Основные элементы служб распределенной безопасности Windows 2000
Роль службы каталогов Active Directory в обеспечении сетевой безопасности. Работа со службой Active Directory. Распределение информации по доменам и подразделениям. Отношения доверия между доменами. Аутентификация и управление доступом к информации.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | статья |
Язык | русский |
Дата добавления | 28.10.2012 |
Размер файла | 245,1 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Введение
Операционная система Microsoft® Windows® 2000 Server помогает организациям не только расширить свои возможности с помощью новых сетевых технологий, но и защитить информацию и сетевые ресурсы, используя усовершенствованные службы безопасности.
Службы распределённой безопасности Windows 2000 ориентированы на соответствие таким ключевым для бизнеса требованиям, как:
* Предоставление пользователям доступа ко всем ресурсам компании после выполнения единственной процедуры входа в систему.
* Надёжность методов аутентификации и авторизации пользователей.
* Безопасность соединений между внутренними и внешними ресурсами.
* Возможность применения необходимых политик безопасности и управления ими.
* Автоматизированный аудит безопасности.
* Способность к взаимодействию с другими операционными системами и протоколами безопасности.
* Расширяемая архитектура, что позволяет разрабатывать приложения, использующие возможности системы безопасности Windows 2000.
Перечисленные особенности являются важными элементами системы безопасности Windows 2000. В основе этой системы лежит простая модель аутентификации и авторизации. Аутентификация позволяет идентифицировать пользователя при входе в систему и установлении сетевых соединений со службами. Идентифицированный пользователь получает авторизацию для доступа к определённым сетевым ресурсам в зависимости от заданных разрешений. В процессе авторизации используется механизм управления доступом, проверяющий записи в каталоге Active Directory™, а также списки управления доступом (access control lists, ACL), в которых определяются разрешения на доступ к объектам, таким как локальные и общие принтеры и файлы.
Действие этой модели системы безопасности упрощает авторизованным пользователям работу в расширенной сети, обеспечивая при этом надёжную защиту от атак. Модель обеспечения распределённой безопасности Windows 2000 основывается на аутентификации доверенным контроллером домена, делегировании доверия между службами и контроле доступа на основе объектов.
Для каждого клиента в домене во время выполнения защищённой аутентификации на контроллере этого домена устанавливается прямой путь доверия. При этом клиенту не предоставляется непосредственный доступ к сетевым ресурсам; вместо этого сетевые службы создают маркер доступа клиента и действуют от его имени, используя его учётные данные при выполнении запрашиваемых операций. Кроме того, ядро операционной системы Windows 2000 использует идентификаторы безопасности маркера доступа, чтобы проверить, авторизован ли пользователь для доступа к объектам.
В данном документе содержится описание основных элементов служб распределённой безопасности Windows 2000, поддерживающих вышеприведённую модель. Рассматриваются Active Directory, аутентификация и авторизация, даются начальные сведения о протоколе аутентификации Kerberos. В статье приведён обзор использования инфраструктуры открытых ключей и поддержки служб сертификатов в Windows 2000, а также шифрованной файловой системы (Encrypting File System, EFS), используемой для защиты данных на жёстких дисках. Наконец, документ даёт представление о том, каким образом службы безопасности Windows 2000 могут быть использованы разработчиками приложений, а также о возможностях их взаимодействия со службами безопасности других операционных систем.
Роль Active Directory
Служба каталогов Active Directory играет важнейшую роль в обеспечении сетевой безопасности. Как Windows 2000 Server, так и Windows 2000 Professional содержат средства для защиты информации на индивидуальных компьютерах. Однако для обеспечения всесторонней безопасности, основанной на применении политик и контроле доступа к сетевым ресурсам, организациям следует использовать Windows 2000 Server и Professional совместно, что также позволит воспользоваться всеми преимуществами распределённых служб безопасности, предоставляемыми службой каталогов Active Directory.
В Active Directory централизованно хранится информация о пользователях, аппаратных средствах, приложениях и сетях, благодаря чему эти сведения всегда доступны пользователям. Кроме того, в службе каталогов Active Directory хранится информация, необходимая для авторизации и аутентификации, с помощью которой определяется возможность доступа пользователей к тем или иным сетевым ресурсам.
Служба каталогов Active Directory также плотно интегрирована со службами безопасности Windows 2000, такими как протокол аутентификации Kerberos, инфраструктура открытых ключей, шифрованная файловая система, диспетчер настроек безопасности (Security Configuration Manager), групповая политика и делегирование прав администрирования. Благодаря этой интеграции приложения Windows могут использовать все преимущества существующей инфраструктуры безопасности, о чём более подробно будет рассказано ниже.
Основы работы Active Directory
В отличие от простой пофайловой структуры каталога ОС Windows NT® Server, служба каталогов Active Directory в Windows 2000 сохраняет информацию в иерархическом виде, отражающем логику построения Вашего предприятия. Благодаря этому упрощается управление каталогом и становится возможным значительный его рост. Иерархическая структура Active Directory состоит из доменов, подразделений (organizational units, OU) и объектов, подобно тому, как информация на компьютерах под управлением Windows организуется в папки и файлы.
Домен - это совокупность сетевых объектов, таких как подразделения, учётные записи пользователей, группы и компьютеры, использующие в целях безопасности общую базу данных каталогов. Домены являются основными структурными единицами в Active Directory, выполняя важные функции в системе безопасности. Группировка объектов в один или несколько доменов помогает отразить способ организации Вашей компании.
Сети крупных организаций могут содержать несколько доменов, при этом их иерархия называется деревом доменов. Первый созданный домен является корневым и, по отношению к доменам, созданным под ним, будет родительским, а те по отношению к нему - дочерними. В очень больших организациях деревья доменов могут быть связаны между собой, формируя структуру, называемую лесом. (В случаях, когда используется несколько контроллеров домена, служба каталогов Active Directory реплицирует базы данных через равные интервалы времени на каждый контроллер домена, благодаря чему базы данных всегда синхронизированы).
