Реферат: Анализ системы безопасности Microsoft Windows 2000 Advanced Server и стратегий ее использования

Тема курсовогопроекта:«»

Основныеразделы курсовогопроекта:

Сетевые операционные системы.

Философия и архитектура Microsoft Windows 2000 с точки зрения безопасности.

Разработка программы определяющей сетевое имя и ip-адрес компьютера (рабочей станции).

Рекомендованнаялитература:

В. Олифер Н. Олифер. Сетевые операционные системы – С. Петербург.: Питер., — 2003.

Мэтью Штребе. Windows 2000: проблемы и решения. Специальный справочник – С.Петербург.: Питер., -2002.

Криста Андерсон. Администрирование дисков в Windows 2000.-Журнал «Windows 2000 Magazine», -03/2000//по материалам сайта http: www.citforum.ru

Марк Джозеф Эдвард, Дэвид Лебланк. Где NT хранит пароли. — Журнал «Windows 2000 Magazine», -02/1999 //по материалам сайта http: www.citforum.ru

Дата выдачи задания «____»_____________2004 года Руководитель курсового проекта

Вступление

При созданиисистемы безопасностиновой ОС Windows 2000AdvancedServerразработчикифирмы Microsoft постаралисьучесть каксуществующийопыт использованиясистемы безопасностиWindows NT 4.0, так и реализоватьновые наборымеханизмови протоколовбезопаснойработы с информацией.Windows NT 4.0 выбрана неслучайно: онапозиционируетсякак ОС дляпредприятий, обладает встроеннымивозможностямиразграничениядоступа к ресурсами за 6 лет эксплуатациихорошо зарекомендоваласвои существующиеи потенциальныевозможностибезопасности.Но если заглянутьв Windows 2000 AdvancedServer, то, очевидно, что, несмотряна большоеколичествомеханизмовбезопасности, внесенных вновую ОС изWindows NT 4.0, все онипретерпелисущественныеизменения всторону увеличенияудобства, надежностии функциональности.

Несмотряна то что, судяпо пользовательскомуинтерфейсу,Win­dows2000 AdvancedServerбольше похожана Windows98, на самом делеона являетсяпреемникомWindowsNTи даже называласьWindowsNT5 на первом этапеработы надбета-версией.Хотя 2000 и базируетсяна WindowsNT, операционнаясистема былакардинальноусовершенствованаи обнов­лена, был также полностьюпересмотренинтерфейсадминистрирова­ния.NT4 отличаласьот NT3.51 главным образомконцепциейпользо­вательскогоинтерфейсав виде рабочегостола, большинствосредств администрированияостались темиже. В Windows2000 AdvancedServerиз­менилсякаждый инструментадминистрирования.Все средстваадми­нистрированиябыли унифицированыпутем преобразованияв «оснаст­ки»(snap-in)псевдоиерархическогосредства управленияMicrosoftManagementConsole(консоль управленияMicrosoft,MMC).

СистемаWindows2000 AdvancedServerкомпании Microsoftобеспечиваетвозможностьбезопасногодоступа к ресурсамсистемы. Еслидля вас, самымважным ресурсом, подлежащимзащите, являютсяфайлы, можнонастроитьсистему так, чтобы иметьвозможностьконтролироватьто, как другиепользователичитают, записывают, создают и изменяютфайлы и папкина вашем компьютере.

Это возможнотолько прииспользованиисистемы NTFS.Система быласоздана дляWindowsNT, предшественникаWindows2000 AdvancedServer, и являетсяодной из трехсистем, которыеможно использоватьна жесткомдиске компьютера.

1. Структурасетевой операционнойсистемы

Сетеваяоперационнаясистема составляетоснову любойвычислительнойсети. Каждыйкомпьютер всети в значительнойстепени автономен, поэтому подсетевой операционнойсистемой вшироком смыслепонимаетсясовокупностьоперационныхсистем отдельныхкомпьютеров, взаимодействующихс целью обменасообщениямии разделенияресурсов поединым правилам- протоколам.В узком смыслесетевая ОС — это операционнаясистема отдельногокомпьютера, обеспечивающаяему возможностьработать всети.

