Технический обзор системы безопасности Windows 2000

Технический обзор системы безопасности Windows 2000

Инструкция

Службы распределённой безопасности операционной системы Windows 2000 Server позволяют организациям идентифицировать юзеров в сети и держать под контролем их доступ к ресурсам. В модели системы безопасности Windows 2000 употребляются аутентификация на доверенном контроллере домена, делегирование доверия меж службами и контроль доступа на базе объектов. К главным особенностям этой модели относятся интеграция со службой каталогов Active Directory™, поддержка пятой версии протокола аутентификации Kerberos, применяемого для проверки подлинности юзеров, аутентификация наружных юзеров по сертификатам открытых ключей, шифрованная файловая система (Encrypting File System, EFS), позволяющая защищать локальные данные, и поддержка IPSec, обеспечивающего безопасность соединений в открытых сетях. Не считая этого, предусмотрена возможность использования частей системы безопасности Windows 2000 при разработке приложений, а организации могут кооперировать работу системы безопасности Windows 2000 с другими операционными системами, использующими методы защиты на базе протокола Kerberos.

На этой страничке

Введение

Роль Active Directory

Протокол аутентификации Kerberos

Инфраструктура открытых ключей

Смарт-карты

Шифрованная файловая система

Шаблоны опций безопасности

Обеспечение безопасности в сети при помощи IPSec

Расширяемая архитектура

Способности взаимодействия

Аудит

Заключение

Введение

Операционная система Microsoft® Windows® 2000 Server помогает организациям не только лишь расширить свои способности при помощи новых сетевых технологий, да и защитить информацию и сетевые ресурсы, используя улучшенные службы безопасности.

Службы распределённой безопасности Windows 2000 нацелены на соответствие таким главным для бизнеса требованиям, как:

Предоставление юзерам доступа ко всем ресурсам компании после выполнения единственной процедуры входа в систему.

Надёжность способов аутентификации и авторизации юзеров.

Безопасность соединений меж внутренними и наружными ресурсами.

Возможность внедрения нужных политик безопасности и управления ими.

Автоматический аудит безопасности.

Способность к взаимодействию с другими операционными системами и протоколами безопасности.

Расширяемая архитектура, что позволяет разрабатывать приложения, использующие способности системы безопасности Windows 2000.

Перечисленные особенности являются необходимыми элементами системы безопасности Windows 2000. В базе этой системы лежит обычная модель аутентификации и авторизации. Аутентификация позволяет идентифицировать юзера при входе в систему и установлении сетевых соединений со службами. Идентифицированный юзер получает авторизацию для доступа к определённым сетевым ресурсам зависимо от данных разрешений. В процессе авторизации употребляется механизм управления доступом, проверяющий записи в каталоге Active Directory™, также списки управления доступом (access control lists, ACL), в каких определяются разрешения на доступ к объектам, таким как локальные и общие принтеры и файлы.

Действие этой модели системы безопасности упрощает авторизованным юзерам работу в расширенной сети, обеспечивая при всем этом надёжную защиту от атак. Модель обеспечения распределённой безопасности Windows 2000 основывается на аутентификации доверенным контроллером домена, делегировании доверия меж службами и контроле доступа на базе объектов.

Для каждого клиента в домене во время выполнения защищённой аутентификации на контроллере этого домена устанавливается прямой путь доверия. При всем этом клиенту не предоставляется конкретный доступ к сетевым ресурсам; заместо этого сетевые службы делают маркер доступа клиента и действуют от его имени, используя его учётные данные при выполнении запрашиваемых операций. Не считая того, ядро операционной системы Windows 2000 употребляет идентификаторы безопасности маркера доступа, чтоб проверить, авторизован ли юзер для доступа к объектам.