В домене выполнение функций центра обеспечения безопасности сочетается с единством внутренних политик и определённостью отношений в сфере безопасности с другими доменами. Администратор домена имеет полномочия на регулирование политик только внутри своего домена. Для больших организаций это особенно удобно, поскольку с различными доменами работают разные администраторы.
Однако домен не имеет собственных защитных границ, обеспечивающих безопасную изоляцию от других доменов в пределах леса. Такими границами обладает только лес.
Сайты - другое понятие, необходимое при изучении работы Active Directory. В то время как структура доменов обычно отражает бизнес-структуру организации, сайты объединяют серверы Active Directory по географическому признаку. Компьютеры внутри сайта, как правило, соединены быстрыми каналами связи, но не обязательно логически связаны между собой. Например, если в здании находится несколько разных предприятий, таких, как видеостудия, ресторан и архив документов, серверы Active Directory в этом здании могут составлять сайт, даже если области выполняемых на них задач не пересекаются.
Подразделение (organizational unit, OU) представляет собой контейнер, с помощью которого можно логически объединять объекты в административные группы внутри домена. В подразделение могут входить такие объекты, как учётные записи пользователей, группы, компьютеры, принтеры, приложения, общие файлы, а также другие подразделения.
Объект содержит информацию (называемую атрибутами) об отдельном пользователе, компьютере или аппаратном устройстве. Например, среди атрибутов объекта, соответствующего пользователю, скорее всего, можно будет найти имя, номер телефона и имя руководителя. В объект, сопоставленный компьютеру, обычно включается информация о расположении компьютера, а также список управления доступом (Access control list, ACL), перечисляющий группы и пользователей, у которых имеются права на доступ к данному компьютеру.
Распределение информации по доменам и подразделениям позволяет управлять применением мер безопасности к совокупностям объектов, таким как группы пользователей и компьютеров, а не к каждому пользователю или объекту отдельно. Более подробно этот подход будет описан ниже, в разделе «Управление мерами безопасности с помощью групповой политики». Перед этим необходимо рассмотреть ещё одно понятие, важное для понимания взаимодействия системы безопасности с Active Directory - доверие.
Отношения доверия между доменами
Для того чтобы пользователи, выполнив вход в сеть, могли работать со всеми ресурсами сети (что обычно называется единым входом), в Windows 2000 используются отношения доверия между доменами. Отношение доверия - логическая связь, устанавливаемая между доменами с целью обеспечения сквозной аутентификации, которая позволяет пользователям и компьютерам проходить аутентификацию в любом домене в пределах леса. Таким образом, пользователь или компьютер может получить доступ ко всем ресурсам в соответствии с имеющимися у него разрешениями, зарегистрировавшись в сети только один раз. Эта возможность перемещения между доменами проясняет смысл термина транзитивное доверие, обозначающий прохождение аутентификации в разных доменах в соответствии с цепной передачей отношений доверия между ними.
Чтобы получить более ясное представление о функционировании отношений доверия, взгляните ещё раз на Рисунок 1. Windows 2000 автоматически устанавливает двусторонние отношения доверия между корневым доменом Microsoft.com и двумя его дочерними доменами: FarEast.Microsoft.com и Europe.Microsoft.com. Далее, в силу того, что Microsoft.com доверяет обоим дочерним доменам, отношения доверия транзитивно устанавливаются и между доменами FarEast и Europe. Подобные отношения устанавливаются автоматически, если домены находятся под управлением Windows 2000. Если же в сети присутствуют также и домены, управляемые Windows NT, администраторы могут задавать явные односторонние отношения доверия, свойственные сетям Windows NT.
При аутентификации между доменами в Windows 2000 отношения доверия реализуются с помощью протокола Kerberos версии 5 и аутентификации NTLM (о которой речь ниже), что обеспечивает их обратную совместимость. Это важно, поскольку многие организации используют сложные модели организации сетей на основе Windows NT, включающие несколько главных доменов и множество доменов ресурсов, что требует больших финансовых и организационных затрат для управления отношениями доверия между ними. В силу того, что дереву доменов на основе Windows 2000 соответствует дерево транзитивных отношений доверия, использование Windows 2000 упрощает интеграцию сетевых доменов и управление ими для больших компаний. При этом необходимо иметь в виду, что установление транзитивного доверия не означает автоматического предоставления прав доступа тем, кто их не имеет в соответствии со списками управления доступом (ACL). Отношения транзитивного доверия служат, главным образом, для упрощения определения и настройки администраторами прав доступа.
Управление мерами безопасности при помощи групповой политики
Параметры групповой политики - это настройки, при помощи которых администратор может контролировать действия объектов в Active Directory. Групповая политика является важной составляющей Active Directory, поскольку она позволяет унифицировано применять любые политики к большому числу компьютеров. Например, групповую политику можно использовать для настройки параметров безопасности, управления приложениями, видом рабочего стола, для назначения сценариев и перенаправления папок с локальных компьютеров на сетевые ресурсы. Система применяет групповые политики к компьютерам при загрузке, а к пользователям - при их регистрации в системе.
Настройки групповой политики могут относиться к трём контейнерам в Active Directory: подразделениям (OUs), доменам и сайтам. Установки групповой политики затрагивают либо всех пользователей (или все компьютеры) в данном контейнере, либо только определённые их группы.
С помощью групповой политики можно применять политики безопасности широкого действия. Политики уровня домена затрагивают всех его пользователей. К ним, в частности, относятся политики учётных записей, определяющие, например, минимальную длину пароля или периодичность обязательной смены пароля пользователями. При этом можно указать возможность замещения этих установок установками политик низших уровней.
