Организация защиты информации в вычислительных сетях средствами сетевых операционных систем. Сетевая операционная система Windows NT 5.0. Основные службы и механизмы защиты информации

Управление доступом

Управление доступом в Windows 2000 реализуется путём назначения администраторами дескрипторов безопасности объектам, таким как файлы, принтеры и службы. Дескриптор безопасности объекта содержит список управления доступом (ACL), в котором определяются пользователи (индивидуально или по группам), имеющие права на выполнение конкретных операций с данным объектом. Дескриптором безопасности объекта также определяются события доступа к данному объекту, подлежащие аудиту, например, запись в защищённый файл. Изменяя свойства объекта, администраторы могут устанавливать разрешения, назначать права владения и отслеживать доступ пользователей к объекту.

Администраторы могут контролировать доступ не только к самому объекту, но и к отдельным атрибутам этого объекта. Например, путём соответствующей настройки дескриптора безопасности можно разрешить доступ пользователей к некоторой части информации, такой как имя и номер телефона сотрудника, закрыв для просмотра другую часть, например, домашний адрес.

С помощью списков управления доступом (ACL) к объектам операционная система Windows 2000 сравнивает информацию о клиенте с информацией об объекте с целью определения того, имеет ли данный пользователь необходимые права доступа (например, разрешение на чтение/запись) к данному объекту (например, файлу). Проверка производится на уровне ядра подсистемы безопасности Windows 2000. В зависимости от результата сравнения служба ответит клиенту либо выполнением запроса, либо отказом в доступе.

Детализированный контроль доступа

Для обеспечения большей гибкости в регулировании настроек безопасности служба каталогов Active Directory предоставляет администраторам возможность детализированного контроля доступа к объектам каталога. Объекты в Active Directory, соответствующие пользователям или группам, могут иметь буквально сотни атрибутов, таких, как номера домашних и рабочих телефонов, имена руководителей, а также названия групп, в состав которых входит данный объект. Разрешения могут задаваться только для некоторых атрибутов выбранной учётной записи без предоставления прав на чтение/запись всех атрибутов. Можно также контролировать изменения в учётной записи пользователя или других записях в Active Directory для каждого атрибута.

Делегирование прав администрирования

Для того чтобы организации могли распределять ответственность за управление доменами между несколькими сотрудниками, Active Directory позволяет администраторам делегировать полномочия на выполнение задач администрирования в пределах леса или домена. Административный контроль может быть передан на любой уровень дерева доменов путём создания подразделений, включающих объекты, над которыми необходимо установить контроль, с последующим делегированием прав администрирования этих подразделений определённым пользователям или группам.

На уровне подразделения администратор может предоставить права на выполнение конкретных операций, таких как создание групп, управление списками пользователей в этих группах или создание учётных записей компьютеров в домене. Установки групповой политики и использование групп пользователей позволяют администраторам точно определять делегируемые полномочия. Например, можно передать права на изменение записей пользователей определённой группе, такой как группа поддержки бухгалтерии, при этом ограничив полномочия этой группы выбранными категориями пользователей, скажем, только служащими бухгалтерии, занимающимися платёжными ведомостями.

Более того, благодаря возможности детализированного контроля доступа (описанного выше) администраторы могут точно определять круг делегируемых полномочий. Например, вместо предоставления прав полного доступа к учётным записям пользователей, администратор может разрешить группе поддержки только сброс паролей, не позволяя изменять адреса пользователей.

Протокол аутентификации Kerberos

В Windows 2000 в качестве основного метода аутентификации пользователей используется стандартный для Интернета протокол Kerberos версии 5 (RFC 1510). Протокол Kerberos обеспечивает взаимную проверку подлинности клиента и сервера перед установлением подключения между ними. Такой подход является оптимальным для сетей с незащищёнными соединениями, например, устанавливаемыми через Интернет.

Аутентификация по протоколу Kerberos основывается на использовании билетов. При регистрации в домене Windows 2000 клиент получает билет, удостоверяющий подлинность клиента перед сетевым ресурсом и ресурса перед клиентом. В этой процедуре используется метод аутентификации, известный как проверка подлинности с использованием общего секрета. Принцип, лежащий в основе этого метода, прост: если секрет известен только двоим, каждый может удостоверить подлинность другого, проверив знание секрета.

