Протокол аутентификации Kerberos
В Windows 2000 в качестве основного метода аутентификации пользователей используется стандартный для Интернета протокол Kerberos версии 5 (RFC 1510). Протокол Kerberos обеспечивает взаимную проверку подлинности клиента и сервера перед установлением подключения между ними. Такой подход является оптимальным для сетей с незащищёнными соединениями, например, устанавливаемыми через Интернет.
Аутентификация по протоколу Kerberos основывается на использовании билетов. При регистрации в домене Windows 2000 клиент получает билет, удостоверяющий подлинность клиента перед сетевым ресурсом и ресурса перед клиентом. В этой процедуре используется метод аутентификации, известный как проверка подлинности с использованием общего секрета. Принцип, лежащий в основе этого метода, прост: если секрет известен только двоим, каждый может удостоверить подлинность другого, проверив знание секрета.
При использовании протокола Kerberos как клиенты, так и серверы регистрируются на сервере аутентификации Kerberos. Клиенты отсылают зашифрованную информацию, образованную от паролей пользователей, на сервер Kerberos, который по этим данным проверяет подлинность пользователей. Подобным же образом сервер посылает информацию приложению Kerberos, установленному на клиенте, подтверждая последнему свою подлинность. Этот процесс взаимной аутентификации, более подробно описанный ниже, предупреждает возможность действий злоумышленников от имени как сервера, так и клиента.
Данный метод является усовершенствованием использовавшегося в Windows NT 4.0 процесса аутентификации (известного как NTLM), требовавшего аутентификации клиента при обращении к каждому сетевому ресурсу. NTLM был заменён Kerberos в качестве основного протокола защиты ресурсов в доменах под управлением Windows 2000 Server. (При этом протокол NTLM до сих пор поддерживается, что обеспечивает обратную совместимость). Полная поддержка протокола Kerberos обеспечивает единый вход с быстрым доступом к ресурсам под управлением Windows 2000 Server, а также другим операционным средам, поддерживающим этот протокол.
Аутентификация по протоколу Kerberos
Коротко говоря, процесс аутентификации по протоколу Kerberos состоит в проверке учётных данных и их передаче между клиентами и серверами. Он проходит следующим образом: при входе пользователя в домен Windows 2000 операционная система обнаруживает сервер Active Directory и службу аутентификации Kerberos, которой затем передаёт учётные данные пользователя. Клиент аутентифицируется либо с помощью пароля, из которого образуется ключ, проверяемый сервером, либо (в случае со входом по смарт-карте) по информации, зашифрованной закрытым ключом, открытая часть которого хранится в Active Directory. После проверки информации пользователя служба Kerberos, называемая центром распространения ключей (Key Distribution Center, KDC), выдаёт пользователю билет на получение билета (ticket-granting ticket, TGT), служащий для идентификации пользователя при его следующих обращениях за получением билетов Kerberos для доступа к сетевым ресурсам. Использование билетов TGT уменьшает количество проверок информации пользователя центром распространения ключей. Хотя это и сложный процесс, для пользователя он выглядит просто как ввод пароля при входе в систему.
На Рисунке 2 показано взаимодействие между клиентом, центром распространения ключей и сервером приложений при использовании протокола проверки подлинности Kerberos.
Увеличить рисунок Рисунок 2 – Аутентификация по протоколу Kerberos
Протокол Kerberos и служба каталогов Active Directory
Каждый контроллер домена Windows 2000 использует каталог Active Directory и содержит центр распространения ключей. Благодаря этому вся информация об учётных записях пользователей хранится в одном каталоге. В средних и крупных организациях обычно используется несколько контроллеров доменов с целью повышения доступности сетевых служб и ёмкости корпоративных сетей. Однако это не влияет на возможность применения аутентификации по протоколу Kerberos, поскольку каждому экземпляру Active Directory соответствует экземпляр службы аутентификации Kerberos.
Делегирование полномочий на выполнение аутентификации
До сих пор речь шла о случаях, когда клиент получает доступ к одному серверу. Однако приложения часто используют несколько серверов для выполнения одной задачи. Например, чтобы предоставить данные клиенту, веб-приложение может работать как с веб-сервером, так и с сервером баз данных. Вместо того, чтобы ставить клиента перед необходимостью проходить процесс аутентификации для каждого используемого сервера, Windows 2000 обеспечивает безопасность многозвенных приложений (называемых также трёхзвенными).
