Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Microsoft Windows 2000/NT Безопасность Технический обзор системы безопасности Windows 2000 RSS

Технический обзор системы безопасности Windows 2000

Текущий рейтинг: 5 (проголосовало 7)
 Посетителей: 9410 | Просмотров: 13475 (сегодня 0)  Шрифт: - +
Club logo

Аннотация

Службы распределённой безопасности операционной системы Windows 2000 Server позволяют организациям идентифицировать пользователей в сети и контролировать их доступ к ресурсам. В модели системы безопасности Windows 2000 используются аутентификация на доверенном контроллере домена, делегирование доверия между службами и контроль доступа на основе объектов. К основным особенностям этой модели относятся интеграция со службой каталогов Active Directory™, поддержка пятой версии протокола аутентификации Kerberos, используемого для проверки подлинности пользователей, аутентификация внешних пользователей по сертификатам открытых ключей, шифрованная файловая система (Encrypting File System, EFS), позволяющая защищать локальные данные, и поддержка IPSec, обеспечивающего безопасность соединений в открытых сетях. Кроме этого, предусмотрена возможность использования элементов системы безопасности Windows 2000 при разработке приложений, а организации могут совмещать работу системы безопасности Windows 2000 с другими операционными системами, использующими способы защиты на основе протокола Kerberos.

На этой странице

Введение

Роль Active Directory

Протокол аутентификации Kerberos

Инфраструктура открытых ключей

Смарт-карты

Шифрованная файловая система

Шаблоны настроек безопасности

Обеспечение безопасности в сети с помощью IPSec

Расширяемая архитектура

Возможности взаимодействия

Аудит

Заключение

Введение

Операционная система Microsoft® Windows® 2000 Server помогает организациям не только расширить свои возможности с помощью новых сетевых технологий, но и защитить информацию и сетевые ресурсы, используя усовершенствованные службы безопасности.

Службы распределённой безопасности Windows 2000 ориентированы на соответствие таким ключевым для бизнеса требованиям, как:

Предоставление пользователям доступа ко всем ресурсам компании после выполнения единственной процедуры входа в систему.

Надёжность методов аутентификации и авторизации пользователей.

Безопасность соединений между внутренними и внешними ресурсами.

Возможность применения необходимых политик безопасности и управления ими.

Автоматизированный аудит безопасности.

Способность к взаимодействию с другими операционными системами и протоколами безопасности.

Расширяемая архитектура, что позволяет разрабатывать приложения, использующие возможности системы безопасности Windows 2000.

Перечисленные особенности являются важными элементами системы безопасности Windows 2000. В основе этой системы лежит простая модель аутентификации и авторизации. Аутентификация позволяет идентифицировать пользователя при входе в систему и установлении сетевых соединений со службами. Идентифицированный пользователь получает авторизацию для доступа к определённым сетевым ресурсам в зависимости от заданных разрешений. В процессе авторизации используется механизм управления доступом, проверяющий записи в каталоге Active Directory™, а также списки управления доступом (access control lists, ACL), в которых определяются разрешения на доступ к объектам, таким как локальные и общие принтеры и файлы.

Действие этой модели системы безопасности упрощает авторизованным пользователям работу в расширенной сети, обеспечивая при этом надёжную защиту от атак. Модель обеспечения распределённой безопасности Windows 2000 основывается на аутентификации доверенным контроллером домена, делегировании доверия между службами и контроле доступа на основе объектов.

Для каждого клиента в домене во время выполнения защищённой аутентификации на контроллере этого домена устанавливается прямой путь доверия. При этом клиенту не предоставляется непосредственный доступ к сетевым ресурсам; вместо этого сетевые службы создают маркер доступа клиента и действуют от его имени, используя его учётные данные при выполнении запрашиваемых операций. Кроме того, ядро операционной системы Windows 2000 использует идентификаторы безопасности маркера доступа, чтобы проверить, авторизован ли пользователь для доступа к объектам.