При использовании протокола Kerberos как клиенты, так и серверы регистрируются на сервере аутентификации Kerberos. Клиенты отсылают зашифрованную информацию, образованную от паролей пользователей, на сервер Kerberos, который по этим данным проверяет подлинность пользователей. Подобным же образом сервер посылает информацию приложению Kerberos, установленному на клиенте, подтверждая последнему свою подлинность. Этот процесс взаимной аутентификации предупреждает возможность действий злоумышленников от имени как сервера, так и клиента.

Данный метод является усовершенствованием использовавшегося в Windows NT 4.0 процесса аутентификации (известного как NTLM), требовавшего аутентификации клиента при обращении к каждому сетевому ресурсу. NTLM был заменён Kerberos в качестве основного протокола защиты ресурсов в доменах под управлением Windows 2000 Server. (При этом протокол NTLM до сих пор поддерживается, что обеспечивает обратную совместимость). Полная поддержка протокола Kerberos обеспечивает единый вход с быстрым доступом к ресурсам под управлением Windows 2000 Server, а также другим операционным средам, поддерживающим этот протокол.

Аутентификация по протоколу Kerberos

Приложения часто используют несколько серверов для выполнения одной задачи. Например, чтобы предоставить данные клиенту, веб-приложение может работать как с веб-сервером, так и с сервером баз данных. Вместо того, чтобы ставить клиента перед необходимостью проходить процесс аутентификации для каждого используемого сервера, Windows 2000 обеспечивает безопасность многозвенных приложений (называемых также трёхзвенными).

Транзитивные отношения доверия между доменами Windows 2000 значительно расширяют круг ресурсов, к которым клиент Windows 2000 может получить доступ, выполнив вход только в домен Windows 2000 и не вводя множество разных паролей для других серверов и ресурсов. Такая область доступа, возможная при едином входе, открывается благодаря сочетанию механизмов реализации отношений доверия Windows 2000 и способа работы протокола Kerberos с Active Directory при аутентификации клиентов.

В операционной системе используется единая модель и инфраструктура обеспечения безопасности для создания учётных записей пользователей и управления правами доступа. Установки, однажды заданные в Active Directory, будут действовать на всех серверах приложений компании. Метод, обеспечивающий поддержку трёхзвенной модели, называется делегированием полномочий на выполнение аутентификации.

Рис 6. Делегирование полномочий на выполнение аутентификации

Эта модель позволяет клиенту поручать выполнение аутентификации серверам, участвующим в работе приложения. Серверы выполняют запросы на доступ от имени клиента, при этом все передачи учётных данных и билетов происходят без участия пользователя. Однако, хотя вместо клиента действует сервер, объектом аудита считается клиент. Если сервер обрабатывает запрос, перенаправленный ему другим сервером, в его журнале отражается имя клиента, а не промежуточного сервера.

Данная модель является важным элементом Windows 2000, поскольку обеспечивает поддержку единого входа и упрощает систему безопасности, не ослабляя её. Многие современные приложения в целях безопасности требуют наличия отдельной базы данных учётных записей. Однако приложения, использующие Active Directory в качестве центрального хранилища информации системы безопасности, позволяют намного упростить управление сетями и их масштабирование.

Инфраструктура открытых ключей

Для защиты соединений в открытых сетях, таких как Интернет, используется криптография на основе открытых ключей. Она позволяет шифровать данные, подписывать их, а также проверять подлинность клиентов и серверов при помощи сертификатов. Основная задача, выполняемая при использовании данной технологии - отслеживание сертификатов. Инфраструктура открытых ключей (PKI) позволяет находить, использовать сертификаты открытых ключей и управлять ими. В данном разделе инфраструктура открытых ключей рассматривается более подробно, а также разъясняются принципы работы инфраструктуры открытых ключей в Windows 2000.

PKI является системой промышленного стандарта, включающей цифровые сертификаты, центры сертификации (Certification authorities, CA) и другие центры регистрации, проверяющие подлинность всех сторон, принимающих участие в электронных транзакциях. Инфраструктура открытых ключей может быть использована для решения широкого круга задач, связанных с обеспечением информационной и сетевой безопасности. Например, для контроля доступа к информации пользователей (деловых партнёров), не имеющих учётных записей Windows 2000 в корпоративной сети, необходим другой способ аутентификации (вместо процедуры входа Windows - примечание переводчика). Такие пользователи могут быть аутентифицированы с помощью PKI.