Как говорилось ранее, транзитивные отношения доверия между доменами Windows 2000 значительно расширяют круг ресурсов, к которым клиент Windows 2000 или Windows NT Workstation может получить доступ, выполнив вход только в домен Windows 2000 и не вводя множество разных паролей для других серверов и ресурсов. Такая область доступа, возможная при едином входе, открывается благодаря сочетанию механизмов реализации отношений доверия Windows 2000 и способа работы протокола Kerberos с Active Directory при аутентификации клиентов.
В операционной системе используется единая модель и инфраструктура обеспечения безопасности для создания учётных записей пользователей и управления правами доступа. Установки, однажды заданные в Active Directory, будут действовать на всех серверах приложений компании. Метод, обеспечивающий поддержку трёхзвенной модели, называется делегированием полномочий на выполнение аутентификации.
Увеличить рисунок Рисунок 3 – Делегирование полномочий на выполнение аутентификации
Как показано на Рисунке 3, эта модель позволяет клиенту поручать выполнение аутентификации серверам, участвующим в работе приложения. Серверы выполняют запросы на доступ от имени клиента, при этом все передачи учётных данных и билетов происходят без участия пользователя. Однако, хотя вместо клиента действует сервер, объектом аудита считается клиент. Если сервер обрабатывает запрос, перенаправленный ему другим сервером, в его журнале отражается имя клиента, а не промежуточного сервера.
Данная модель является важным элементом Windows 2000, поскольку обеспечивает поддержку единого входа и упрощает систему безопасности, не ослабляя её. Многие современные приложения в целях безопасности требуют наличия отдельной базы данных учётных записей. Однако приложения, использующие Active Directory в качестве центрального хранилища информации системы безопасности, позволяют намного упростить управление сетями и их масштабирование.
Примечание. Для получения дополнительной информации об аутентификации по протоколу Kerberos обратитесь к документам Аутентификация по протоколу Kerberos в Windows 2000 "Windows 2000 Kerberos Authentication" (EN) и Возможности взаимодействия протокола Kerberos в Windows 2000 Windows 2000 Kerberos Interoperability (EN) в Технической библиотеке Windows 2000 на веб-узле http://www.microsoft.com/windows2000/techinfo/default.asp.
Наверх страницы
Инфраструктура открытых ключей
Для защиты соединений в открытых сетях, таких как Интернет, используется криптография на основе открытых ключей. Она позволяет шифровать данные, подписывать их, а также проверять подлинность клиентов и серверов при помощи сертификатов. Основная задача, выполняемая при использовании данной технологии – отслеживание сертификатов. Инфраструктура открытых ключей (PKI) позволяет находить, использовать сертификаты открытых ключей и управлять ими. В данном разделе инфраструктура открытых ключей рассматривается более подробно, а также разъясняются принципы работы инфраструктуры открытых ключей в Windows 2000.
PKI является системой промышленного стандарта, включающей цифровые сертификаты, центры сертификации (Certification authorities, CA) и другие центры регистрации, проверяющие подлинность всех сторон, принимающих участие в электронных транзакциях. Инфраструктура открытых ключей может быть использована для решения широкого круга задач, связанных с обеспечением информационной и сетевой безопасности. Например, для контроля доступа к информации пользователей (деловых партнёров), не имеющих учётных записей Windows 2000 в корпоративной сети, необходим другой способ аутентификации (вместо процедуры входа Windows – примечание переводчика). Такие пользователи могут быть аутентифицированы с помощью PKI.
Сертификаты открытых ключей используются для проверки и передачи зашифрованных ключей, с помощью которых происходит шифрование и расшифровка данных. В криптографии на основе открытых ключей существует два типа ключей – открытые и закрытые. Открытый ключ содержится в сертификате и является общедоступным, однако данные, зашифрованные с его помощью, могут быть расшифрованы только при помощи закрытого ключа. Защищённая транзакция требует наличия как открытого, так и закрытого ключей для шифрования и расшифровки содержащихся в ней данных.