После применения глобальных политик с помощью параметров групповой политики можно задать детальные настройки безопасности для индивидуальных компьютеров. Настройки безопасности локальных компьютеров определяют права и привилегии для конкретного пользователя или компьютера. Например, на сервере можно распределить права на создание резервных копий и восстановление из них данных, а на настольном компьютере задать уровень аудита доступа к данным.
Параметры безопасности для каждого компьютера складываются из настроек политик всех уровней - от домена до подразделения. В примере, приведённом на Рисунке 1 настройки для пользователей домена Europe.Microsoft.com определяются комбинацией политик доменов Microsoft.com и Europe.Microsoft.com, а также всех подразделений, в состав которых входит данный пользователь.
Аутентификация и управление доступом
Аутентификация представляет собой одну из важнейших составляющих безопасности системы. С помощью процедур аутентификации подтверждается подлинность пользователей, осуществляющих вход в домен или пытающихся получить доступ к сетевым ресурсам. В Windows 2000 аутентификация служит для осуществления единого входа в сеть. Единый вход обеспечивает аутентификацию пользователя на любом компьютере домена после прохождения одной процедуры входа с помощью пароля или смарт-карты.
Успешная аутентификация в среде Windows 2000 складывается из двух отдельных процессов: интерактивного входа, при котором учетные данные пользователя сверяются с учетной записью домена или локального компьютера, и сетевой аутентификации при попытке пользователя получить доступ к любой сетевой службе.
После успешной аутентификации пользователя уровень его доступа к объектам определяется исходя как из назначенных пользователю прав, так и из разрешений, установленных для данных объектов. Для объектов, находящихся в домене, управление доступом осуществляет соответствующий диспетчер объектов. Например, доступ к ключам реестра контролируется реестром.
Далее в этом разделе процесс аутентификации в Windows 2000 и осуществление контроля доступа рассматриваются более подробно.
Аутентификация
Для входа в систему компьютера или в домен пользователь Windows 2000 должен иметь учётную запись в Active Directory. Учётная запись служит удостоверением подлинности пользователя, на основании которого операционная система выполняет аутентификацию и предоставляет права доступа к конкретным ресурсам в домене.
Учётные записи пользователей также могут применяться в некоторых приложениях. Службу можно настроить на вход (аутентификацию) с учётной записью пользователя, что предоставит ей соответствующие права на доступ к определённым сетевым ресурсам.
Как и учётные записи пользователей, учётные записи компьютеров в Windows 2000 обеспечивают возможность аутентификации и аудита доступа, осуществляемого с данного компьютера к сети и её ресурсам. Доступ к ресурсам может быть предоставлен только компьютеру под управлением Windows 2000, имеющему уникальную учётную запись.
Используя групповую политику в Active Directory, можно назначать использование различных механизмов аутентификации для конкретных пользователей или групп, исходя из их функций и требований безопасности. Например, можно потребовать от исполнительского персонала прохождения аутентификации только с помощью смарт-карт, что повысит уровень надёжности проверки; для пользователей Интернета установить требование аутентификации по сертификатам X.509, работающим с любым браузером; а для корпоративных служащих можно продолжать использовать аутентификацию NTLM по имени пользователя и паролю. Независимо от метода проверки подлинности, Windows 2000 сверяет представленную при аутентификации информацию с Active Directory.
Если аутентификация проходит успешно и подтверждается наличие учётной записи, принадлежащей данному пользователю, Windows 2000 предоставляет ему учётные данные, необходимые для доступа к ресурсам во всей сети.
Управление доступом
Управление доступом в Windows 2000 реализуется путём назначения администраторами дескрипторов безопасности объектам, таким как файлы, принтеры и службы. Дескриптор безопасности объекта содержит список управления доступом (ACL), в котором определяются пользователи (индивидуально или по группам), имеющие права на выполнение конкретных операций с данным объектом. Дескриптором безопасности объекта также определяются события доступа к данному объекту, подлежащие аудиту, например, запись в защищённый файл. Изменяя свойства объекта, администраторы могут устанавливать разрешения, назначать права владения и отслеживать доступ пользователей к объекту.
Администраторы могут контролировать доступ не только к самому объекту, но и к отдельным атрибутам этого объекта. Например, путём соответствующей настройки дескриптора безопасности можно разрешить доступ пользователей к некоторой части информации, такой как имя и номер телефона сотрудника, закрыв для просмотра другую часть, например, домашний адрес.
С помощью списков управления доступом (ACL) к объектам операционная система Windows 2000 сравнивает информацию о клиенте с информацией об объекте с целью определения того, имеет ли данный пользователь необходимые права доступа (например, разрешение на чтение/запись) к данному объекту (например, файлу). Проверка производится на уровне ядра подсистемы безопасности Windows 2000. В зависимости от результата сравнения служба ответит клиенту либо выполнением запроса, либо отказом в доступе.
Делегирование прав администрирования
Для того чтобы организации могли распределять ответственность за управление доменами между несколькими сотрудниками, Active Directory позволяет администраторам делегировать полномочия на выполнение задач администрирования в пределах леса или домена. Административный контроль может быть передан на любой уровень дерева доменов путём создания подразделений, включающих объекты, над которыми необходимо установить контроль, с последующим делегированием прав администрирования этих подразделений определённым пользователям или группам.
На уровне подразделения администратор может предоставить права на выполнение конкретных операций, таких как создание групп, управление списками пользователей в этих группах или создание учётных записей компьютеров в домене. Установки групповой политики и использование групп пользователей позволяют администраторам точно определять делегируемые полномочия. Например, можно передать права на изменение записей пользователей определённой группе, такой как группа поддержки бухгалтерии, при этом ограничив полномочия этой группы выбранными категориями пользователей, скажем, только служащими бухгалтерии, занимающимися платёжными ведомостями.
Более того, благодаря возможности детализированного контроля доступа (описанного выше) администраторы могут точно определять круг делегируемых полномочий. Например, вместо предоставления прав полного доступа к учётным записям пользователей, администратор может разрешить группе поддержки только сброс паролей, не позволяя изменять адреса пользователей.