/>

Рис. 1.1.Структурасетевой ОС

В сетевойоперационнойсистеме отдельноймашины можновыделить несколькочастей (рисунок1.1):

Средства управления локальными ресурсами компьютера: функции распределения оперативной памяти между процессами, планирования и диспетчеризации процессов, управления процессорами в мультипроцессорных машинах, управления периферийными устройствами и другие функции управления ресурсами локальных ОС.

Средства предоставления собственных ресурсов и услуг в общее пользование — серверная часть ОС (сервер). Эти средства обеспечивают, например, блокировку файлов и записей, что необходимо для их совместного использования; ведение справочников имен сетевых ресурсов; обработку запросов удаленного доступа к собственной файловой системе и базе данных; управление очередями запросов удаленных пользователей к своим периферийным устройствам.

Средства запроса доступа к удаленным ресурсам и услугам и их использования — клиентская часть ОС (редиректор). Эта часть выполняет распознавание и перенаправление в сеть запросов к удаленным ресурсам от приложений и пользователей, при этом запрос поступает от приложения в локальной форме, а передается в сеть в другой форме, соответствующей требованиям сервера. Клиентская часть также осуществляет прием ответов от серверов и преобразование их в локальный формат, так что для приложения выполнение локальных и удаленных запросов неразличимо.

Коммуникационные средства ОС, с помощью которых происходит обмен сообщениями в сети. Эта часть обеспечивает адресацию и буферизацию сообщений, выбор маршрута передачи сообщения по сети, надежность передачи и т.п., то есть является средством транспортировки сообщений.

В зависимостиот функций, возлагаемыхна конкретныйкомпьютер, вего операционнойсистеме можетотсутствоватьлибо клиентская, либо сервернаячасти.

/>

Рис. 1.2.Взаимодействиекомпонентовоперационнойсистемы

привзаимодействиикомпьютеров

На рисунке1.2 показановзаимодействиесетевых компонентов.Здесь компьютер1 выполняетроль «чистого»клиента, а компьютер2 — роль «чистого»сервера, соответственнона первой машинеотсутствуетсервернаячасть, а на второй- клиентская.На рисункеотдельно показанкомпонентклиентскойчасти — редиректор.Именно редиректорперехватываетвсе запросы, поступающиеот приложений, и анализируетих. Если выданзапрос к ресурсуданного компьютера, то он переадресовываетсясоответствующейподсистемелокальной ОС, если же этозапрос к удаленномуресурсу, то онпереправляетсяв сеть. При этомклиентскаячасть преобразуетзапрос из локальнойформы в сетевойформат и передаетего транспортнойподсистеме, которая отвечаетза доставкусообщенийуказанномусерверу. Сервернаячасть операционнойсистемы компьютера2 принимаетзапрос, преобразуетего и передаетдля выполнениясвоей локальнойОС. После того, как результатполучен, серверобращаетсяк транспортнойподсистемеи направляетответ клиенту, выдавшемузапрос. Клиентскаячасть преобразуетрезультат всоответствующийформат и адресуетего тому приложению, которое выдалозапрос.

На практикесложилосьнесколькоподходов кпостроениюсетевых операционныхсистем (рисунок1.3).

/>

Рис. 1.3.Варианты построениясетевых ОС

Первыесетевые ОСпредставлялисобой совокупностьсуществующейлокальной ОСи надстроеннойнад ней сетевойоболочки.При этом в локальнуюОС встраивалсяминимум сетевыхфункций, необходимыхдля работысетевой оболочки, которая выполнялаосновные сетевыефункции. Примеромтакого подходаявляетсяиспользованиена каждой машинесети операционнойсистемы MS DOS (укоторой начинаяс ее третьейверсии появилисьтакие встроенныефункции, какблокировкафайлов и записей, необходимыедля совместногодоступа к файлам).

1.1. Одноранговыесетевые ОС иОС с выделеннымисерверами

В зависимостиот того, какраспределеныфункции междукомпьютерамисети, сетевыеоперационныесистемы, аследовательно, и сети делятсяна два класса: одноранговыеи двухранговые(рисунок 1.1.1.). Последниечаще называютсетями с выделеннымисерверами.

/>

(а)Рис.1.1.1. (а) — Одноранговаясеть

/>

Рис. 1.1.1.(б) — Двухранговаясеть

Если компьютерпредоставляетсвои ресурсыдругим пользователямсети, то он играетроль сервера.При этом компьютер, обращающийсяк ресурсамдругой машины, является клиентом.Компьютер, работающийв сети, можетвыполнятьфункции либоклиента, либосервера, либосовмещать обеэти функции.