В данном документе содержится описание основных элементов служб распределённой безопасности Windows 2000, поддерживающих вышеприведённую модель. Рассматриваются Active Directory, аутентификация и авторизация, даются начальные сведения о протоколе аутентификации Kerberos. В статье приведён обзор использования инфраструктуры открытых ключей и поддержки служб сертификатов в Windows 2000, а также шифрованной файловой системы (Encrypting File System, EFS), используемой для защиты данных на жёстких дисках. Наконец, документ даёт представление о том, каким образом службы безопасности Windows 2000 могут быть использованы разработчиками приложений, а также о возможностях их взаимодействия со службами безопасности других операционных систем.

Примечание. Более подробную информацию по каждой из тем, представленных в данной статье, можно найти в материалах сайта Технической библиотеки Windows 2000 на веб-узле http://www.microsoft.com/windows2000/techinfo/default.asp, где представлены официальные документы по всем основным технологиям, интерактивная документация по операционной системе и другая информация.

Наверх страницы

Роль Active Directory

Служба каталогов Active Directory играет важнейшую роль в обеспечении сетевой безопасности. Как Windows 2000 Server, так и Windows 2000 Professional содержат средства для защиты информации на индивидуальных компьютерах. Однако для обеспечения всесторонней безопасности, основанной на применении политик и контроле доступа к сетевым ресурсам, организациям следует использовать Windows 2000 Server и Professional совместно, что также позволит воспользоваться всеми преимуществами распределённых служб безопасности, предоставляемыми службой каталогов Active Directory.

В Active Directory централизованно хранится информация о пользователях, аппаратных средствах, приложениях и сетях, благодаря чему эти сведения всегда доступны пользователям. Кроме того, в службе каталогов Active Directory хранится информация, необходимая для авторизации и аутентификации, с помощью которой определяется возможность доступа пользователей к тем или иным сетевым ресурсам.

Служба каталогов Active Directory также плотно интегрирована со службами безопасности Windows 2000, такими как протокол аутентификации Kerberos, инфраструктура открытых ключей, шифрованная файловая система, диспетчер настроек безопасности (Security Configuration Manager), групповая политика и делегирование прав администрирования. Благодаря этой интеграции приложения Windows могут использовать все преимущества существующей инфраструктуры безопасности, о чём более подробно будет рассказано ниже.

Основы работы Active Directory

Поскольку работа служб безопасности Windows 2000 тесно связана с функционированием службы каталогов Active Directory, для понимания принципов работы служб безопасности необходимо базовое знакомство с архитектурой Active Directory. Если Вы не знакомы с Active Directory, в данном разделе Вы найдёте её краткий обзор.

Примечание. Для получения дополнительной информации об Active Directory обращайтесь к ресурсам Технической библиотеки Windows 2000, расположенной на веб-узле http://www.microsoft.com/windows2000/technologies/directory/default.asp.

В отличие от простой пофайловой структуры каталога ОС Windows NT® Server, служба каталогов Active Directory в Windows 2000 сохраняет информацию в иерархическом виде, отражающем логику построения Вашего предприятия. Благодаря этому упрощается управление каталогом и становится возможным значительный его рост. Иерархическая структура Active Directory состоит из доменов, подразделений (organizational units, OU) и объектов, подобно тому, как информация на компьютерах под управлением Windows организуется в папки и файлы.


Увеличить рисунок

Рисунок 1 - Иерархическая структура службы каталогов Active Directory

Домен – это совокупность сетевых объектов, таких как подразделения, учётные записи пользователей, группы и компьютеры, использующие в целях безопасности общую базу данных каталогов. Домены являются основными структурными единицами в Active Directory, выполняя важные функции в системе безопасности. Группировка объектов в один или несколько доменов помогает отразить способ организации Вашей компании.