Протокол аутентификации Kerberos
В Windows 2000 в качестве основного метода аутентификации пользователей используется стандартный для Интернета протокол Kerberos версии 5 (RFC 1510). Протокол Kerberos обеспечивает взаимную проверку подлинности клиента и сервера перед установлением подключения между ними. Такой подход является оптимальным для сетей с незащищёнными соединениями, например, устанавливаемыми через Интернет.
Аутентификация по протоколу Kerberos основывается на использовании билетов. При регистрации в домене Windows 2000 клиент получает билет, удостоверяющий подлинность клиента перед сетевым ресурсом и ресурса перед клиентом. В этой процедуре используется метод аутентификации, известный как проверка подлинности с использованием общего секрета. Принцип, лежащий в основе этого метода, прост: если секрет известен только двоим, каждый может удостоверить подлинность другого, проверив знание секрета.
При использовании протокола Kerberos как клиенты, так и серверы регистрируются на сервере аутентификации Kerberos. Клиенты отсылают зашифрованную информацию, образованную от паролей пользователей, на сервер Kerberos, который по этим данным проверяет подлинность пользователей. Подобным же образом сервер посылает информацию приложению Kerberos, установленному на клиенте, подтверждая последнему свою подлинность. Этот процесс взаимной аутентификации, более подробно описанный ниже, предупреждает возможность действий злоумышленников от имени как сервера, так и клиента.
Данный метод является усовершенствованием использовавшегося в Windows NT 4.0 процесса аутентификации (известного как NTLM), требовавшего аутентификации клиента при обращении к каждому сетевому ресурсу. NTLM был заменён Kerberos в качестве основного протокола защиты ресурсов в доменах под управлениемWindows 2000 Server. (При этом протокол NTLM до сих пор поддерживается, что обеспечивает обратную совместимость). Полная поддержка протокола Kerberos обеспечивает единый вход с быстрым доступом к ресурсам под управлением Windows 2000 Server, а также другим операционным средам, поддерживающим этот протокол.
Аутентификация по протоколу Kerberos
Коротко говоря, процесс аутентификации по протоколу Kerberos состоит в проверке учётных данных и их передаче между клиентами и серверами. Он проходит следующим образом: при входе пользователя в домен Windows 2000 операционная система обнаруживает сервер Active Directory и службу аутентификации Kerberos, которой затем передаёт учётные данные пользователя. Клиент аутентифицируется либо с помощью пароля, из которого образуется ключ, проверяемый сервером, либо (в случае со входом по смарт-карте) по информации, зашифрованной закрытым ключом, открытая часть которого хранится в Active Directory. После проверки информации пользователя служба Kerberos, называемая центром распространения ключей (Key Distribution Center, KDC), выдаёт пользователю билет на получение билета (ticket-granting ticket, TGT), служащий для идентификации пользователя при его следующих обращениях за получением билетов Kerberos для доступа к сетевым ресурсам. Использование билетов TGT уменьшает количество проверок информации пользователя центром распространения ключей. Хотя это и сложный процесс, для пользователя он выглядит просто как ввод пароля при входе в систему.
На Рисунке 2 показано взаимодействие между клиентом, центром распространения ключей и сервером приложений при использовании протокола проверки подлинности Kerberos.
Рисунок 2 - Аутентификация по протоколу Kerberos
Протокол Kerberos и служба каталогов Active Directory
Каждый контроллер домена Windows 2000 использует каталог Active Directory и содержит центр распространения ключей. Благодаря этому вся информация об учётных записях пользователей хранится в одном каталоге. В средних и крупных организациях обычно используется несколько контроллеров доменов с целью повышения доступности сетевых служб и ёмкости корпоративных сетей. Однако это не влияет на возможность применения аутентификации по протоколу Kerberos, поскольку каждому экземпляру Active Directory соответствует экземпляр службы аутентификации Kerberos.
Делегирование полномочий на выполнение аутентификации
До сих пор речь шла о случаях, когда клиент получает доступ к одному серверу. Однако приложения часто используют несколько серверов для выполнения одной задачи. Например, чтобы предоставить данные клиенту, веб-приложение может работать как с веб-сервером, так и с сервером баз данных. Вместо того, чтобы ставить клиента перед необходимостью проходить процесс аутентификации для каждого используемого сервера, Windows 2000 обеспечивает безопасность многозвенных приложений (называемых также трёхзвенными).
Как говорилось ранее, транзитивные отношения доверия между доменами Windows 2000 значительно расширяют круг ресурсов, к которым клиент Windows 2000 или Windows NT Workstation может получить доступ, выполнив вход только в домен Windows 2000 и не вводя множество разных паролей для других серверов и ресурсов. Такая область доступа, возможная при едином входе, открывается благодаря сочетанию механизмов реализации отношений доверия Windows 2000 и способа работы протокола Kerberos с Active Directory при аутентификации клиентов.
В операционной системе используется единая модель и инфраструктура обеспечения безопасности для создания учётных записей пользователей и управления правами доступа. Установки, однажды заданные в Active Directory, будут действовать на всех серверах приложений компании. Метод, обеспечивающий поддержку трёхзвенной модели, называется делегированием полномочий на выполнение аутентификации.
Рисунок 3 - Делегирование полномочий на выполнение аутентификации
active directory сетевой безопасность
Как показано на Рисунке 3, эта модель позволяет клиенту поручать выполнение аутентификации серверам, участвующим в работе приложения. Серверы выполняют запросы на доступ от имени клиента, при этом все передачи учётных данных и билетов происходят без участия пользователя. Однако, хотя вместо клиента действует сервер, объектом аудита считается клиент. Если сервер обрабатывает запрос, перенаправленный ему другим сервером, в его журнале отражается имя клиента, а не промежуточного сервера.
