования позволяет выполнять шифрование файлов, дешифрование и восстановление зашифрованных файлов, а также их импорт и экспорт (без предварительного дешифрования). Эти API поддерживаются стандартным системным модулем DLL -- advapi32.dll.

·

Рис 3. Архитектура EFS

Технологии шифрования EFS

EFS основана на шифровании с открытым ключом и использует все возможности архитектуры CryptoAPI в Windows 2000. Каждый файл шифруется с помощью случайно сгенерированного ключа, зависящего от пары открытого (public) и личного, закрытого (private) ключей пользователя. Подобный подход в значительной степени затрудняет осуществление большого набора атак, основанных на криптоанализе. При криптозащите файлов может быть применен любой алгоритм симметричного шифрования. Текущая версия EFS использует алгоритм DESX (расширенный DES) с длиной ключа 56 бит. EFS позволяет осуществлять шифрование и дешифрование файлов, находящихся на удаленных файловых серверах. В данном случае EFS может работать только с файлами, находящимися на диске. Шифрующая файловая система не осуществляет криптозащиту данных, передаваемых по сети. Для шифрования передаваемой информации в операционной системе Windows 2000 следует применять специальные сетевые протоколы, например SSL/PCT.

Принципы шифрования

В EFS для шифрования и дешифрования информации используются открытые ключи. Данные зашифровываются с помощью симметричного алгоритма с применением ключа шифрования файла (File Encryption Key, FEK). FEK -- это сгенерированный случайным образом ключ, имеющий определенную длину.

В свою очередь, FEK шифруется с помощью одного или нескольких открытых ключей, предназначенных для криптозащиты ключа. В этом случае создается список зашифрованных ключей FEK, что позволяет организовать доступ к файлу со стороны нескольких пользователей. Для шифрования набора FEK используется открытая часть пары ключей каждого пользователя. Список зашифрованных ключей FEK хранится вместе с зашифрованным файлом в специальном атрибуте EFS, называемом полем дешифрования данных (Data Decryption Field, DDF). Информация, требуемая для дешифрования, привязывается к самому файлу. Секретная часть ключа пользователя используется при дешифровании FEK. Она хранится в безопасном месте, например на смарт-карте или другом устройстве, обладающем высокой степенью защищенности. Шифрование на основе ключа пользователя может быть выполнено с помощью симметричного алгоритма, применяющего ключ, образованный из пароля. EFS не поддерживает этот подход, поскольку схема, основанная на пароле пользователя, не обладает необходимой устойчивостью к атакам с применением словарей.

FEK применяется для создания ключей восстановления. Для этого FEK шифруется с помощью одного или нескольких открытых ключей восстановления. Список РЕК, зашифрованных для целей восстановления, хранится вместе с зашифрованным файлом в специальном атрибуте EFS, называемом полем восстановления данных (Data Recovery Field, DRF). Благодаря существованию набора зашифрованных FEK файл может восстановить несколько агентов восстановления данных. Для шифрования РЕК в DRF необходима только общая часть пары ключей восстановления, ее присутствие в системе необходимо в любой момент времени для нормального функционирования файловой системы. Сама процедура восстановления выполняется довольно редко, когда пользователь увольняется из организации или забывает секретную часть ключа. Поэтому агенты восстановления могут хранить секретную часть ключей восстановления в безопасном месте, например на смарт-картах или других хорошо защищенных устройствах.

Операция шифрования

Шифрование данных производится в следующем порядке:

1. Незашифрованный файл пользователя шифруется с помощью сгенерированного случайным образом ключа шифрования файла, РЕК.

2. РЕК шифруется с помощью открытой части пары ключей пользователя и помещается в поле дешифрования данных, DDF.

3. РЕК шифруется с помощью открытой части ключа восстановления и помещается в поле восстановления данных, DRF.

Операция дешифрования

Дешифрование данных производится следующим образом:

1. Из DDF извлекается зашифрованный РЕК и дешифруется с помощью секретной части ключа пользователя.

2. Зашифрованный файл пользователя дешифруется с помощью РЕК, полученного на предыдущем этапе.

При работе с большими файлами дешифруются только отдельные блоки, что значительно ускоряет выполнение операций чтения.

Процесс восстановления файла после утраты секретной части ключа

Для восстановления данных выполняются следующие операции:

1. Из DDF извлекается зашифрованный РЕК и дешифруется с помощью секретной части ключа восстановления.