В данном документе содержится описание главных частей служб распределённой безопасности Windows 2000, поддерживающих вышеприведённую модель. Рассматриваются Active Directory, аутентификация и авторизация, даются исходные сведения о протоколе аутентификации Kerberos. В статье приведён обзор использования инфраструктуры открытых ключей и поддержки служб сертификатов в Windows 2000, также шифрованной файловой системы (Encrypting File System, EFS), применяемой для защиты данных на жёстких дисках. В конце концов, документ даёт представление о том, каким образом службы безопасности Windows 2000 могут быть применены разработчиками приложений, также о способностях их взаимодействия со службами безопасности других операционных систем.

Примечание. Более подробную информацию по каждой из тем, представленных в данной статье, можно отыскать в материалах веб-сайта Технической библиотеки Windows 2000 на веб-узле http://www.microsoft.com/windows2000/techinfo/default.asp, где представлены официальные документы по всем главным технологиям, интерактивная документация по операционной системе и другая информация.

Наверх странички

Роль Active Directory

Служба каталогов Active Directory играет самую важную роль в обеспечении сетевой безопасности. Как Windows 2000 Server, так и Windows 2000 Professional содержат средства для защиты инфы на личных компьютерах. Но для обеспечения всесторонней безопасности, основанной на применении политик и контроле доступа к сетевым ресурсам, организациям следует использовать Windows 2000 Server и Professional вместе, что также позволит пользоваться всеми преимуществами распределённых служб безопасности, предоставляемыми службой каталогов Active Directory.

В Active Directory централизованно хранится информация о юзерах, аппаратных средствах, приложениях и сетях, по этому эти сведения всегда доступны юзерам. Не считая того, в службе каталогов Active Directory хранится информация, нужная для авторизации и аутентификации, при помощи которой определяется возможность доступа юзеров к тем либо другим сетевым ресурсам.

Служба каталогов Active Directory также плотно интегрирована со службами безопасности Windows 2000, такими как протокол аутентификации Kerberos, инфраструктура открытых ключей, шифрованная файловая система, диспетчер опций безопасности (Security Configuration Manager), групповая политика и делегирование прав администрирования. Благодаря этой интеграции приложения Windows могут использовать все достоинства имеющейся инфраструктуры безопасности, о чём более тщательно будет поведано ниже.

Базы работы Active Directory

Так как работа служб безопасности Windows 2000 плотно сплетена с функционированием службы каталогов Active Directory, для осознания механизмов работы служб безопасности нужно базисное знакомство с архитектурой Active Directory. Если Вы не знакомы с Active Directory, в данном разделе Вы найдёте её лаконичный обзор.

Примечание. Для получения дополнительной инфы об Active Directory обращайтесь к ресурсам Технической библиотеки Windows 2000, расположенной на веб-узле http://www.microsoft.com/windows2000/technologies/directory/default.asp.

В отличие от обычный пофайловой структуры каталога ОС Windows NT® Server, служба каталогов Active Directory в Windows 2000 сохраняет информацию в иерархическом виде, отражающем логику построения Вашего предприятия. Благодаря этому упрощается управление каталогом и становится вероятным значимый его рост. Иерархическая структура Active Directory состоит из доменов, подразделений (organizational units, OU) и объектов, подобно тому, как информация на компьютерах под управлением Windows организуется в папки и файлы.

Технический обзор системы безопасности Windows 2000
Прирастить набросок

Набросок 1 – Иерархическая структура службы каталогов Active Directory

Домен – это совокупа сетевых объектов, таких как подразделения, учётные записи юзеров, группы и компы, использующие в целях безопасности общую базу данных каталогов. Домены являются основными структурными единицами в Active Directory, выполняя принципиальные функции в системе безопасности. Группировка объектов в один либо несколько доменов помогает отразить метод организации Вашей компании.

Сети больших организаций могут содержать несколько доменов, при всем этом их иерархия именуется деревом доменов. 1-ый сделанный домен является корневым и, по отношению к доменам, сделанным под ним, будет родительским, а те по отношению к нему – дочерними. В очень огромных организациях деревья доменов могут быть связаны меж собой, формируя структуру, именуемую лесом. (В случаях, когда употребляется несколько контроллеров домена, служба каталогов Active Directory реплицирует базы данных через равные интервалы времени на каждый контроллер домена, по этому базы данных всегда синхронизированы).