Сертификаты открытых ключей используются для проверки и передачи зашифрованных ключей, с помощью которых происходит шифрование и расшифровка данных. В криптографии на основе открытых ключей существует два типа ключей - открытые и закрытые. Открытый ключ содержится в сертификате и является общедоступным, однако данные, зашифрованные с его помощью, могут быть расшифрованы только при помощи закрытого ключа. Защищённая транзакция требует наличия как открытого, так и закрытого ключей для шифрования и расшифровки содержащихся в ней данных.

Инфраструктура открытых ключей в Windows 2000, включающая в себя службы, технологию, протоколы и стандарты, позволяет устанавливать и использовать надёжную систему информационной безопасности, основанную на технологии открытых ключей. Являясь реализацией криптографической техники открытых ключей в Windows 2000, инфраструктура открытых ключей позволяет приложениям и пользователям легко находить и использовать сертификаты, не нуждаясь в информации об их расположении и способе работы. Более того, инфраструктура открытых ключей в Windows 2000 полностью интегрирована со службой каталогов Active Directory и со службами распределённой безопасности операционной системы.

Рис 7. Компоненты инфраструктуры открытых ключей Windows 2000

Сертификаты в инфраструктуре открытых ключей

Сертификат в своей основе - цифровой документ, выданный уполномоченным центром, подтверждающий подлинность держателя закрытого ключа. Сертификат связывает открытый ключ с объектом (пользователем, компьютером или службой), обладающим соответствующим закрытым ключом.

Стандартный формат сертификатов, использующихся в Windows 2000 - X.509v3. Сертификат X.509 содержит информацию о пользователе или объекте, которому был выдан данный сертификат, о самом сертификате, а также дополнительную информацию о центре, выдавшем сертификат.

Службы сертификации

Windows 2000 обеспечивает возможность использования инфраструктуры открытых ключей независимо от внешних центров сертификации (CA) с помощью компонента, называемого службами сертификации. Службы сертификации, интегрированные с Active Directory и службами распределённой безопасности позволяют создавать собственные центры сертификации и управлять ими.

Центр сертификации устанавливает и удостоверяет подлинность держателей сертификатов, а также отзывает сертификаты, если они более не действительны, и публикует листы отзыва сертификатов (Certificate Revocation Lists, CRL), используемые при проверке сертификатов. Простейшая инфраструктура открытых ключей содержит только один корневой центр сертификации. Однако на практике большинство организаций, работающих с инфраструктурой открытых ключей, используют несколько центров сертификации, организованных в доверенные группы, называемые иерархиями сертификации.

Отдельным компонентом служб сертификации являются веб-страницы подачи заявок центра сертификации. Эти страницы устанавливаются по умолчанию при создании центра сертификации. Они позволяют запрашивать сертификаты с помощью веб-обозревателя. Кроме этого, веб-страницы центра сертификации могут быть установлены на серверах под управлением Windows 2000, не имеющих сертификационных центров. В этом случае с помощью веб-страниц можно перенаправлять запросы на выдачу сертификатов центру сертификации, прямой доступ к которому нежелателен. Если необходимо создать собственные веб-страницы для доступа к центру сертификации, соответствующие веб-страницы, включённые в Windows 2000, могут служить образцами.

С целью упрощения развёртывания системы безопасности, основанной на открытых ключах, в Windows 2000 процесс подачи заявок на сертификаты компьютеров автоматизирован. Благодаря использованию Active Directory серверы будут готовы к получению сертификатов и при необходимости получат их автоматически. Это значит, что администратору не нужно будет ходить от сервера к серверу и вручную подавать запросы на сертификаты.

Интерфейс CryptoAPI

Часто бывает необходимо предоставить внешним пользователям защищённый доступ к данным, опубликованным на веб-сайте, свободный доступ к которому закрыт. Наиболее типичные случаи - доступ к внешним сетям для корпоративных партнёров, доступ одних отделов предприятия к страницам других отделов в интрасети или выборочный доступ для определённой части пользователей.

Windows 2000 позволяет предоставлять защищённый доступ внешним пользователям путём их аутентификации с помощью инфраструктуры открытых ключей и Active Directory. Это происходит следующим образом. Доступ открывается при создании в Active Directory учётной записи для внешних пользователей, позволяющей работать с соответствующими ресурсами в сети. Внешний пользователь для подтверждения своей подлинности должен предоставить сертификат, выданный центром сертификации, присутствующим в списке доверенных сертификатов для сайта, домена или подразделения Active Directory, в котором создана учётная запись. Когда пользователь входит в систему, система сопоставляет его сертификат с учётной записью и определяет, к какой части внутренней сети он может иметь доступ. Процесс аутентификации скрыт от внешнего пользователя.