Инфраструктура открытых ключей в Windows 2000, включающая в себя службы, технологию, протоколы и стандарты, позволяет устанавливать и использовать надёжную систему информационной безопасности, основанную на технологии открытых ключей. Являясь реализацией криптографической техники открытых ключей в Windows 2000, инфраструктура открытых ключей позволяет приложениям и пользователям легко находить и использовать сертификаты, не нуждаясь в информации об их расположении и способе работы. Более того, инфраструктура открытых ключей в Windows 2000 полностью интегрирована со службой каталогов Active Directory и со службами распределённой безопасности операционной системы.
Увеличить рисунок Рисунок 4 - Компоненты инфраструктуры открытых ключей Windows 2000
Сертификаты в инфраструктуре открытых ключей
Сертификат в своей основе – цифровой документ, выданный уполномоченным центром, подтверждающий подлинность держателя закрытого ключа. Сертификат связывает открытый ключ с объектом (пользователем, компьютером или службой), обладающим соответствующим закрытым ключом.
Стандартный формат сертификатов, использующихся в Windows 2000 – X.509v3. Сертификат X.509 содержит информацию о пользователе или объекте, которому был выдан данный сертификат, о самом сертификате, а также дополнительную информацию о центре, выдавшем сертификат.
Службы сертификации
Windows 2000 обеспечивает возможность использования инфраструктуры открытых ключей независимо от внешних центров сертификации (CA) с помощью компонента, называемого службами сертификации. Службы сертификации, интегрированные с Active Directory и службами распределённой безопасности (см. Рисунок 4), позволяют создавать собственные центры сертификации и управлять ими.
Центр сертификации устанавливает и удостоверяет подлинность держателей сертификатов, а также отзывает сертификаты, если они более не действительны, и публикует листы отзыва сертификатов (Certificate Revocation Lists, CRL), используемые при проверке сертификатов. Простейшая инфраструктура открытых ключей содержит только один корневой центр сертификации. Однако на практике большинство организаций, работающих с инфраструктурой открытых ключей, используют несколько центров сертификации, организованных в доверенные группы, называемые иерархиями сертификации.
Отдельным компонентом служб сертификации являются веб-страницы подачи заявок центра сертификации. Эти страницы устанавливаются по умолчанию при создании центра сертификации. Они позволяют запрашивать сертификаты с помощью веб-обозревателя. Кроме этого, веб-страницы центра сертификации могут быть установлены на серверах под управлением Windows 2000, не имеющих сертификационных центров. В этом случае с помощью веб-страниц можно перенаправлять запросы на выдачу сертификатов центру сертификации, прямой доступ к которому нежелателен. Если необходимо создать собственные веб-страницы для доступа к центру сертификации, соответствующие веб-страницы, включённые в Windows 2000, могут служить образцами.
С целью упрощения развёртывания системы безопасности, основанной на открытых ключах, в Windows 2000 процесс подачи заявок на сертификаты компьютеров автоматизирован. Благодаря использованию Active Directory серверы будут готовы к получению сертификатов и при необходимости получат их автоматически. Это значит, что администратору не нужно будет ходить от сервера к серверу и вручную подавать запросы на сертификаты.
Политики открытых ключей
В Windows 2000 можно использовать групповую политику для таких задач, как автоматическая раздача сертификатов компьютерам, формирование списков доверенных сертификатов и центров сертификации и управление политиками восстановления для шифрованной файловой системы.
Интерфейс CryptoAPI
Надёжность операций шифрования и управления закрытыми ключами в Windows 2000 обеспечивается, кроме служб сертификатов, интерфейсом Microsoft CryptoAPI версии 2. CryptoAPI – это интерфейс прикладного программирования Windows 2000, обеспечивающий выполнение криптографических операций для операционной системы Windows и работающих под её управлением приложений. Его функционирование позволяет приложениям шифровать и подписывать данные и обеспечивает сохранность закрытых ключей. Непосредственное выполнение операций шифрования осуществляется независимыми модулями, называемыми поставщиками службы криптографии (Cyptographic Service Providers, CSP).
Разработчики могут использовать CryptoAPI для интеграции служб сертификатов с существующими базами данных и службами каталогов сторонних производителей. CryptoAPI также поддерживает индивидуальные способы защиты электронных документов.