В домене выполнение функций центра обеспечения безопасности смешивается с единством внутренних политик и определённостью отношений в сфере безопасности с другими доменами. Админ домена имеет возможности на регулирование политик только снутри собственного домена. Для огромных организаций это в особенности комфортно, так как с разными доменами работают различные админы (более тщательно эта особенность управления доменами рассматривается ниже, в разделе «Делегирование прав администрирования»). Но домен не имеет собственных защитных границ, обеспечивающих неопасную изоляцию от других доменов в границах леса. Такими границами обладает только лес.

Веб-сайты – другое понятие, нужное при исследовании работы Active Directory. В то время как структура доменов обычно отражает бизнес-структуру организации, веб-сайты объединяют серверы Active Directory по географическому признаку. Компы снутри веб-сайта, обычно, соединены резвыми каналами связи, но не непременно логически связаны меж собой. К примеру, если в здании находится несколько различных компаний, таких, как видеостудия, ресторан и архив документов, серверы Active Directory в этом здании могут составлять веб-сайт, даже если области выполняемых на их задач не пересекаются.

Подразделение (organizational unit, OU) представляет собой контейнер, при помощи которого можно логически соединять воединыжды объекты в административные группы снутри домена. В подразделение могут заходить такие объекты, как учётные записи юзеров, группы, компы, принтеры, приложения, общие файлы, также другие подразделения.

Объект содержит информацию (именуемую атрибутами) об отдельном юзере, компьютере либо аппаратном устройстве. К примеру, посреди атрибутов объекта, соответственного юзеру, вероятнее всего, можно будет отыскать имя, номер телефона и имя управляющего. В объект, сопоставленный компу, обычно врубается информация о расположении компьютера, также перечень управления доступом (Access control list, ACL), перечисляющий группы и юзеров, у каких имеются права на доступ к данному компу.

Рассредотачивание инфы по доменам и подразделениям позволяет управлять применением мер безопасности к совокупностям объектов, таким как группы юзеров и компов, а не к каждому юзеру либо объекту раздельно. Более тщательно этот подход будет описан ниже, в разделе «Управление мерами безопасности при помощи групповой политики». Перед этим нужно разглядеть ещё одно понятие, принципиальное для осознания взаимодействия системы безопасности с Active Directory – доверие.

Дела доверия меж доменами

Для того чтоб юзеры, выполнив вход в сеть, могли работать со всеми ресурсами сети (что обычно именуется единым входом), в Windows 2000 употребляются дела доверия меж доменами. Отношение доверия – логическая связь, устанавливаемая меж доменами с целью обеспечения сквозной аутентификации, которая позволяет юзерам и компьютерам проходить аутентификацию в любом домене в границах леса. Таким макаром, юзер либо компьютер может получить доступ ко всем ресурсам в согласовании с имеющимися у него разрешениями, зарегистрировавшись в сети только один раз. Эта возможность перемещения меж доменами проясняет смысл термина транзитивное доверие, обозначающий прохождение аутентификации в различных доменах в согласовании с цепной передачей отношений доверия меж ними.

В отличие от сетей на базе Windows NT, в каких употребляются однобокие, нетранзитивные дела доверия, при формировании дерева доменов под управлением Windows 2000 (подобного показанному на Рисунке 1 выше) меж всеми доменами инсталлируются подразумеваемые дела доверия. Это упрощает создание очевидных отношений доверия меж доменами средних и больших организаций. Каждый домен в границах дерева связывается с родительским доменом двухсторонними, а с остальными доменами – подразумеваемыми отношениями доверия. (Если для какого-нибудь домена двухсторонние дела доверия нежелательны, их можно очевидным образом сделать однобокими). Для организаций с несколькими доменами полное количество очевидно данных однобоких отношений доверия существенно меньше при использовании Windows 2000, чем при использовании Windows NT 4.0, по этому управление доменами существенно упрощается. Транзитивное доверие устанавливается снутри дерева по дефлоту, что очень комфортно, так как дерево доменов обычно управляется одним админом. Но управление лесом одним админом встречается не так нередко, потому транзитивные дела доверия меж деревьями нужно устанавливать раздельно.