Использование инфраструктуры открытых ключей в Windows 2000

Инфраструктура открытых ключей, кроме идентификации внешних пользователей, используется при выполнении таких задач по обеспечению безопасности, как:

· Защита сообщений электронной почты с помощью Secure/Multipurpose Internet Mail Extensions (S/MIME);

· Создание цифровых подписей для защищённых транзакций;

· Защита веб-соединений с помощью Secure Sockets Layer (SSL) или Transport Layer Security (TLS);

· Подписывание исполняемого кода при его передаче по открытым сетям;

· Поддержка локального или удалённого входа в сеть;

· Выполнение аутентификации по протоколу IPSec для клиентов, не использующих протокол Kerberos, а также в случаях передачи паролей с общим секретом при соединениях IPSec;

· Шифрование файлов при помощи файловой системы EFS в Windows 2000;

· Защита учётных данных с помощью смарт-карт.

Смарт-карты

Компании всё более интенсивно ищут пути повышения безопасности своих сетевых ресурсов. Одним из наиболее распространённых методов для решения этой задачи становится использование смарт-карт. Применение смарт-карт является относительно простым способ защиты, значительно затрудняющим несанкционированный доступ к сети. Поэтому в Windows 2000 включена встроенная поддержка обеспечения безопасности с помощью смарт-карт.

Смарт-карты, обычно обладающие размером кредитной карты, обеспечивают защищённое хранение сертификатов и закрытых ключей пользователей. Таким образом, предоставляется очень надёжное средство для аутентификации пользователей, интерактивного входа, подписывания кода и безопасной электронной почты. Смарт-карта содержит чип, на котором хранятся закрытый ключ пользователя, учётные данные для входа и сертификат открытых ключей, используемый для различных целей, таких как цифровые подписи и шифрование данных.

Смарт-карты надёжнее паролей по следующим причинам:

· Для аутентификации пользователя нужен физический объект, карта.

· Карта используется с персональным идентификационным номером (Personal identification number, PIN), гарантирующим её применение только законным обладателем.

· Риск похищения учётных данных практически отсутствует, так как извлечь ключ, хранящийся на карте, физически невозможно.

· Без карты нельзя получить доступ к защищённым ресурсам.

· В сети не передаются пароли или иная подобным образом используемая информация.

Использование смарт-карт более эффективно в сравнении с аутентификацией программными средствами, поскольку прежде чем пользователь получит доступ к ресурсу, ему необходимо предъявить физический объект (карту) и продемонстрировать знание закрытой информации (PIN-кода карты). Таким образом, обеспечивается аутентификация по двум факторам. Использование смарт-карт для аутентификации пользователей является оптимальным решением, если необходимо обеспечить дополнительную безопасность, как, например, при предоставлении доступа к бухгалтерским программам компании.

Вместо ввода пароля пользователь вставляет карту в устройство, присоединённое к компьютеру, и набирает PIN-код карты. Центр распространения ключей на контроллере домена Windows 2000 осуществляет аутентификацию пользователя с помощью закрытого ключа и сертификата, хранящихся на смарт-карте, а затем выдаёт билет TGT. С этого момента при подключениях, выполняемых пользователем в рамках данной сессии, используется аутентификация Kerberos, как это было описано выше.

Шаблоны настроек безопасности

С целью упрощения установки параметров безопасности и управления ими в корпоративной сети в Windows 2000 Server включен инструмент Шаблоны безопасности (Security Templates). Эта оснастка консоли MMC (Microsoft Management Console) позволяет администраторам создавать стандартные шаблоны безопасности и затем унифицировано применять их к группам компьютеров или пользователей.

Шаблон безопасности представляет в объектном виде параметры безопасности; другими словами, это файл, в котором хранится набор настроек. В Windows 2000 включены стандартные шаблоны безопасности в соответствии с ролями, выполняемыми компьютером - от клиента домена, которому не нужен высокий уровень защиты, до контроллера домена, требующего высшего уровня безопасности. Эти шаблоны могут использоваться в исходном либо изменённом виде, а также служить образцами при создании индивидуальных шаблонов безопасности.

Инструмент Анализ и настройка безопасности (Security Configuration and Analysis) используется совместно с оснасткой Шаблоны безопасности (Security Templates). Он предназначен для применения ограничений, определённых в шаблоне, к конкретным системам. Он также может использоваться для анализа уровня безопасности системы и сопоставления действующих на компьютерах настроек со стандартами компании.