Сети крупных организаций могут содержать несколько доменов, при этом их иерархия называется деревом доменов. Первый созданный домен является корневым и, по отношению к доменам, созданным под ним, будет родительским, а те по отношению к нему - дочерними. В очень больших организациях деревья доменов могут быть связаны между собой, формируя структуру, называемую лесом. (В случаях, когда используется несколько контроллеров домена, служба каталогов Active Directory реплицирует базы данных через равные интервалы времени на каждый контроллер домена, благодаря чему базы данных всегда синхронизированы).

В домене выполнение функций центра обеспечения безопасности сочетается с единством внутренних политик и определённостью отношений в сфере безопасности с другими доменами. Администратор домена имеет полномочия на регулирование политик только внутри своего домена. Для больших организаций это особенно удобно, поскольку с различными доменами работают разные администраторы (более подробно эта особенность управления доменами рассматривается ниже, в разделе «Делегирование прав администрирования»). Однако домен не имеет собственных защитных границ, обеспечивающих безопасную изоляцию от других доменов в пределах леса. Такими границами обладает только лес.

Сайты – другое понятие, необходимое при изучении работы Active Directory. В то время как структура доменов обычно отражает бизнес-структуру организации, сайты объединяют серверы Active Directory по географическому признаку. Компьютеры внутри сайта, как правило, соединены быстрыми каналами связи, но не обязательно логически связаны между собой. Например, если в здании находится несколько разных предприятий, таких, как видеостудия, ресторан и архив документов, серверы Active Directory в этом здании могут составлять сайт, даже если области выполняемых на них задач не пересекаются.

Подразделение (organizational unit, OU) представляет собой контейнер, с помощью которого можно логически объединять объекты в административные группы внутри домена. В подразделение могут входить такие объекты, как учётные записи пользователей, группы, компьютеры, принтеры, приложения, общие файлы, а также другие подразделения.

Объект содержит информацию (называемую атрибутами) об отдельном пользователе, компьютере или аппаратном устройстве. Например, среди атрибутов объекта, соответствующего пользователю, скорее всего, можно будет найти имя, номер телефона и имя руководителя. В объект, сопоставленный компьютеру, обычно включается информация о расположении компьютера, а также список управления доступом (Access control list, ACL), перечисляющий группы и пользователей, у которых имеются права на доступ к данному компьютеру.

Распределение информации по доменам и подразделениям позволяет управлять применением мер безопасности к совокупностям объектов, таким как группы пользователей и компьютеров, а не к каждому пользователю или объекту отдельно. Более подробно этот подход будет описан ниже, в разделе «Управление мерами безопасности с помощью групповой политики». Перед этим необходимо рассмотреть ещё одно понятие, важное для понимания взаимодействия системы безопасности с Active Directory - доверие.

Отношения доверия между доменами

Для того чтобы пользователи, выполнив вход в сеть, могли работать со всеми ресурсами сети (что обычно называется единым входом), в Windows 2000 используются отношения доверия между доменами. Отношение доверия – логическая связь, устанавливаемая между доменами с целью обеспечения сквозной аутентификации, которая позволяет пользователям и компьютерам проходить аутентификацию в любом домене в пределах леса. Таким образом, пользователь или компьютер может получить доступ ко всем ресурсам в соответствии с имеющимися у него разрешениями, зарегистрировавшись в сети только один раз. Эта возможность перемещения между доменами проясняет смысл термина транзитивное доверие, обозначающий прохождение аутентификации в разных доменах в соответствии с цепной передачей отношений доверия между ними.

В отличие от сетей на основе Windows NT, в которых используются односторонние, нетранзитивные отношения доверия, при формировании дерева доменов под управлением Windows 2000 (подобного показанному на Рисунке 1 выше) между всеми доменами устанавливаются подразумеваемые отношения доверия. Это облегчает создание явных отношений доверия между доменами средних и крупных организаций. Каждый домен в пределах дерева связывается с родительским доменом двусторонними, а с остальными доменами – подразумеваемыми отношениями доверия. (Если для какого-либо домена двусторонние отношения доверия нежелательны, их можно явным образом сделать односторонними). Для организаций с несколькими доменами общее количество явно заданных односторонних отношений доверия значительно меньше при использовании Windows 2000, чем при использовании Windows NT 4.0, благодаря чему управление доменами значительно упрощается. Транзитивное доверие устанавливается внутри дерева по умолчанию, что очень удобно, поскольку дерево доменов обычно управляется одним администратором. Однако управление лесом одним администратором встречается не так часто, поэтому транзитивные отношения доверия между деревьями необходимо устанавливать отдельно.