2. Зашифрованный файл пользователя дешифруется с помощью РЕК, полученного на предыдущем этапе.

Описанная выше общая система криптозащиты позволяет применять максимально надежную технологию шифрования и дает возможность многим пользователям и агентам восстановления получать общий доступ к зашифрованным файлам. Она полностью независима от применяемого алгоритма шифрования, что очень важно, поскольку позволяет легко перейти на новые, более эффективные алгоритмы.

Восстановление данных, зашифрованных с помощью неизвестного личного ключа

EFS располагает встроенными средствами восстановления зашифрованных данных в условиях, когда Неизвестен личный ключ пользователя. Необходимость подобной операции может возникнуть в следующих случаях: Пользователь был уволен из компании и ушел, не сообщив свой пароль.

Работа с зашифрованными файлами такого пользователя невозможна.

· Пользователь утратил свой личный ключ.

· Органы государственной безопасности направили запрос на получение доступа к зашифрованным данным пользователя.

Windows 2000 позволяет создать необходимые ключи для восстановления зашифрованных данных в описанных ситуациях. Пользователи, которые могут восстанавливать зашифрованные данные в условиях утраты личного ключа, называются агентами восстановления данных. Агенты восстановления данных обладают сертификатом (Х509 version 3) на восстановление файлов и личным ключом, с помощью которых выполняется операция восстановления зашифрованных файлов. Используя ключ восстановления, можно получить только сгенерированный случайным образом ключ, с помощью которого был зашифрован конкретный файл. Поэтому агенту восстановления не может случайно стать доступной другая конфиденциальная информация. Средство восстановления данных предназначено для применения в разнообразных конфигурациях вычислительных сред. Параметры процедуры восстановления зашифрованных данных в условиях утраты личного ключа задаются политикой восстановления. Она представляет собой одну из политик открытого ключа. При установке Windows 2000 Server политика восстановления автоматически создается на первом контроллере домена. Администратор домена одновременно является и агентом восстановления. Могут быть добавлены и другие агенты. Это делается с помощью оснастки Групповая политика (Group Policy), в которой нужно раскрыть узел Конфигурация компьютера | Конфигурация Windows | Параметры безопасности | Политики открытого ключа | Агенты восстановления шифрованных данных (Computer Settings | Security Settings | Public Key Policies | Encrypted Data Recovery Agents) и выполнить в контекстном меню команду Добавить (Add) или Создать (Сгеа1е) (в первом случае выбирается пользователь с имеющимся сертификатом агента восстановления, во втором -- запрашивается и устанавливается новый сертификат для текущей учетной записи). Политика восстановления существует и на одиночном компьютере. В этом случае агентом восстановления автоматически становится администратор компьютера.

Политика восстановления, применяемая по умолчанию, создается на каждом компьютере при инсталляции системы. Если компьютер подключается к сети, для него политика восстановления может быть определена также на уровне его домена или подразделения, причем она должна быть установлена до того, как начнет применяться шифрование, и имеет приоритет над политиками восстановления, задаваемыми локальными администраторами.

Существует три "типа" политик восстановления:

1. Политика агентов восстановления. Когда администратор добавляет одного или нескольких агентов восстановления, начинает действовать политика агентов восстановления. Это наиболее широко используемый тип политики.

2. Пустая политика восстановления (empty policy). Когда администратор уничтожает всех агентов восстановления и их сертификаты открытых ключей, начинает действовать пустая политика восстановления. Это значит, что не существует ни одного агента восстановления, и в пределах области действия данной политики пользователи не могут шифровать свои данные. Применение пустой политики восстановления эквивалентно отключению работы EFS.

3. Отсутствие политики восстановления (no policy). Когда администратор удаляет групповую политику восстановления, для восстановления зашифрованных данных в условиях утраты личного ключа используются локальные политики восстановления, существующие на каждом компьютере, и процессом восстановления управляет локальный администратор компьютера.

Настройка параметров политики восстановления выполняется с помощью оснастки Групповая политика (узел Политики открытых ключей).

Служба каталогов Active Directory

Служба каталогов Active Directory играет важнейшую роль в обеспечении сетевой безопасности. В Active Directory централизованно хранится информация о пользователях, аппаратных средствах, приложениях и сетях, благодаря чему эти сведения всегда доступны пользователям. Кроме того, в службе каталогов Active Directory хранится информация, необходимая для авторизации и аутентификации, с помощью которой определяется возможность доступа пользователей к тем или иным сетевым ресурсам.