Чтоб получить более четкое понятие о функционировании отношений доверия, посмотрите ещё раз на Набросок 1. Windows 2000 автоматом устанавливает двухсторонние дела доверия меж корневым доменом Microsoft.com и 2-мя его дочерними доменами: FarEast.Microsoft.com и Europe.Microsoft.com. Дальше, в силу того, что Microsoft.com доверяет обоим дочерним доменам, дела доверия транзитивно инсталлируются и меж доменами FarEast и Europe. Подобные дела инсталлируются автоматом, если домены находятся под управлением Windows 2000. Если же в сети находятся также и домены, управляемые Windows NT, админы могут задавать очевидные однобокие дела доверия, характерные сетям Windows NT.

При аутентификации меж доменами в Windows 2000 дела доверия реализуются при помощи протокола Kerberos версии 5 и аутентификации NTLM (о которой речь ниже), что обеспечивает их оборотную сопоставимость. Это принципиально, так как многие организации употребляют сложные модели организации сетей на базе Windows NT, включающие несколько основных доменов и огромное количество доменов ресурсов, что просит огромных денежных и организационных издержек для управления отношениями доверия меж ними. В силу того, что дереву доменов на базе Windows 2000 соответствует дерево транзитивных отношений доверия, внедрение Windows 2000 упрощает интеграцию сетевых доменов и управление ими для огромных компаний. При всем этом нужно подразумевать, что установление транзитивного доверия не значит автоматического предоставления прав доступа тем, кто их не имеет в согласовании со перечнями управления доступом (ACL). Дела транзитивного доверия служат, приемущественно, для упрощения определения и опции админами прав доступа.

Управление мерами безопасности с помощью групповой политики

Характеристики групповой политики – это опции, с помощью которых админ может держать под контролем деяния объектов в Active Directory. Групповая политика является принципиальной составляющей Active Directory, так как она позволяет унифицировано использовать любые политики к большенному числу компов. К примеру, групповую политику можно использовать для опции характеристик безопасности, управления приложениями, видом десктопа, для предназначения сценариев и перенаправления папок с локальных компов на сетевые ресурсы. Система применяет групповые политики к компьютерам при загрузке, а к юзерам – при их регистрации в системе.

Опции групповой политики могут относиться к трём контейнерам в Active Directory: подразделениям (OUs), доменам и веб-сайтам. Установки групповой политики затрагивают или всех юзеров (либо все компы) в данном контейнере, или только определённые их группы.

При помощи групповой политики можно использовать политики безопасности широкого деяния. Политики уровня домена затрагивают всех его юзеров. К ним, а именно, относятся политики учётных записей, определяющие, к примеру, наименьшую длину пароля либо периодичность неотклонимой смены пароля юзерами. При всем этом можно указать возможность замещения этих установок установками политик низших уровней.

После внедрения глобальных политик при помощи характеристик групповой политики можно задать детальные опции безопасности для личных компов. Опции безопасности локальных компов определяют права и привилегии для определенного юзера либо компьютера. К примеру, на сервере можно распределить права на создание запасных копий и восстановление из их данных, а на настольном компьютере задать уровень аудита доступа к данным.

Характеристики безопасности для каждого компьютера складываются из опций политик всех уровней – от домена до подразделения. В примере, приведённом на Рисунке 1 опции для юзеров домена Europe.Microsoft.com определяются композицией политик доменов Microsoft.com и Europe.Microsoft.com, также всех подразделений, в состав которых заходит данный юзер.