Если выполнениекаких-либосерверныхфункций являетсяосновным назначениемкомпьютера(например, предоставлениефайлов в общеепользованиевсем остальнымпользователямсети или организациясовместногоиспользованияфакса, илипредоставлениевсем пользователямсети возможностизапуска наданном компьютересвоих приложений), то такой компьютерназываетсявыделеннымсервером. Взависимостиот того, какойресурс сервераявляется разделяемым, он называетсяфайл-сервером, факс-сервером, принт-сервером, сервером приложенийи т.д.

В сети с выделеннымсервером всекомпьютерыв общем случаемогут выполнятьодновременнороли и сервера, и клиента, этасеть функциональноне симметрична: аппаратно ипрограммнов ней реализованыдва типа компьютеров- одни, в большейстепени ориентированныена выполнениесерверныхфункций и работающиепод управлениемспециализированныхсерверных ОС, а другие — в основномвыполняющиеклиентскиефункции и работающиепод управлениемсоответствующегоэтому назначениюварианта ОС.Функциональнаянесимметричность, как правило, вызывает инесимметричностьаппаратуры- для выделенныхсерверов используютсяболее мощныекомпьютерыс большимиобъемами оперативнойи внешней памяти.Таким образом, функциональнаянесимметричностьв сетях с выделеннымсерверомсопровождаетсянесимметричностьюоперационныхсистем (специализацияОС) и аппаратнойнесимметричностью(специализациякомпьютеров).

В одноранговыхсетях все компьютерыравны в правахдоступа к ресурсамдруг друга.Каждый пользовательможет по своемужеланию объявитькакой-либоресурс своегокомпьютераразделяемым, после чегодругие пользователимогут егоэксплуатировать.В таких сетяхна всех компьютерахустанавливаетсяодна и та жеОС, котораяпредоставляетвсем компьютерамв сети потенциальноравные возможности.

В отличиеот сетей свыделеннымисерверами, водноранговыхсетях отсутствуетспециализацияОС в зависимостиот преобладающейфункциональнойнаправленности- клиента илисервера. Всевариации реализуютсясредствамиконфигурированияодного и тогоже вариантаОС.

Сетевыеоперационныесистемы имеютразные свойствав зависимостиот того, предназначеныони для сетеймасштаба рабочейгруппы (отдела), для сетей масштабакампуса илидля сетей масштабапредприятия.

1.2.Серверныесистемы: историясоздания, основныеверсии.

Серверныесистемы должныпозволятьпервоначальныйзапуск в небольшойконфигурациии обеспечиватьвозможностьрасширенияпо мере ростапотребностей.Электроннаяторговля по Интернетутребует активногои быстрогоувеличенияразмеров систем.Поставщикамуслуг, объединяющимобработкуприложенийв большие узлы, также требуетсядинамичныйрост систем.Масштаб такихузлов увеличиваетсякак путем «роставверх» (заменойсерверов на болеемощные), таки путем «роставширь» (добавлениемдополнительныхсерверов).

Совокупностьвсех серверов, приложенийи данных некотороговычислительногоузла называетсятакже фермой.Фермы имеютмножествофункциональноспециализированныхслужб, каждаясо своимисобственнымиприложениямии данными(например, службакаталогов, безопасности,HTTP, почты, базданных и т. п.).Ферма функционируеткак подразделение —имеет единыйобслуживающийперсонал, единоеуправление, помещенияи сеть.

Для обеспеченияотказоустойчивостиаппаратноеи программноеобеспечение, а также данныефермы дублируютсяна одной илинесколькихфизическиудаленныхфермах. Такойнабор фермназывают геоплексом.Геоплекс можетиметь конфигурациюактивный-активный, в которой всефермы несутчасть нагрузки, или активный-пассивный, при которойодна или несколькоферм находятсяв готовомрезерве.

Началоработ по созданиюWindows NT приходитсяна конец 1988 года.

СначалаWindows NT развиваласькак облегченныйвариант OS/2 (OS/2 Lite), который за счетусечения некоторыхфункций могбы работатьна менее мощныхмашинах. Однакосо временем, увидев какуспешно принимаетсяпотребителямиWindows 3.0, Microsoft переориентироваласьи стала разрабатыватьулучшенныйвариант Windows 3.1. НоваястратегияMicrosoft состояла всоздании единогосемействабазирующихсяна Windows операционныхсистем, которыеохватывалибы множествотипов компьютеров, от самых маленькихноутбуков досамых большихмультипроцессорныхрабочих станций.