Служба каталогов Active Directory также плотно интегрирована со службами безопасности Windows 2000, такими как протокол аутентификации Kerberos, инфраструктура открытых ключей, шифрованная файловая система, диспетчер настроек безопасности (Security Configuration Manager), групповая политика и делегирование прав администрирования. Благодаря этой интеграции приложения Windows могут использовать все преимущества существующей инфраструктуры безопасности, о чём более подробно будет рассказано ниже.

Основы работы Active Directory

Работа служб безопасности Windows 2000 тесно связана с функционированием службы каталогов Active Directory. В отличие от простой пофайловой структуры каталога ОС Windows NT® Server, служба каталогов Active Directory в Windows 2000 сохраняет информацию в иерархическом виде, отражающем логику построения вашей сети. Благодаря этому упрощается управление каталогом и становится возможным значительный его рост. Иерархическая структура Active Directory состоит из доменов, подразделений (organizational units, OU) и объектов, подобно тому, как информация на компьютерах под управлением Windows организуется в папки и файлы.

Рис 4. Иерархическая структура службы каталогов Active Directory

Домен - это совокупность сетевых объектов, таких как подразделения, учётные записи пользователей, группы и компьютеры, использующие в целях безопасности общую базу данных каталогов. Домены являются основными структурными единицами в Active Directory, выполняя важные функции в системе безопасности. Группировка объектов в один или несколько доменов помогает отразить способ организации Вашей компании.

Сети крупных организаций могут содержать несколько доменов, при этом их иерархия называется деревом доменов. Первый созданный домен является корневым и, по отношению к доменам, созданным под ним, будет родительским, а те по отношению к нему - дочерними. В очень больших организациях деревья доменов могут быть связаны между собой, формируя структуру, называемую лесом. (В случаях, когда используется несколько контроллеров домена, служба каталогов Active Directory реплицирует базы данных через равные интервалы времени на каждый контроллер домена, благодаря чему базы данных всегда синхронизированы).

В домене выполнение функций центра обеспечения безопасности сочетается с единством внутренних политик и определённостью отношений в сфере безопасности с другими доменами. Администратор домена имеет полномочия на регулирование политик только внутри своего домена. Для больших организаций это особенно удобно, поскольку с различными доменами работают разные администраторы (более подробно эта особенность управления доменами рассматривается ниже, в разделе «Делегирование прав администрирования»). Однако домен не имеет собственных защитных границ, обеспечивающих безопасную изоляцию от других доменов в пределах леса. Такими границами обладает только лес.

Сайты - другое понятие, связанное с работой Active Directory. В то время как структура доменов обычно отражает бизнес-структуру организации, сайты объединяют серверы Active Directory по географическому признаку. Компьютеры внутри сайта, как правило, соединены быстрыми каналами связи, но не обязательно логически связаны между собой. Например, если в здании находится несколько разных предприятий, таких, как видеостудия, ресторан и архив документов, серверы Active Directory в этом здании могут составлять сайт, даже если области выполняемых на них задач не пересекаются.

Подразделение (organizational unit, OU) представляет собой контейнер, с помощью которого можно логически объединять объекты в административные группы внутри домена. В подразделение могут входить такие объекты, как учётные записи пользователей, группы, компьютеры, принтеры, приложения, общие файлы, а также другие подразделения.

Объект содержит информацию (называемую атрибутами) об отдельном пользователе, компьютере или аппаратном устройстве. Например, среди атрибутов объекта, соответствующего пользователю, скорее всего, можно будет найти имя, номер телефона и имя руководителя. В объект, сопоставленный компьютеру, обычно включается информация о расположении компьютера, а также список управления доступом (Access control list, ACL), перечисляющий группы и пользователей, у которых имеются права на доступ к данному компьютеру.

Распределение информации по доменам и подразделениям позволяет управлять применением мер безопасности к совокупностям объектов, таким как группы пользователей и компьютеров, а не к каждому пользователю или объекту отдельно. Более подробно этот подход будет описан ниже, в разделе «Управление мерами безопасности с помощью групповой политики». Перед этим необходимо рассмотреть ещё одно понятие, важное для понимания взаимодействия системы безопасности с Active Directory - доверие.