Аутентификация и управление доступом

Аутентификация представляет собой одну из важных составляющих безопасности системы. При помощи процедур аутентификации подтверждается подлинность юзеров, осуществляющих вход в домен либо пытающихся получить доступ к сетевым ресурсам. В Windows 2000 аутентификация служит для воплощения одного входа в сеть. Единый вход обеспечивает аутентификацию юзера на любом компьютере домена после прохождения одной процедуры входа при помощи пароля либо смарт-карты.

Удачная аутентификация в среде Windows 2000 складывается из 2-ух отдельных процессов: интерактивного входа, при котором учетные данные юзера сверяются с учетной записью домена либо локального компьютера, и сетевой аутентификации при попытке юзера получить доступ к хоть какой сетевой службе.

После удачной аутентификации юзера уровень его доступа к объектам определяется исходя как из назначенных юзеру прав, так и из разрешений, установленных для данных объектов. Для объектов, находящихся в домене, управление доступом производит соответственный диспетчер объектов. К примеру, доступ к ключам реестра контролируется реестром.

Дальше в этом разделе процесс аутентификации в Windows 2000 и воплощение контроля доступа рассматриваются более тщательно.

Аутентификация

Для входа в систему компьютера либо в домен юзер Windows 2000 обязан иметь учётную запись в Active Directory. Учётная запись служит удостоверением подлинности юзера, на основании которого операционная система делает аутентификацию и предоставляет права доступа к определенным ресурсам в домене.

Учётные записи юзеров также могут применяться в неких приложениях. Службу можно настроить на вход (аутентификацию) с учётной записью юзера, что предоставит ей надлежащие права на доступ к определённым сетевым ресурсам.

Как и учётные записи юзеров, учётные записи компов в Windows 2000 обеспечивают возможность аутентификации и аудита доступа, осуществляемого с данного компьютера к сети и её ресурсам. Доступ к ресурсам может быть предоставлен только компу под управлением Windows 2000, имеющему уникальную учётную запись.

Примечание. Компы под управлением Windows 98 и Windows 95 не располагают расширенными способностями системы безопасности, характерными Windows 2000 и Windows NT, потому им не могут быть присвоены учётные записи в доменах Windows 2000. Но для регистрации в сети и работы в доменах Active Directory можно использовать компы, работающие под управлением Windows 98 и Windows 95.

Windows 2000 поддерживает несколько устройств аутентификации для проверки подлинности юзеров, входящих в сеть. Это в особенности принципиально при предоставлении доступа к корпоративной сети наружных юзеров при помощи наружных сетей либо приложений электрической коммерции.

При входе в сеть юзер предъявляет данные для аутентификации, по которым система безопасности инспектирует его подлинность и определяет, какие права доступа к сетевым ресурсам могут быть ему предоставлены. В корпоративной сети Windows 2000 употребляется протокол аутентификации Kerberos (о котором речь ниже). Если же требуется проверить удостоверения партнёров, поставщиков либо клиентов компании через Веб, нужна поддержка разных методов аутентификации. Windows 2000 предоставляет такую возможность, так как в её состав входят разные механизмы аутентификации промышленного эталона, включая сертификаты X.509, поддержку смарт-карт, также протокол Kerberos. Не считая того, Windows 2000 поддерживает протокол NTLM, длительное время использовавшийся в Windows, и предоставляет интерфейсы для производителей биометрических устройств аутентификации.

Используя групповую политику в Active Directory, можно назначать внедрение разных устройств аутентификации для определенных юзеров либо групп, исходя из их функций и требований безопасности. К примеру, можно востребовать от исполнительского персонала прохождения аутентификации только при помощи смарт-карт, что повысит уровень надёжности проверки; для юзеров Веба установить требование аутентификации по сертификатам X.509, работающим с хоть каким браузером; а для корпоративных служащих можно продолжать использовать аутентификацию NTLM по имени юзера и паролю. Независимо от способа проверки подлинности, Windows 2000 сверяет представленную при аутентификации информацию с Active Directory.