Использование сертификатов для аутентификации внешних пользователей
Часто бывает необходимо предоставить внешним пользователям защищённый доступ к данным, опубликованным на веб-сайте, свободный доступ к которому закрыт. Наиболее типичные случаи - доступ к внешним сетям для корпоративных партнёров, доступ одних отделов предприятия к страницам других отделов в интрасети или выборочный доступ для определённой части пользователей.
Windows 2000 позволяет предоставлять защищённый доступ внешним пользователям путём их аутентификации с помощью инфраструктуры открытых ключей и Active Directory. Это происходит следующим образом. Доступ открывается при создании в Active Directory учётной записи для внешних пользователей, позволяющей работать с соответствующими ресурсами в сети. Внешний пользователь для подтверждения своей подлинности должен предоставить сертификат, выданный центром сертификации, присутствующим в списке доверенных сертификатов для сайта, домена или подразделения Active Directory, в котором создана учётная запись. Когда пользователь входит в систему, система сопоставляет его сертификат с учётной записью и определяет, к какой части внутренней сети он может иметь доступ. Процесс аутентификации скрыт от внешнего пользователя.
Использование инфраструктуры открытых ключей в Windows 2000
Инфраструктура открытых ключей, кроме идентификации внешних пользователей, используется при выполнении таких задач по обеспечению безопасности, как:
• | Защита сообщений электронной почты с помощью Secure/Multipurpose Internet Mail Extensions (S/MIME). |
• | Создание цифровых подписей для защищённых транзакций. |
• | Защита веб-соединений с помощью Secure Sockets Layer (SSL) или Transport Layer Security (TLS). |
• | Подписывание исполняемого кода при его передаче по открытым сетям. |
• | Поддержка локального или удалённого входа в сеть. |
• | Выполнение аутентификации по протоколу IPSec для клиентов, не использующих протокол Kerberos, а также в случаях передачи паролей с общим секретом при соединениях IPSec. |
• | Шифрование файлов при помощи файловой системы EFS в Windows 2000. |
• | Защита учётных данных с помощью смарт-карт. |
Некоторые из этих задач, связанные, например, с EFS, IPSec и смарт-картами, рассматриваются в данной статье.
Примечание. За дополнительными сведениями об использовании инфраструктуры открытых ключей в Windows 2000 обращайтесь к Технической библиотеке на веб-узел http://www.microsoft.com/windows2000/techinfo/default.asp
Наверх страницы
Смарт-карты
Компании всё более интенсивно ищут пути повышения безопасности своих сетевых ресурсов. Одним из наиболее распространённых методов для решения этой задачи становится использование смарт-карт. Применение смарт-карт является относительно простым способ защиты, значительно затрудняющим несанкционированный доступ к сети. Поэтому в Windows 2000 включена встроенная поддержка обеспечения безопасности с помощью смарт-карт.
Смарт-карты, обычно обладающие размером кредитной карты, обеспечивают защищённое хранение сертификатов и закрытых ключей пользователей. Таким образом, предоставляется очень надёжное средство для аутентификации пользователей, интерактивного входа, подписывания кода и безопасной электронной почты. Смарт-карта содержит чип, на котором хранятся закрытый ключ пользователя, учётные данные для входа и сертификат открытых ключей, используемый для различных целей, таких как цифровые подписи и шифрование данных.
Смарт-карты надёжнее паролей по следующим причинам:
• | Для аутентификации пользователя нужен физический объект, карта. |
• | Карта используется с персональным идентификационным номером (Personal identification number, PIN), гарантирующим её применение только законным обладателем. |
• | Риск похищения учётных данных практически отсутствует, так как извлечь ключ, хранящийся на карте, физически невозможно. |
• | Без карты нельзя получить доступ к защищённым ресурсам. |
• | В сети не передаются пароли или иная подобным образом используемая информация. |
Использование смарт-карт более эффективно в сравнении с аутентификацией программными средствами, поскольку прежде чем пользователь получит доступ к ресурсу, ему необходимо предъявить физический объект (карту) и продемонстрировать знание закрытой информации (PIN-кода карты). Таким образом, обеспечивается аутентификация по двум факторам. Использование смарт-карт для аутентификации пользователей является оптимальным решением, если необходимо обеспечить дополнительную безопасность, как, например, при предоставлении доступа к бухгалтерским программам компании.