Протокол IP Security (IPSec)

Стандарт IPSec определяет протоколы для шифрования данных, передаваемых на сетевом уровне (OSI). IPSec не требует применения технологии шифрования с открытым ключом и может использовать общие секретные ключи, обмен которыми осуществляется независимым образом, в тех конечных точках сети, в которых должно выполняться шифрование. Однако в ряде случаев использование сертификатов открытых ключей на этапе переговоров IPSec позволяет оптимизировать этот процесс. Поэтому реализация IPSec в Windows 2000 поддерживает использование инфраструктуры открытых ключей в рамках протокола IPSec.

IPSec - это набор интернет-протоколов, позволяющих устанавливать безопасное зашифрованное соединение между двумя компьютерами в незащищённой сети. Шифрование осуществляется на сетевом уровне, что означает его прозрачность для большинства приложений, использующих особые протоколы сетевых соединений. IPSec обеспечивает безопасность соединений между узлами, то есть шифрует исходящие пакеты на передающем компьютере и расшифровывает их только на принимающем, делая невозможным анализ пакетов при их перехвате в сети. Кроме этого, в процессе шифрования применяются алгоритмы генерации единого ключа, используемого на обоих концах соединения, благодаря чему ключ не пересылается по сети.

IPSec можно настроить на выполнение одной или нескольких из следующих функций:

· Аутентификация отправителя IP-пакета на основе протокола Kerberos, цифровых сертификатов или общего секрета (пароля).

· Обеспечение целостности IP-пакетов, передаваемых по сети.

· Обеспечение полной конфиденциальности всех данных, пересылаемых по сети, с помощью шифрования.

· Сокрытие исходных IP-адресов на время передачи пакетов по сети.

Наличие этих возможностей позволяет обезопасить сетевой трафик от изменения данных в процессе передачи, а также от его перехвата, просмотра и копирования посторонними.

Как и другие политики безопасности, политики IPSec можно применять как локально, так и на уровне домена.

Расширяемая архитектура

С целью обеспечения совместимости с существующими клиентами, а также возможности использования специализированных механизмов защиты в Windows 2000 включена поддержка нескольких протоколов безопасности. Она осуществляется с помощью компонента операционной системы, называемого интерфейсом поставщика поддержки безопасности (Security Support Provider Interface, SSPI). Это интерфейс прикладного программирования Windows 32, с которым работают приложения и системные службы (такие, как Microsoft Internet Explorer и Internet Information Services), чтобы иметь возможность использовать механизмы защиты, не связывая работу программ со сложностью защищённых протоколов сетевой аутентификации. Кроме этого, применение SSPI повышает общий уровень безопасности в среде Windows. На рис 7. показана роль SSPI во взаимодействии между различными протоколами безопасности и использующими их процессами.

Рис 7. SSPI обеспечивает взаимодействие протоколов приложений с протоколами безопасности

Разработчики приложений могут применять SSPI при создании программ, использующих протоколы безопасности Windows 2000. Упрощённо говоря, SSPI предоставляет прикладной интерфейс для создания аутентифицированных подключений. SSPI действует как процесс-посредник - метод проверки подлинности скрыт от приложения, благодаря чему администраторы могут выбирать из многих поставщиков служб безопасности (Security Support Providers, SSP), не заботясь о совместимости. Например, протоколы аутентификации Kerberos и NTML в Windows 2000 являются поставщиками служб безопасности (SSP), поэтому приложения, работающие с SSPI, могут использовать либо тот, либо другой метод аутентификации в зависимости от конфигурации клиента и сервера.

Возможности взаимодействия

После развёртывания инфраструктуры безопасности необходимо иметь возможность убедиться в том, что она работает правильно. Поэтому ведение аудита является важным аспектом системы безопасности. Отслеживание создания и изменения объектов позволяет выявлять потенциальные угрозы, помогает повышать ответственность пользователей и получать необходимую информацию в случае нарушения безопасности системы.

Windows 2000 способствует выполнению администраторами этих задач благодаря работе функций аудита, позволяющих наблюдать за событиями, связанными с безопасностью (такими, как неудавшиеся попытки входа). С помощью этих функций можно обнаруживать попытки несанкционированного входа и угрозы конфиденциальности данных в системе. Система аудита в Windows 2000 предоставляет намного более подробную информацию о событиях, чем аналогичная система в Windows NT 4.0.

Обычно аудиту подвергаются следующие типы событий:

· Доступ к объектам, таким как файлы и папки.

· Управление учётными записями пользователей и групп.