Отношения доверия между доменами

Для того чтобы пользователи, выполнив вход в сеть, могли работать со всеми ресурсами сети (что обычно называется единым входом), в Windows 2000 используются отношения доверия между доменами.

Отношение доверия - логическая связь, устанавливаемая между доменами с целью обеспечения сквозной аутентификации, которая позволяет пользователям и компьютерам проходить аутентификацию в любом домене в пределах сети. Таким образом, пользователь или компьютер может получить доступ ко всем ресурсам в соответствии с имеющимися у него разрешениями, зарегистрировавшись в сети только один раз. Эта возможность перемещения между доменами проясняет смысл термина транзитивное доверие, обозначающий прохождение аутентификации в разных доменах в соответствии с цепной передачей отношений доверия между ними.

В отличие от сетей на основе Windows NT, в которых используются односторонние, нетранзитивные отношения доверия, при формировании дерева доменов под управлением Windows 2000 между всеми доменами устанавливаются подразумеваемые отношения доверия. Это облегчает создание явных отношений доверия между доменами средних и крупных организаций. Каждый домен в пределах дерева связывается с родительским доменом двусторонними, а с остальными доменами - подразумеваемыми отношениями доверия. (Если для какого-либо домена двусторонние отношения доверия нежелательны, их можно явным образом сделать односторонними). Для организаций с несколькими доменами общее количество явно заданных односторонних отношений доверия значительно меньше при использовании Windows 2000, чем при использовании Windows NT 4.0, благодаря чему управление доменами значительно упрощается. Транзитивное доверие устанавливается внутри дерева по умолчанию, что очень удобно, поскольку дерево доменов обычно управляется одним администратором. Однако управление лесом одним администратором встречается не так часто, поэтому транзитивные отношения доверия между деревьями необходимо устанавливать отдельно.

Рассмотрим рисунок 4. Windows 2000 автоматически устанавливает двусторонние отношения доверия между корневым доменом Microsoft.com и двумя его дочерними доменами: FarEast.Microsoft.com и Europe.Microsoft.com. Далее, в силу того, что Microsoft.com доверяет обоим дочерним доменам, отношения доверия транзитивно устанавливаются и между доменами FarEast и Europe. Подобные отношения устанавливаются автоматически, если домены находятся под управлением Windows 2000. Если же в сети присутствуют также и домены, управляемые Windows NT, администраторы могут задавать явные односторонние отношения доверия, свойственные сетям Windows NT.

При аутентификации между доменами в Windows 2000 отношения доверия реализуются с помощью протокола Kerberos версии 5 и аутентификации NTLM, что обеспечивает их обратную совместимость. Это важно, поскольку многие организации используют сложные модели организации сетей на основе Windows NT, включающие несколько главных доменов и множество доменов ресурсов, что требует больших финансовых и организационных затрат для управления отношениями доверия между ними. В силу того, что дереву доменов на основе Windows 2000 соответствует дерево транзитивных отношений доверия, использование Windows 2000 упрощает интеграцию сетевых доменов и управление ими для больших компаний. При этом необходимо иметь в виду, что установление транзитивного доверия не означает автоматического предоставления прав доступа тем, кто их не имеет в соответствии со списками управления доступом (ACL). Отношения транзитивного доверия служат, главным образом, для упрощения определения и настройки администраторами прав доступа.

Управление мерами безопасности при помощи групповой политики

Параметры групповой политики - это настройки, при помощи которых администратор может контролировать действия объектов в Active Directory. Групповая политика является важной составляющей Active Directory, поскольку она позволяет унифицировано применять любые политики к большому числу компьютеров. Например, групповую политику можно использовать для настройки параметров безопасности, управления приложениями, видом рабочего стола, для назначения сценариев и перенаправления папок с локальных компьютеров на сетевые ресурсы. Система применяет групповые политики к компьютерам при загрузке, а к пользователям - при их регистрации в системе.

Настройки групповой политики могут относиться к трём контейнерам в Active Directory: подразделениям (OUs), доменам и сайтам. Установки групповой политики затрагивают либо всех пользователей (или все компьютеры) в данном контейнере, либо только определённые их группы.

С помощью групповой политики можно применять политики безопасности широкого действия. Политики уровня домена затрагивают всех его пользователей. К ним, в частности, относятся политики учётных записей, определяющие, например, минимальную длину пароля или периодичность обязательной смены пароля пользователями. При этом можно указать возможность замещения этих установок установками политик низших уровней.