Чтобы получить более ясное представление о функционировании отношений доверия, взгляните ещё раз на Рисунок 1. Windows 2000 автоматически устанавливает двусторонние отношения доверия между корневым доменом Microsoft.com и двумя его дочерними доменами: FarEast.Microsoft.com и Europe.Microsoft.com. Далее, в силу того, что Microsoft.com доверяет обоим дочерним доменам, отношения доверия транзитивно устанавливаются и между доменами FarEast и Europe. Подобные отношения устанавливаются автоматически, если домены находятся под управлением Windows 2000. Если же в сети присутствуют также и домены, управляемые Windows NT, администраторы могут задавать явные односторонние отношения доверия, свойственные сетям Windows NT.

При аутентификации между доменами в Windows 2000 отношения доверия реализуются с помощью протокола Kerberos версии 5 и аутентификации NTLM (о которой речь ниже), что обеспечивает их обратную совместимость. Это важно, поскольку многие организации используют сложные модели организации сетей на основе Windows NT, включающие несколько главных доменов и множество доменов ресурсов, что требует больших финансовых и организационных затрат для управления отношениями доверия между ними. В силу того, что дереву доменов на основе Windows 2000 соответствует дерево транзитивных отношений доверия, использование Windows 2000 упрощает интеграцию сетевых доменов и управление ими для больших компаний. При этом необходимо иметь в виду, что установление транзитивного доверия не означает автоматического предоставления прав доступа тем, кто их не имеет в соответствии со списками управления доступом (ACL). Отношения транзитивного доверия служат, главным образом, для упрощения определения и настройки администраторами прав доступа.

Управление мерами безопасности при помощи групповой политики

Параметры групповой политики – это настройки, при помощи которых администратор может контролировать действия объектов в Active Directory. Групповая политика является важной составляющей Active Directory, поскольку она позволяет унифицировано применять любые политики к большому числу компьютеров. Например, групповую политику можно использовать для настройки параметров безопасности, управления приложениями, видом рабочего стола, для назначения сценариев и перенаправления папок с локальных компьютеров на сетевые ресурсы. Система применяет групповые политики к компьютерам при загрузке, а к пользователям – при их регистрации в системе.

Настройки групповой политики могут относиться к трём контейнерам в Active Directory: подразделениям (OUs), доменам и сайтам. Установки групповой политики затрагивают либо всех пользователей (или все компьютеры) в данном контейнере, либо только определённые их группы.

С помощью групповой политики можно применять политики безопасности широкого действия. Политики уровня домена затрагивают всех его пользователей. К ним, в частности, относятся политики учётных записей, определяющие, например, минимальную длину пароля или периодичность обязательной смены пароля пользователями. При этом можно указать возможность замещения этих установок установками политик низших уровней.

После применения глобальных политик с помощью параметров групповой политики можно задать детальные настройки безопасности для индивидуальных компьютеров. Настройки безопасности локальных компьютеров определяют права и привилегии для конкретного пользователя или компьютера. Например, на сервере можно распределить права на создание резервных копий и восстановление из них данных, а на настольном компьютере задать уровень аудита доступа к данным.

Параметры безопасности для каждого компьютера складываются из настроек политик всех уровней - от домена до подразделения. В примере, приведённом на Рисунке 1 настройки для пользователей домена Europe.Microsoft.com определяются комбинацией политик доменов Microsoft.com и Europe.Microsoft.com, а также всех подразделений, в состав которых входит данный пользователь.