Данная модель является важным элементом Windows 2000, поскольку обеспечивает поддержку единого входа и упрощает систему безопасности, не ослабляя её. Многие современные приложения в целях безопасности требуют наличия отдельной базы данных учётных записей. Однако приложения, использующие Active Directory в качестве центрального хранилища информации системы безопасности, позволяют намного упростить управление сетями и их масштабирование.
Инфраструктура открытых ключей
Для защиты соединений в открытых сетях, таких как Интернет, используется криптография на основе открытых ключей. Она позволяет шифровать данные, подписывать их, а также проверять подлинность клиентов и серверов при помощи сертификатов. Основная задача, выполняемая при использовании данной технологии - отслеживание сертификатов. Инфраструктура открытых ключей (PKI) позволяет находить, использовать сертификаты открытых ключей и управлять ими. В данном разделе инфраструктура открытых ключей рассматривается более подробно, а также разъясняются принципы работы инфраструктуры открытых ключей в Windows 2000.
PKI является системой промышленного стандарта, включающей цифровые сертификаты, центры сертификации (Certification authorities, CA) и другие центры регистрации, проверяющие подлинность всех сторон, принимающих участие в электронных транзакциях. Инфраструктура открытых ключей может быть использована для решения широкого круга задач, связанных с обеспечением информационной и сетевой безопасности. Например, для контроля доступа к информации пользователей (деловых партнёров), не имеющих учётных записей Windows 2000 в корпоративной сети, необходим другой способ аутентификации (вместо процедуры входа Windows - примечание переводчика). Такие пользователи могут быть аутентифицированы с помощью PKI.
Сертификаты открытых ключей используются для проверки и передачи зашифрованных ключей, с помощью которых происходит шифрование и расшифровка данных. В криптографии на основе открытых ключей существует два типа ключей - открытые и закрытые. Открытый ключ содержится в сертификате и является общедоступным, однако данные, зашифрованные с его помощью, могут быть расшифрованы только при помощи закрытого ключа. Защищённая транзакция требует наличия как открытого, так и закрытого ключей для шифрования и расшифровки содержащихся в ней данных.
Инфраструктура открытых ключей в Windows 2000, включающая в себя службы, технологию, протоколы и стандарты, позволяет устанавливать и использовать надёжную систему информационной безопасности, основанную на технологии открытых ключей. Являясь реализацией криптографической техники открытых ключей в Windows 2000, инфраструктура открытых ключей позволяет приложениям и пользователям легко находить и использовать сертификаты, не нуждаясь в информации об их расположении и способе работы. Более того, инфраструктура открытых ключей в Windows 2000 полностью интегрирована со службой каталогов Active Directory и со службами распределённой безопасности операционной системы.
Рисунок 4 - Компоненты инфраструктуры открытых ключей Windows 2000
Сертификаты в инфраструктуре открытых ключей
Сертификат в своей основе - цифровой документ, выданный уполномоченным центром, подтверждающий подлинность держателя закрытого ключа. Сертификат связывает открытый ключ с объектом (пользователем, компьютером или службой), обладающим соответствующим закрытым ключом.
Стандартный формат сертификатов, использующихся в Windows 2000 - X.509v3. Сертификат X.509 содержит информацию о пользователе или объекте, которому был выдан данный сертификат, о самом сертификате, а также дополнительную информацию о центре, выдавшем сертификат.
Службы сертификации
Windows 2000 обеспечивает возможность использования инфраструктуры открытых ключей независимо от внешних центров сертификации (CA) с помощью компонента, называемого службами сертификации. Службы сертификации, интегрированные с Active Directory и службами распределённой безопасности (см. Рисунок 4), позволяют создавать собственные центры сертификации и управлять ими.
Центр сертификации устанавливает и удостоверяет подлинность держателей сертификатов, а также отзывает сертификаты, если они более не действительны, и публикует листы отзыва сертификатов (Certificate Revocation Lists, CRL), используемые при проверке сертификатов. Простейшая инфраструктура открытых ключей содержит только один корневой центр сертификации. Однако на практике большинство организаций, работающих с инфраструктурой открытых ключей, используют несколько центров сертификации, организованных в доверенные группы, называемые иерархиями сертификации.
Отдельным компонентом служб сертификации являются веб-страницы подачи заявок центра сертификации. Эти страницы устанавливаются по умолчанию при создании центра сертификации. Они позволяют запрашивать сертификаты с помощью веб-обозревателя. Кроме этого, веб-страницы центра сертификации могут быть установлены на серверах под управлением Windows 2000, не имеющих сертификационных центров. В этом случае с помощью веб-страниц можно перенаправлять запросы на выдачу сертификатов центру сертификации, прямой доступ к которому нежелателен. Если необходимо создать собственные веб-страницы для доступа к центру сертификации, соответствующие веб-страницы, включённые в Windows 2000, могут служить образцами.
С целью упрощения развёртывания системы безопасности, основанной на открытых ключах, в Windows 2000 процесс подачи заявок на сертификаты компьютеров автоматизирован. Благодаря использованию Active Directory серверы будут готовы к получению сертификатов и при необходимости получат их автоматически. Это значит, что администратору не нужно будет ходить от сервера к серверу и вручную подавать запросы на сертификаты.
Политики открытых ключей
В Windows 2000 можно использовать групповую политику для таких задач, как автоматическая раздача сертификатов компьютерам, формирование списков доверенных сертификатов и центров сертификации и управление политиками восстановления для шифрованной файловой системы.
Интерфейс CryptoAPI
Надёжность операций шифрования и управления закрытыми ключами в Windows 2000 обеспечивается, кроме служб сертификатов, интерфейсом Microsoft CryptoAPI версии 2. CryptoAPI - это интерфейс прикладного программирования Windows 2000, обеспечивающий выполнение криптографических операций для операционной системы Windows и работающих под её управлением приложений. Его функционирование позволяет приложениям шифровать и подписывать данные и обеспечивает сохранность закрытых ключей. Непосредственное выполнение операций шифрования осуществляется независимыми модулями, называемыми поставщиками службы криптографии (Cyptographic Service Providers, CSP).