Вместо ввода пароля пользователь вставляет карту в устройство, присоединённое к компьютеру, и набирает PIN-код карты. Центр распространения ключей на контроллере домена Windows 2000 осуществляет аутентификацию пользователя с помощью закрытого ключа и сертификата, хранящихся на смарт-карте, а затем выдаёт билет TGT. С этого момента при подключениях, выполняемых пользователем в рамках данной сессии, используется аутентификация Kerberos, как это было описано выше.
Наверх страницы
Шифрованная файловая система
До сих пор в данной статье рассматривались методы защиты ресурсов в централизованной сети. Однако каким образом, кроме простой защиты паролем, обеспечивается безопасность данных на настольном или переносном компьютере?
Для этой цели служит шифрованная файловая система (Encrypting File System, EFS) Windows 2000. Чтобы повысить уровень защиты локальных данных, EFS позволяет шифровать файлы и папки, так что их не могут прочитать посторонние. EFS особенно полезна для защиты данных на компьютерах, которые могут быть похищены, например, переносных. Можно настроить EFS так, чтобы вся деловая информация в папке пользователя на переносном компьютере была зашифрована.
При активации EFS для файла или папки на томе NTFS операционная система шифрует файлы, используя открытый ключ и алгоритмы симметричного шифрования, доступные через CryptoAPI. Хотя этот механизм и сложен, администраторы и пользователи могут в полной мере воспользоваться дополнительными мерами безопасности, просто открыв диалоговое окно Свойства (Properties) для выбранного файла и поставив флажок в окне Дополнительно (Advanced), связанном с атрибутами файла.
EFS автоматически шифрует файл при сохранении и вновь расшифровывает его при открытии пользователем. Эти файлы не могут быть прочитаны никем, кроме пользователя, зашифровавшего их, и администратора, использующего сертификат восстановления файлов EFS (о котором речь ниже). Поскольку механизм шифрования встроен в файловую систему, он исключительно труден для взлома, а его работа скрыта от пользователя.
EFS шифрует файл с помощью ключа симметричного шифрования, уникального для каждого файла. Затем система шифрует также ключ шифрования, используя открытый ключ из сертификата EFS владельца файла. Поскольку только владелец файла имеет доступ к закрытому ключу, он будет единственным пользователем, который сможет расшифровать ключ, и, следовательно, сам файл. Шифрование защищает файл, даже если кто-либо обходит EFS и пытается прочесть информацию с помощью низкоуровневых дисковых утилит. В случае похищения файла (по сети или на ином носителе) он не может быть расшифрован без входа в сеть с учётной записью владельца файла. Поскольку файл нельзя прочесть, без ведома владельца его невозможно и изменить.
В случае крайней необходимости или, например, если сотрудник покидает компанию, EFS позволяет прочесть корпоративную информацию с помощью встроенного механизма восстановления. При использовании EFS система автоматически создаёт отдельный ключ восстановления, шифруя оригинальный ключ открытым ключом из сертификата администратора для восстановления файла EFS. Затем, в случае необходимости, администратор может восстановить файл, используя закрытый ключ из этого сертификата.
Наверх страницы
Шаблоны настроек безопасности
С целью упрощения установки параметров безопасности и управления ими в корпоративной сети в Windows 2000 Server включен инструмент Шаблоны безопасности (Security Templates). Эта оснастка консоли MMC (Microsoft Management Console) позволяет администраторам создавать стандартные шаблоны безопасности и затем унифицировано применять их к группам компьютеров или пользователей.
Шаблон безопасности представляет в объектном виде параметры безопасности; другими словами, это файл, в котором хранится набор настроек. В Windows 2000 включены стандартные шаблоны безопасности в соответствии с ролями, выполняемыми компьютером – от клиента домена, которому не нужен высокий уровень защиты, до контроллера домена, требующего высшего уровня безопасности. Эти шаблоны могут использоваться в исходном либо изменённом виде, а также служить образцами при создании индивидуальных шаблонов безопасности.