Аутентификация и управление доступом

Аутентификация представляет собой одну из важнейших составляющих безопасности системы. С помощью процедур аутентификации подтверждается подлинность пользователей, осуществляющих вход в домен или пытающихся получить доступ к сетевым ресурсам. В Windows 2000 аутентификация служит для осуществления единого входа в сеть. Единый вход обеспечивает аутентификацию пользователя на любом компьютере домена после прохождения одной процедуры входа с помощью пароля или смарт-карты.

Успешная аутентификация в среде Windows 2000 складывается из двух отдельных процессов: интерактивного входа, при котором учетные данные пользователя сверяются с учетной записью домена или локального компьютера, и сетевой аутентификации при попытке пользователя получить доступ к любой сетевой службе.

После успешной аутентификации пользователя уровень его доступа к объектам определяется исходя как из назначенных пользователю прав, так и из разрешений, установленных для данных объектов. Для объектов, находящихся в домене, управление доступом осуществляет соответствующий диспетчер объектов. Например, доступ к ключам реестра контролируется реестром.

Далее в этом разделе процесс аутентификации в Windows 2000 и осуществление контроля доступа рассматриваются более подробно.

Аутентификация

Для входа в систему компьютера или в домен пользователь Windows 2000 должен иметь учётную запись в Active Directory. Учётная запись служит удостоверением подлинности пользователя, на основании которого операционная система выполняет аутентификацию и предоставляет права доступа к конкретным ресурсам в домене.

Учётные записи пользователей также могут применяться в некоторых приложениях. Службу можно настроить на вход (аутентификацию) с учётной записью пользователя, что предоставит ей соответствующие права на доступ к определённым сетевым ресурсам.

Как и учётные записи пользователей, учётные записи компьютеров в Windows 2000 обеспечивают возможность аутентификации и аудита доступа, осуществляемого с данного компьютера к сети и её ресурсам. Доступ к ресурсам может быть предоставлен только компьютеру под управлением Windows 2000, имеющему уникальную учётную запись.

Примечание. Компьютеры под управлением Windows 98 и Windows 95 не располагают расширенными возможностями системы безопасности, свойственными Windows 2000 и Windows NT, поэтому им не могут быть присвоены учётные записи в доменах Windows 2000. Однако для регистрации в сети и работы в доменах Active Directory можно использовать компьютеры, работающие под управлением Windows 98 и Windows 95.

Windows 2000 поддерживает несколько механизмов аутентификации для проверки подлинности пользователей, входящих в сеть. Это особенно важно при предоставлении доступа к корпоративной сети внешних пользователей с помощью внешних сетей или приложений электронной коммерции.

При входе в сеть пользователь предъявляет данные для аутентификации, по которым система безопасности проверяет его подлинность и определяет, какие права доступа к сетевым ресурсам могут быть ему предоставлены. В корпоративной сети Windows 2000 используется протокол аутентификации Kerberos (о котором речь ниже). Если же требуется проверить удостоверения партнёров, поставщиков или клиентов компании через Интернет, необходима поддержка различных способов аутентификации. Windows 2000 предоставляет такую возможность, поскольку в её состав входят различные механизмы аутентификации промышленного стандарта, включая сертификаты X.509, поддержку смарт-карт, а также протокол Kerberos. Кроме того, Windows 2000 поддерживает протокол NTLM, долгое время использовавшийся в Windows, и предоставляет интерфейсы для производителей биометрических механизмов аутентификации.

Используя групповую политику в Active Directory, можно назначать использование различных механизмов аутентификации для конкретных пользователей или групп, исходя из их функций и требований безопасности. Например, можно потребовать от исполнительского персонала прохождения аутентификации только с помощью смарт-карт, что повысит уровень надёжности проверки; для пользователей Интернета установить требование аутентификации по сертификатам X.509, работающим с любым браузером; а для корпоративных служащих можно продолжать использовать аутентификацию NTLM по имени пользователя и паролю. Независимо от метода проверки подлинности, Windows 2000 сверяет представленную при аутентификации информацию с Active Directory.