Разработчики могут использовать CryptoAPI для интеграции служб сертификатов с существующими базами данных и службами каталогов сторонних производителей. CryptoAPI также поддерживает индивидуальные способы защиты электронных документов.
Использование сертификатов для аутентификации внешних пользователей
Часто бывает необходимо предоставить внешним пользователям защищённый доступ к данным, опубликованным на веб-сайте, свободный доступ к которому закрыт. Наиболее типичные случаи - доступ к внешним сетям для корпоративных партнёров, доступ одних отделов предприятия к страницам других отделов в интрасети или выборочный доступ для определённой части пользователей.
Windows 2000 позволяет предоставлять защищённый доступ внешним пользователям путём их аутентификации с помощью инфраструктуры открытых ключей и Active Directory. Это происходит следующим образом. Доступ открывается при создании в Active Directory учётной записи для внешних пользователей, позволяющей работать с соответствующими ресурсами в сети. Внешний пользователь для подтверждения своей подлинности должен предоставить сертификат, выданный центром сертификации, присутствующим в списке доверенных сертификатов для сайта, домена или подразделения Active Directory, в котором создана учётная запись. Когда пользователь входит в систему, система сопоставляет его сертификат с учётной записью и определяет, к какой части внутренней сети он может иметь доступ. Процесс аутентификации скрыт от внешнего пользователя.
Использование инфраструктуры открытых ключей в Windows 2000
Инфраструктура открытых ключей, кроме идентификации внешних пользователей, используется при выполнении таких задач по обеспечению безопасности, как:
* Защита сообщений электронной почты с помощью Secure/Multipurpose Internet Mail Extensions (S/MIME).
* Создание цифровых подписей для защищённых транзакций.
* Защита веб-соединений с помощью Secure Sockets Layer (SSL) или Transport Layer Security (TLS).
* Подписывание исполняемого кода при его передаче по открытым сетям.
* Поддержка локального или удалённого входа в сеть.
* Выполнение аутентификации по протоколу IPSec для клиентов, не использующих протокол Kerberos, а также в случаях передачи паролей с общим секретом при соединениях IPSec.
* Шифрование файлов при помощи файловой системы EFS в Windows 2000.
* Защита учётных данных с помощью смарт-карт.
Некоторые из этих задач, связанные, например, с EFS, IPSec и смарт-картами, рассматриваются в данной статье.
Смарт-карты
Компании всё более интенсивно ищут пути повышения безопасности своих сетевых ресурсов. Одним из наиболее распространённых методов для решения этой задачи становится использование смарт-карт. Применение смарт-карт является относительно простым способ защиты, значительно затрудняющим несанкционированный доступ к сети. Поэтому в Windows 2000 включена встроенная поддержка обеспечения безопасности с помощью смарт-карт.
Смарт-карты, обычно обладающие размером кредитной карты, обеспечивают защищённое хранение сертификатов и закрытых ключей пользователей. Таким образом, предоставляется очень надёжное средство для аутентификации пользователей, интерактивного входа, подписывания кода и безопасной электронной почты. Смарт-карта содержит чип, на котором хранятся закрытый ключ пользователя, учётные данные для входа и сертификат открытых ключей, используемый для различных целей, таких как цифровые подписи и шифрование данных.
Смарт-карты надёжнее паролей по следующим причинам:
* Для аутентификации пользователя нужен физический объект, карта.
* Карта используется с персональным идентификационным номером (Personal identification number, PIN), гарантирующим её применение только законным обладателем.
* Риск похищения учётных данных практически отсутствует, так как извлечь ключ, хранящийся на карте, физически невозможно.
* Без карты нельзя получить доступ к защищённым ресурсам.
* В сети не передаются пароли или иная подобным образом используемая информация.
Использование смарт-карт более эффективно в сравнении с аутентификацией программными средствами, поскольку прежде чем пользователь получит доступ к ресурсу, ему необходимо предъявить физический объект (карту) и продемонстрировать знание закрытой информации (PIN-кода карты). Таким образом, обеспечивается аутентификация по двум факторам. Использование смарт-карт для аутентификации пользователей является оптимальным решением, если необходимо обеспечить дополнительную безопасность, как, например, при предоставлении доступа к бухгалтерским программам компании.
Вместо ввода пароля пользователь вставляет карту в устройство, присоединённое к компьютеру, и набирает PIN-код карты. Центр распространения ключей на контроллере домена Windows 2000 осуществляет аутентификацию пользователя с помощью закрытого ключа и сертификата, хранящихся на смарт-карте, а затем выдаёт билет TGT. С этого момента при подключениях, выполняемых пользователем в рамках данной сессии, используется аутентификация Kerberos, как это было описано выше.
Шифрованная файловая система
До сих пор в данной статье рассматривались методы защиты ресурсов в централизованной сети. Однако каким образом, кроме простой защиты паролем, обеспечивается безопасность данных на настольном или переносном компьютере?
Для этой цели служит шифрованная файловая система (Encrypting File System, EFS) Windows 2000. Чтобы повысить уровень защиты локальных данных, EFS позволяет шифровать файлы и папки, так что их не могут прочитать посторонние. EFS особенно полезна для защиты данных на компьютерах, которые могут быть похищены, например, переносных. Можно настроить EFS так, чтобы вся деловая информация в папке пользователя на переносном компьютере была зашифрована.
При активации EFS для файла или папки на томе NTFS операционная система шифрует файлы, используя открытый ключ и алгоритмы симметричного шифрования, доступные через CryptoAPI. Хотя этот механизм и сложен, администраторы и пользователи могут в полной мере воспользоваться дополнительными мерами безопасности, просто открыв диалоговое окно Свойства (Properties) для выбранного файла и поставив флажок в окне Дополнительно (Advanced), связанном с атрибутами файла.