Инструмент Анализ и настройка безопасности (Security Configuration and Analysis) используется совместно с оснасткой Шаблоны безопасности (Security Templates). Он предназначен для применения ограничений, определённых в шаблоне, к конкретным системам. Он также может использоваться для анализа уровня безопасности системы и сопоставления действующих на компьютерах настроек со стандартами компании.
Наверх страницы
Обеспечение безопасности в сети с помощью IPSec
До сих пор в данном документе рассматривались проблемы безопасности, связанные с доступом пользователей к сетям на основе Windows 2000 и защитой информации на локальных дисках. Другой важной составляющей сетевой безопасности является защита данных, передаваемых по сети. Для этой цели служит включённый в Windows 2000 протокол IPSec (Internet Protocol security).
IPSec – это набор интернет-протоколов, позволяющих устанавливать безопасное зашифрованное соединение между двумя компьютерами в незащищённой сети. Шифрование осуществляется на сетевом уровне, что означает его прозрачность для большинства приложений, использующих особые протоколы сетевых соединений. IPSec обеспечивает безопасность соединений между узлами, то есть шифрует исходящие пакеты на передающем компьютере и расшифровывает их только на принимающем, делая невозможным анализ пакетов при их перехвате в сети. Кроме этого, в процессе шифрования применяются алгоритмы генерации единого ключа, используемого на обоих концах соединения, благодаря чему ключ не пересылается по сети.
IPSec можно настроить на выполнение одной или нескольких из следующих функций:
• | Аутентификация отправителя IP-пакета на основе протокола Kerberos, цифровых сертификатов или общего секрета (пароля). |
• | Обеспечение целостности IP-пакетов, передаваемых по сети. |
• | Обеспечение полной конфиденциальности всех данных, пересылаемых по сети, с помощью шифрования. |
• | Сокрытие исходных IP-адресов на время передачи пакетов по сети. |
Наличие этих возможностей позволяет обезопасить сетевой трафик от изменения данных в процессе передачи, а также от его перехвата, просмотра и копирования посторонними.
Как и другие политики безопасности, политики IPSec можно применять как локально, так и на уровне домена.
Наверх страницы
Расширяемая архитектура
С целью обеспечения совместимости с существующими клиентами, а также возможности использования специализированных механизмов защиты в Windows 2000 включена поддержка нескольких протоколов безопасности. Она осуществляется с помощью компонента операционной системы, называемого интерфейсом поставщика поддержки безопасности (Security Support Provider Interface, SSPI). Это интерфейс прикладного программирования Windows 32, с которым работают приложения и системные службы (такие, как Microsoft Internet Explorer и Internet Information Services), чтобы иметь возможность использовать механизмы защиты, не связывая работу программ со сложностью защищённых протоколов сетевой аутентификации. Кроме этого, применение SSPI повышает общий уровень безопасности в среде Windows. На Рисунке 5 показана роль SSPI во взаимодействии между различными протоколами безопасности и использующими их процессами.
Увеличить рисунок Рисунок 5 - SSPI обеспечивает взаимодействие протоколов приложений с протоколами безопасности
Разработчики приложений могут применять SSPI при создании программ, использующих протоколы безопасности Windows 2000. Упрощённо говоря, SSPI предоставляет прикладной интерфейс для создания аутентифицированных подключений. SSPI действует как процесс-посредник – метод проверки подлинности скрыт от приложения, благодаря чему администраторы могут выбирать из многих поставщиков служб безопасности (Security Support Providers, SSP), не заботясь о совместимости. Например, протоколы аутентификации Kerberos и NTML в Windows 2000 являются поставщиками служб безопасности (SSP), поэтому приложения, работающие с SSPI, могут использовать либо тот, либо другой метод аутентификации в зависимости от конфигурации клиента и сервера.
Наверх страницы
Возможности взаимодействия
Как было показано ранее, для повышения безопасности системы и расширения возможностей взаимодействия Windows 2000 использует стандартный протокол сетевой аутентификации Kerberos. Поскольку поддержка протокола Kerberos реализована во многих операционных системах, можно обеспечить взаимодействие по этому протоколу между ОС Windows 2000 и другими платформами. Таким образом, возможна интеграция системы сетевой безопасности Windows 2000 с защитной инфраструктурой другой операционной системы – например, клиенты систем UNIX могут выполнять вход на серверы Windows 2000, и наоборот. (Корпорация Microsoft продемонстрировала совместимость с ведущими сторонними реализациями технологии Kerberos. Дополнительные сведения можно найти в официальном документе Возможности взаимодействия и совместимости протокола Kerberos в Windows 2000 "Windows 2000 Kerberos Interoperability", ссылка на который приведена ниже).