· Вход пользователей в систему и выход из неё.

В дополнение к аудиту событий, влияющих на безопасность системы, Windows 2000 ведёт журнал таких событий и обеспечивает возможность их удобного просмотра.

Использование российских криптоалгоритмов в Windows 2000

В Windows 2000 доступна возможность использовать сертифицированные средства криптографической защиты информации в составе операционной системы Windows.

Средство криптографической защиты информации КриптоПро CSP, разработанное совместно компанией "Крипто-Про" и Государственным унитарным предприятием научно-техническим центром "Атлас" реализовано в соответствии с криптографическим интерфейсом корпорации Microsoft -- CSP (Cryptographic Service Provider) и российскими криптографическими алгоритмами:

· электронной цифровой подписи ("ГОСТ Р 34.10-94. Информационная технология. Криптографическая защита информации. Система электронной цифровой подписи на базе асимметричного криптографического алгоритма.");

· хэширования ("ГОСТ Р 34.11-94. Информационная технология. Криптографическая защита информации. Функция хэширования.");

· шифрования и имитозащиты данных ("ГОСТ 28147-89. Системы обработки информации. Защита криптографическая").

Использование СКЗИ КриптоПро CSP позволяет решить сразу несколько задач:

· корпоративные пользователи получают возможность использовать стандартные и повсеместно используемые приложения корпорации Microsoft с надежной российской криптографией (256 бит).

· системные интеграторы получают возможность создавать новые, надежно защищенные приложения, используя проверенный временем инструментарий разработки корпорации Microsoft.

К стандартным приложениям, которые теперь могут использовать российские алгоритмы электронной цифровой подписи и шифрования, относятся:

· Центр Сертификации сертификатов открытых ключей X.509 -- Microsoft Certification Authority.

· Электронная почта -- Microsoft Outlook, входящая в состав Microsoft Office 2000.

· Электронная почта -- Microsoft Outlook Express, входящая в состав Internet Explorer версии 5.0 и выше.

· Средства формирования и проверки электронной цифровой подписи программных компонент, распространяемого по сети -- Microsoft Authenticode.

· Защита соединений в Интернете с использованием протокола TLS/SSL.

Заключение

Инфраструктура системы обеспечения безопасности в Windows 2000 совмещает возможности надёжной защиты сетевых ресурсов с эффективностью развитой системы управления. Ярким примером того, как такое сочетание сказывается на работе организации, является механизм единого входа, позволяющий пользователям ОС Windows 2000 и Windows NT получать доступ ко всем ресурсам сети после выполнения единственной процедуры ввода пароля или входа с помощью смарт-карты.

Система обеспечения безопасности Windows 2000 объединяет возможности централизованного хранения информации и контроля на основе применения политик, обеспечиваемые службой каталогов Active Directory, с функциональностью протоколов промышленного стандарта для защищённых кросс-платформенных соединений клиентов с серверами.

Кроме этого, в состав Windows 2000 входят компоненты инфраструктуры открытых ключей, обеспечивающие работу дополнительных функций обеспечения безопасности, таких как аутентификация по двум факторам с использованием смарт-карт и файловая система EFS, позволяющая защищать данные на жёстких дисках.

Разработчики приложений с помощью SSPI могут использовать элементы инфраструктуры обеспечения безопасности Windows 2000, что расширяет возможности организаций, использующих Windows 2000. Помимо этого, использование в Windows 2000 стандартного протокола Kerberos версии 5 позволяет предприятиям интегрировать систему безопасности Windows 2000 с аналогичными комплексами других операционных систем, работающих с протоколом Kerberos.

В систему управления мерами по обеспечению безопасности Windows 2000 включены шаблоны, упрощающие задачи настройки и применения параметров защиты. И наконец, функции аудита позволяют администраторам следить за корректностью работы системы безопасности.

Список используемой литературы

1. Самоучитель. Технология Windows NT Microsoft Windows 2000 Professional, М, 2000.

2. Штайнер Г.Windows 2000 Справочник, М, 2000.

3. Андреев А. Г. и др. Microsoft Windows 2000: Server и Professional.

4. Инфраструктура Открытых Ключей операционной системы Microsoft Windows 2000, Корпорация Майкрософт (Microsoft Corporation), 2001.

Так же использованы материалы следующих интернет-сайтов:

1. Интернет-Университет Информационных Технологий , http://www.INTUIT.ru

2. Техническая библиотека Windows 2000,

http://www.microsoft.com/windows2000/techinfo/default.asp