EFS автоматически шифрует файл при сохранении и вновь расшифровывает его при открытии пользователем. Эти файлы не могут быть прочитаны никем, кроме пользователя, зашифровавшего их, и администратора, использующего сертификат восстановления файлов EFS (о котором речь ниже). Поскольку механизм шифрования встроен в файловую систему, он исключительно труден для взлома, а его работа скрыта от пользователя.
EFS шифрует файл с помощью ключа симметричного шифрования, уникального для каждого файла. Затем система шифрует также ключ шифрования, используя открытый ключ из сертификата EFS владельца файла. Поскольку только владелец файла имеет доступ к закрытому ключу, он будет единственным пользователем, который сможет расшифровать ключ, и, следовательно, сам файл. Шифрование защищает файл, даже если кто-либо обходит EFS и пытается прочесть информацию с помощью низкоуровневых дисковых утилит. В случае похищения файла (по сети или на ином носителе) он не может быть расшифрован без входа в сеть с учётной записью владельца файла. Поскольку файл нельзя прочесть, без ведома владельца его невозможно и изменить.
В случае крайней необходимости или, например, если сотрудник покидает компанию, EFS позволяет прочесть корпоративную информацию с помощью встроенного механизма восстановления. При использовании EFS система автоматически создаёт отдельный ключ восстановления, шифруя оригинальный ключ открытым ключом из сертификата администратора для восстановления файла EFS. Затем, в случае необходимости, администратор может восстановить файл, используя закрытый ключ из этого сертификата.
Шаблоны настроек безопасности
С целью упрощения установки параметров безопасности и управления ими в корпоративной сети в Windows 2000 Server включен инструмент Шаблоны безопасности (Security Templates). Эта оснастка консоли MMC (Microsoft Management Console) позволяет администраторам создавать стандартные шаблоны безопасности и затем унифицировано применять их к группам компьютеров или пользователей.
Шаблон безопасности представляет в объектном виде параметры безопасности; другими словами, это файл, в котором хранится набор настроек. В Windows 2000 включены стандартные шаблоны безопасности в соответствии с ролями, выполняемыми компьютером - от клиента домена, которому не нужен высокий уровень защиты, до контроллера домена, требующего высшего уровня безопасности. Эти шаблоны могут использоваться в исходном либо изменённом виде, а также служить образцами при создании индивидуальных шаблонов безопасности.
Инструмент Анализ и настройка безопасности (Security Configuration and Analysis) используется совместно с оснасткой Шаблоны безопасности (Security Templates). Он предназначен для применения ограничений, определённых в шаблоне, к конкретным системам. Он также может использоваться для анализа уровня безопасности системы и сопоставления действующих на компьютерах настроек со стандартами компании.
Обеспечение безопасности в сети с помощью IPSec
До сих пор в данном документе рассматривались проблемы безопасности, связанные с доступом пользователей к сетям на основе Windows 2000 и защитой информации на локальных дисках. Другой важной составляющей сетевой безопасности является защита данных, передаваемых по сети. Для этой цели служит включённый в Windows 2000 протокол IPSec (Internet Protocol security).
IPSec - это набор интернет-протоколов, позволяющих устанавливать безопасное зашифрованное соединение между двумя компьютерами в незащищённой сети. Шифрование осуществляется на сетевом уровне, что означает его прозрачность для большинства приложений, использующих особые протоколы сетевых соединений. IPSec обеспечивает безопасность соединений между узлами, то есть шифрует исходящие пакеты на передающем компьютере и расшифровывает их только на принимающем, делая невозможным анализ пакетов при их перехвате в сети. Кроме этого, в процессе шифрования применяются алгоритмы генерации единого ключа, используемого на обоих концах соединения, благодаря чему ключ не пересылается по сети.
IPSec можно настроить на выполнение одной или нескольких из следующих функций:
* Аутентификация отправителя IP-пакета на основе протокола Kerberos, цифровых сертификатов или общего секрета (пароля).
* Обеспечение целостности IP-пакетов, передаваемых по сети.
* Обеспечение полной конфиденциальности всех данных, пересылаемых по сети, с помощью шифрования.
* Сокрытие исходных IP-адресов на время передачи пакетов по сети.
Наличие этих возможностей позволяет обезопасить сетевой трафик от изменения данных в процессе передачи, а также от его перехвата, просмотра и копирования посторонними.
Как и другие политики безопасности, политики IPSec можно применять как локально, так и на уровне домена.
Расширяемая архитектура
С целью обеспечения совместимости с существующими клиентами, а также возможности использования специализированных механизмов защиты в Windows 2000 включена поддержка нескольких протоколов безопасности. Она осуществляется с помощью компонента операционной системы, называемого интерфейсом поставщика поддержки безопасности (Security Support Provider Interface, SSPI). Это интерфейс прикладного программирования Windows 32, с которым работают приложения и системные службы (такие, как Microsoft Internet Explorer и Internet Information Services), чтобы иметь возможность использовать механизмы защиты, не связывая работу программ со сложностью защищённых протоколов сетевой аутентификации. Кроме этого, применение SSPI повышает общий уровень безопасности в среде Windows. На Рисунке 5 показана роль SSPI во взаимодействии между различными протоколами безопасности и использующими их процессами.
Разработчики приложений могут применять SSPI при создании программ, использующих протоколы безопасности Windows 2000. Упрощённо говоря, SSPI предоставляет прикладной интерфейс для создания аутентифицированных подключений. SSPI действует как процесс-посредник - метод проверки подлинности скрыт от приложения, благодаря чему администраторы могут выбирать из многих поставщиков служб безопасности (Security Support Providers, SSP), не заботясь о совместимости. Например, протоколы аутентификации Kerberos и NTML в Windows 2000 являются поставщиками служб безопасности (SSP), поэтому приложения, работающие с SSPI, могут использовать либо тот, либо другой метод аутентификации в зависимости от конфигурации клиента и сервера.