Если аутентификация проходит успешно и подтверждается наличие учётной записи, принадлежащей данному пользователю, Windows 2000 предоставляет ему учётные данные, необходимые для доступа к ресурсам во всей сети.

Управление доступом

Управление доступом в Windows 2000 реализуется путём назначения администраторами дескрипторов безопасности объектам, таким как файлы, принтеры и службы. Дескриптор безопасности объекта содержит список управления доступом (ACL), в котором определяются пользователи (индивидуально или по группам), имеющие права на выполнение конкретных операций с данным объектом. Дескриптором безопасности объекта также определяются события доступа к данному объекту, подлежащие аудиту, например, запись в защищённый файл. Изменяя свойства объекта, администраторы могут устанавливать разрешения, назначать права владения и отслеживать доступ пользователей к объекту.

Администраторы могут контролировать доступ не только к самому объекту, но и к отдельным атрибутам этого объекта. Например, путём соответствующей настройки дескриптора безопасности можно разрешить доступ пользователей к некоторой части информации, такой как имя и номер телефона сотрудника, закрыв для просмотра другую часть, например, домашний адрес.

С помощью списков управления доступом (ACL) к объектам операционная система Windows 2000 сравнивает информацию о клиенте с информацией об объекте с целью определения того, имеет ли данный пользователь необходимые права доступа (например, разрешение на чтение/запись) к данному объекту (например, файлу). Проверка производится на уровне ядра подсистемы безопасности Windows 2000. В зависимости от результата сравнения служба ответит клиенту либо выполнением запроса, либо отказом в доступе.

Детализированный контроль доступа

Для обеспечения большей гибкости в регулировании настроек безопасности служба каталогов Active Directory предоставляет администраторам возможность детализированного контроля доступа к объектам каталога. Объекты в Active Directory, соответствующие пользователям или группам, могут иметь буквально сотни атрибутов, таких, как номера домашних и рабочих телефонов, имена руководителей, а также названия групп, в состав которых входит данный объект. Разрешения могут задаваться только для некоторых атрибутов выбранной учётной записи без предоставления прав на чтение/запись всех атрибутов. Можно также контролировать изменения в учётной записи пользователя или других записях в Active Directory для каждого атрибута.

Делегирование прав администрирования

Для того чтобы организации могли распределять ответственность за управление доменами между несколькими сотрудниками, Active Directory позволяет администраторам делегировать полномочия на выполнение задач администрирования в пределах леса или домена. Административный контроль может быть передан на любой уровень дерева доменов путём создания подразделений, включающих объекты, над которыми необходимо установить контроль, с последующим делегированием прав администрирования этих подразделений определённым пользователям или группам.

На уровне подразделения администратор может предоставить права на выполнение конкретных операций, таких как создание групп, управление списками пользователей в этих группах или создание учётных записей компьютеров в домене. Установки групповой политики и использование групп пользователей позволяют администраторам точно определять делегируемые полномочия. Например, можно передать права на изменение записей пользователей определённой группе, такой как группа поддержки бухгалтерии, при этом ограничив полномочия этой группы выбранными категориями пользователей, скажем, только служащими бухгалтерии, занимающимися платёжными ведомостями.

Более того, благодаря возможности детализированного контроля доступа (описанного выше) администраторы могут точно определять круг делегируемых полномочий. Например, вместо предоставления прав полного доступа к учётным записям пользователей, администратор может разрешить группе поддержки только сброс паролей, не позволяя изменять адреса пользователей.

Примечание. Для получения дополнительных сведений о связи Active Directory с системой безопасности, смотрите документ Пользователи, компьютеры и группы в Active Directory Active Directory Users, Computers, and Groups (EN) в Технической библиотеке Windows 2000 Server

Наверх страницы

Автор: Всеволод Митителло aka bourger  •  Иcточник: (переведено с англ.) Microsoft Technet  •  Опубликована: 18.10.2006
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:  


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.