После применения глобальных политик с помощью параметров групповой политики можно задать детальные настройки безопасности для индивидуальных компьютеров. Настройки безопасности локальных компьютеров определяют права и привилегии для конкретного пользователя или компьютера. Например, на сервере можно распределить права на создание резервных копий и восстановление из них данных, а на настольном компьютере задать уровень аудита доступа к данным.

Параметры безопасности для каждого компьютера складываются из настроек политик всех уровней - от домена до подразделения. В примере, приведённом на рис 4. настройки для пользователей домена Europe.Microsoft.com определяются комбинацией политик доменов Microsoft.com и Europe.Microsoft.com, а также всех подразделений, в состав которых входит данный пользователь.

Аутентификация и управление доступом

Аутентификация представляет собой одну из важнейших составляющих безопасности системы. С помощью процедур аутентификации подтверждается подлинность пользователей, осуществляющих вход в домен или пытающихся получить доступ к сетевым ресурсам. В Windows 2000 аутентификация служит для осуществления единого входа в сеть. Единый вход обеспечивает аутентификацию пользователя на любом компьютере домена после прохождения одной процедуры входа с помощью пароля или смарт-карты.

Успешная аутентификация в среде Windows 2000 складывается из двух отдельных процессов: интерактивного входа, при котором учетные данные пользователя сверяются с учетной записью домена или локального компьютера, и сетевой аутентификации при попытке пользователя получить доступ к любой сетевой службе.

После успешной аутентификации пользователя уровень его доступа к объектам определяется исходя как из назначенных пользователю прав, так и из разрешений, установленных для данных объектов. Для объектов, находящихся в домене, управление доступом осуществляет соответствующий диспетчер объектов. Например, доступ к ключам реестра контролируется реестром.

Аутентификация

Для входа в систему компьютера или в домен пользователь Windows 2000 должен иметь учётную запись в Active Directory. Учётная запись служит удостоверением подлинности пользователя, на основании которого операционная система выполняет аутентификацию и предоставляет права доступа к конкретным ресурсам в домене.

Учётные записи пользователей также могут применяться в некоторых приложениях. Службу можно настроить на аутентификацию с учётной записью пользователя, что предоставит ей соответствующие права на доступ к определённым сетевым ресурсам.

Как и учётные записи пользователей, учётные записи компьютеров в Windows 2000 обеспечивают возможность аутентификации и аудита доступа, осуществляемого с данного компьютера к сети и её ресурсам. Доступ к ресурсам может быть предоставлен только компьютеру под управлением Windows 2000, имеющему уникальную учётную запись.

Windows 2000 поддерживает несколько механизмов аутентификации для проверки подлинности пользователей, входящих в сеть. Это особенно важно при предоставлении доступа к корпоративной сети внешних пользователей с помощью внешних сетей или приложений электронной коммерции.

При входе в сеть пользователь предъявляет данные для аутентификации, по которым система безопасности проверяет его подлинность и определяет, какие права доступа к сетевым ресурсам могут быть ему предоставлены. В корпоративной сети Windows 2000 используется протокол аутентификации Kerberos. Если же требуется проверить удостоверения партнёров, поставщиков или клиентов компании через Интернет, необходима поддержка различных способов аутентификации. Windows 2000 предоставляет такую возможность, поскольку в её состав входят различные механизмы аутентификации промышленного стандарта, включая сертификаты X.509, поддержку смарт-карт, а также протокол Kerberos. Кроме того, Windows 2000 поддерживает протокол NTLM, долгое время использовавшийся в Windows, и предоставляет интерфейсы для производителей биометрических механизмов аутентификации.

Используя групповую политику в Active Directory, можно назначать использование различных механизмов аутентификации для конкретных пользователей или групп, исходя из их функций и требований безопасности. Например, можно потребовать от исполнительского персонала прохождения аутентификации только с помощью смарт-карт, что повысит уровень надёжности проверки; для пользователей Интернета установить требование аутентификации по сертификатам X.509, работающим с любым браузером; а для корпоративных служащих можно продолжать использовать аутентификацию NTLM по имени пользователя и паролю. Независимо от метода проверки подлинности, Windows 2000 сверяет представленную при аутентификации информацию с Active Directory. Если аутентификация проходит успешно и подтверждается наличие учётной записи, принадлежащей данному пользователю, Windows 2000 предоставляет ему учётные данные, необходимые для доступа к ресурсам во всей сети.