Аудит
После развёртывания инфраструктуры безопасности необходимо иметь возможность убедиться в том, что она работает правильно. Поэтому ведение аудита является важным аспектом системы безопасности. Отслеживание создания и изменения объектов позволяет выявлять потенциальные угрозы, помогает повышать ответственность пользователей и получать необходимую информацию в случае нарушения безопасности системы.
Windows 2000 способствует выполнению администраторами этих задач благодаря работе функций аудита, позволяющих наблюдать за событиями, связанными с безопасностью (такими, как неудавшиеся попытки входа). С помощью этих функций можно обнаруживать попытки несанкционированного входа и угрозы конфиденциальности данных в системе. Система аудита в Windows 2000 предоставляет намного более подробную информацию о событиях, чем аналогичная система в Windows NT 4.0.
Обычно аудиту подвергаются следующие типы событий:
* Доступ к объектам, таким как файлы и папки.
* Управление учётными записями пользователей и групп.
* Вход пользователей в систему и выход из неё.
В дополнение к аудиту событий, влияющих на безопасность системы, Windows 2000 ведёт журнал таких событий и обеспечивает возможность их удобного просмотра.
Заключение
Инфраструктура системы обеспечения безопасности в Windows 2000 совмещает возможности надёжной защиты сетевых ресурсов с эффективностью развитой системы управления. Ярким примером того, как такое сочетание сказывается на работе организации, является механизм единого входа, позволяющий пользователям ОС Windows 2000 и Windows NT получать доступ ко всем ресурсам сети после выполнения единственной процедуры ввода пароля или входа с помощью смарт-карты.
Система обеспечения безопасности Windows 2000 объединяет возможности централизованного хранения информации и контроля на основе применения политик, обеспечиваемые службой каталогов Active Directory, с функциональностью протоколов промышленного стандарта для защищённых кросс-платформенных соединений клиентов с серверами.
Кроме этого, в состав Windows 2000 входят компоненты инфраструктуры открытых ключей, обеспечивающие работу дополнительных функций обеспечения безопасности, таких как аутентификация по двум факторам с использованием смарт-карт и файловая система EFS, позволяющая защищать данные на жёстких дисках.
Разработчики приложений с помощью SSPI могут использовать элементы инфраструктуры обеспечения безопасности Windows 2000, что расширяет возможности организаций, использующих Windows 2000. Помимо этого, использование в Windows 2000 стандартного протокола Kerberos версии 5 позволяет предприятиям интегрировать систему безопасности Windows 2000 с аналогичными комплексами других операционных систем, работающих с протоколом Kerberos.
В систему управления мерами по обеспечению безопасности Windows 2000 включены шаблоны, упрощающие задачи настройки и применения параметров защиты. И наконец, функции аудита позволяют администраторам следить за корректностью работы системы безопасности.
Обнаружена проблема безопасности, позволяющая удаленному злоумышленнику, который не прошел проверку подлинности, поставить под угрозу безопасность компьютера и получить возможность управления им.
Размещено на Allbest.ru
Подобные документы
Понятия доменной архитектуры. Модели управления безопасностью. Реализации службы каталогов. Возможности Active Directory. Установка контроллеров домена. Поиск объектов в глобальном каталоге. Использование сайтов, упрощение процессов Active Directory.
презентация [243,9 K], добавлен 05.12.2013Применение службы каталога Active Directory для решения задач управления ресурсами в сетях под управлением Windows. Обеспечение доступа к базе данных, в которой хранится информация об объектах сети. Логическая и физическая структура Active Directory.
презентация [207,2 K], добавлен 10.09.2013Обеспечение совместного использования ресурсов как цель объединения компьютеров в вычислительную сеть. Понятие и функционирование службы каталогов. Пространство имен X.500 и протокол LDAP. Репликации между узлами. Управление службой Active Directory.
презентация [253,2 K], добавлен 10.11.2013Основные понятия доменной архитектуры, служба Active Directory, групповые политики. Именование объектов, планирование пространства имен AD. Домен - основная единица системы безопасности. Организационное подразделение. Логическая и физическая структура AD.
презентация [804,5 K], добавлен 05.12.2013Роль службы каталога Active Directory при выполнении задач сетевого администрирования. Планирование структуры каталога. Критерии выбора доменной структуры. Планирование структуры организационных подразделений. Учетные записи, самые важные атрибуты.
презентация [288,4 K], добавлен 10.09.2013Процесс установки контроллера домена. Создание пользователей в домене, запись имени, фамилии, логина пользователя. Пароль и политика безопасности по отношению к паролю. Системное и сетевое администрирование. Проектирование инфраструктуры Active Directory.
курсовая работа [3,0 M], добавлен 24.03.2016Понятие "службы каталогов" и ее основные характеристики. Схемы, которые описывают типы ресурсов, применяемые в отдельно взятой предметной области. Функции службы каталогов. Группировка сетевых ресурсов в виде дерева. Служба каталогов Active Directory.
курсовая работа [469,2 K], добавлен 19.06.2014Описание преимуществ использования серверной системы Windows Server 2003. Усовершенствования служб Active Directory и приложений. Новшества технологий кластеризации, файловых и корпоративных служб, работы в сети и связи, в управлении хранилищами.
реферат [108,2 K], добавлен 25.11.2010Особенности проектирования корпоративных сетей. Информационные потоки в ЛВС предприятия. Обзор операционных систем: Nowell NetWare, семейство Windows 2000. Сетевая архитектура и ресурсы. Логическая структура Active Directory. Защита информации в сети.
дипломная работа [1,2 M], добавлен 31.10.2013Active Directory как служба каталогов корпорации Microsoft, разработанная для операционных систем семейства Windows. Характеристика компании "Рога Копыта": способы определения количества лесов ее сети, особенности планирования доменного пространства имен.
дипломная работа [2,7 M], добавлен 05.01.2014