Если аутентификация проходит удачно и подтверждается наличие учётной записи, принадлежащей данному юзеру, Windows 2000 предоставляет ему учётные данные, нужные для доступа к ресурсам во всей сети.

Управление доступом

Управление доступом в Windows 2000 реализуется оковём предназначения админами дескрипторов безопасности объектам, таким как файлы, принтеры и службы. Дескриптор безопасности объекта содержит перечень управления доступом (ACL), в каком определяются юзеры (персонально либо по группам), имеющие права на выполнение определенных операций с данным объектом. Дескриптором безопасности объекта также определяются действия доступа к данному объекту, подлежащие аудиту, к примеру, запись в защищённый файл. Изменяя характеристики объекта, админы могут устанавливать разрешения, назначать права владения и выслеживать доступ юзеров к объекту.

Админы могут держать под контролем доступ не только лишь к самому объекту, да и к отдельным атрибутам этого объекта. К примеру, оковём соответственной опции дескриптора безопасности можно разрешить доступ юзеров к некой части инфы, таковой как имя и номер телефона сотрудника, закрыв для просмотра другую часть, к примеру, домашний адресок.

При помощи списков управления доступом (ACL) к объектам операционная система Windows 2000 ассоциирует информацию о клиенте с информацией об объекте с целью определения того, имеет ли данный юзер нужные права доступа (к примеру, разрешение на чтение/запись) к данному объекту (к примеру, файлу). Проверка делается на уровне ядра подсистемы безопасности Windows 2000. Зависимо от результата сопоставления служба ответит клиенту или выполнением запроса, или отказом в доступе.

Детализированный контроль доступа

Для обеспечения большей гибкости в регулировании опций безопасности служба каталогов Active Directory предоставляет админам возможность детализированного контроля доступа к объектам каталога. Объекты в Active Directory, надлежащие юзерам либо группам, могут иметь практически сотки атрибутов, таких, как номера домашних и рабочих телефонов, имена управляющих, также наименования групп, в состав которых заходит данный объект. Разрешения могут задаваться только для неких атрибутов избранной учётной записи без предоставления прав на чтение/запись всех атрибутов. Можно также держать под контролем конфигурации в учётной записи юзера либо других записях в Active Directory для каждого атрибута.

Делегирование прав администрирования

Для того чтоб организации могли распределять ответственность за управление доменами меж несколькими сотрудниками, Active Directory позволяет админам делегировать возможности на выполнение задач администрирования в границах леса либо домена. Административный контроль может быть передан на хоть какой уровень дерева доменов оковём сотворения подразделений, включающих объекты, над которыми нужно установить контроль, с следующим делегированием прав администрирования этих подразделений определённым юзерам либо группам.

На уровне подразделения админ может предоставить права на выполнение определенных операций, таких как создание групп, управление перечнями юзеров в этих группах либо создание учётных записей компов в домене. Установки групповой политики и внедрение групп юзеров позволяют админам точно определять делегируемые возможности. К примеру, можно передать права на изменение записей юзеров определённой группе, таковой как группа поддержки бухгалтерии, при всем этом ограничив возможности этой группы избранными категориями юзеров, скажем, только служащими бухгалтерии, занимающимися платёжными ведомостями.

Более того, благодаря способности детализированного контроля доступа (описанного чуть повыше) админы могут точно определять круг делегируемых возможностей. К примеру, заместо предоставления прав полного доступа к учётным записям юзеров, админ может разрешить группе поддержки только сброс паролей, не позволяя изменять адреса юзеров.

Примечание. Для получения дополнительных сведений о связи Active Directory с системой безопасности, смотрите документ Юзеры, компы и группы в Active Directory Active Directory Users, Computers, and Groups (EN) в Технической библиотеке Windows 2000 Server

Наверх странички

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.