Во взаимодействии систем безопасности участвуют три основных элемента:
• | Клиент Kerberos, выполняющий аутентификацию пользователей для служб Kerberos. |
• | Центр распространения ключей (KDC) Kerberos, предоставляющий службы аутентификации для сферы (в протоколе Kerberos сферы соответствуют доменам Windows 2000). |
• | Метод доступа и сетевые ресурсы, подлежащие аутентификации. |
Поддержка Kerberos в Windows 2000 позволяет выполнять аутентификацию в любой системе, работающей с протоколом Kerberos версии 5. Можно также установить отношения доверия между сферами UNIX и доменами Windows 2000.
Примечание. Подробная информация о возможностях взаимодействия протокола Kerberos доступна в официальном документе Возможности взаимодействия и совместимости протокола Kerberos в Windows 2000 Windows 2000 Kerberos Interoperability (EN).
Наверх страницы
Аудит
После развёртывания инфраструктуры безопасности необходимо иметь возможность убедиться в том, что она работает правильно. Поэтому ведение аудита является важным аспектом системы безопасности. Отслеживание создания и изменения объектов позволяет выявлять потенциальные угрозы, помогает повышать ответственность пользователей и получать необходимую информацию в случае нарушения безопасности системы.
Windows 2000 способствует выполнению администраторами этих задач благодаря работе функций аудита, позволяющих наблюдать за событиями, связанными с безопасностью (такими, как неудавшиеся попытки входа). С помощью этих функций можно обнаруживать попытки несанкционированного входа и угрозы конфиденциальности данных в системе. Система аудита в Windows 2000 предоставляет намного более подробную информацию о событиях, чем аналогичная система в Windows NT 4.0.
Обычно аудиту подвергаются следующие типы событий:
• | Доступ к объектам, таким как файлы и папки. |
• | Управление учётными записями пользователей и групп. |
• | Вход пользователей в систему и выход из неё. |
В дополнение к аудиту событий, влияющих на безопасность системы, Windows 2000 ведёт журнал таких событий и обеспечивает возможность их удобного просмотра.
Наверх страницы
Заключение
Инфраструктура системы обеспечения безопасности в Windows 2000 совмещает возможности надёжной защиты сетевых ресурсов с эффективностью развитой системы управления. Ярким примером того, как такое сочетание сказывается на работе организации, является механизм единого входа, позволяющий пользователям ОС Windows 2000 и Windows NT получать доступ ко всем ресурсам сети после выполнения единственной процедуры ввода пароля или входа с помощью смарт-карты.
Система обеспечения безопасности Windows 2000 объединяет возможности централизованного хранения информации и контроля на основе применения политик, обеспечиваемые службой каталогов Active Directory, с функциональностью протоколов промышленного стандарта для защищённых кросс-платформенных соединений клиентов с серверами.
Кроме этого, в состав Windows 2000 входят компоненты инфраструктуры открытых ключей, обеспечивающие работу дополнительных функций обеспечения безопасности, таких как аутентификация по двум факторам с использованием смарт-карт и файловая система EFS, позволяющая защищать данные на жёстких дисках.
Разработчики приложений с помощью SSPI могут использовать элементы инфраструктуры обеспечения безопасности Windows 2000, что расширяет возможности организаций, использующих Windows 2000. Помимо этого, использование в Windows 2000 стандартного протокола Kerberos версии 5 позволяет предприятиям интегрировать систему безопасности Windows 2000 с аналогичными комплексами других операционных систем, работающих с протоколом Kerberos.
В систему управления мерами по обеспечению безопасности Windows 2000 включены шаблоны, упрощающие задачи настройки и применения параметров защиты. И наконец, функции аудита позволяют администраторам следить за корректностью работы системы безопасности.
Дополнительная информация
Текущую информацию о Windows 2000 Server можно найти на веб-узлах Microsoft http://www.microsoft.com/windows2000 и Microsoft TechNet.
Обсуждение статьи на форуме