Windows NT, как былоназвано следующеепоколениеWindows-систем, относитсяк самому высокомууровню в иерархиисемействаWindows. Эта операционнаясистема, первоначальноподдерживавшаяпривычныйграфическийинтерфейс (GUI)пользователяWindows, явилась первойполностью32-разрядной ОСфирмы Microsoft. Win32 API — программныйинтерфейс дляразработкиновых приложений- сделал доступнымидля приложенийулучшенныесвойства ОС, такие какмногонитевыепроцессы, средствасинхронизации, безопасности, ввода-вывода, управлениеобъектами.

Первые ОСсемейства NT — Windows NT 3.1 и Windows NT Advanced Server 3.1 появилисьв июле 1993 года.В августе 1996 годавышла очереднаяверсия Windows NT 4.0. Сначалапредполагалось, что эта очереднаяверсия Windows NT получитномер 3.52, однакоей был присвоенномер 4.0, которыйраньше упоминалсяв компьютернойпрессе в связис другой ожидаемойверсией Windows NT, имеющейкодовое названиеCairo. Новшества, внесенные вWindows NT Server 4.0, были связаныс улучшениеминтерфейсапользователя, расширениемподдержкиInternet, появлениемновых и модернизациейсуществующихинструментовадминистрированияи повышениемпроизводительностисистемы.

2.Системы семействаWindowsNT.

При разработкеWindows NT 4.0 Microsoft решилапожертвоватьстабильностьюради производительности.С этой цельюбыли внесеныизменения вархитектуру: библиотекименеджера окони GDI, а также драйверыграфическихадаптеров былиперенесеныиз пользовательскогорежима в режимядра.

В Windows NT 4.0 быловнесено многосущественныхизменений, среди которыхнаиболеезначительнымиявляются следующие:

реализация интерфейса в стиле Windows 95;

ориентировка в сторону Internet и intranet;

архитектурные изменения, позволившие резко повысить производительность графических операций;

модификация средств взаимодействия с NetWare — Gateway и клиент NCP поддерживают теперь NDS;

поддержка многопротокольной маршрутизации;

появление в Windows NT 4.0 эмулятора Intel'овских процессоров для RISC-платформ.

Помимо внешнихизменений, модернизацияграфическогоинтерфейсане сильно отразиласьна методахуправлениясетью. БазовыйинструментарийадминистратораWindows NT Server осталсяпрежним. ПрограммыUser Manager for Domains, Server Manager, Disk Administrator, EventViewer, Performance Monitor, DHCP Manager, WINS Manager, NetworkClient Administrator, License Manager и Migration Tool forNetWare не претерпелисущественныхизменений.Remote Access Administrator также неизменился, онбыл перенесениз отдельнойпапки в менюAdministrative Tools. Редакторсистемнойполитики SystemPolicy Editor, совместимыйкак с Windows NT, так ис Windows 95, заменилредактор профилейпользователейUser Profile Editor, знакомыйпо версиямWindows NT Server 3.x. В версию4.0 вошли четыредополнения: административныепрограммы-мастераAdministrative Wizards, System Policy Editor, а такжерасширенноесредство Windows NTDiagnostics и программаNetwork Monitor (программамониторингаработы сети, ранее поставлявшаясятолько в составепродукта MicrosoftSystems Management Server).

Кроме того, в состав Windows NT 4.0вошла Web-ориентированнаяутилита администрирования, открывающаядоступ к средствамадминистрированияWindows NT из любогоWeb-броузера.

Windows2000 — следующеевоплощениеWindowsNT, которую Microsoftсоздала дляоказаниянепосредственнойконкуренцииOS/2, NetWareи UNIXна рынках файловыхсерверов инебольшихсерверов при­ложений.В процессесоздания бета-версииWindows2000 называласьWindowsNT5, однако Microsoftизменила имяна Windows2000, что­бы уменьшитьпутаницу средиклиентов послетого, как онизакончат работус продуктамиоснованногона MS-DOSтрека разработокWindows9х.

Для тогочтобы в условияхжесткой конкуренцииWindows2000 достигла успехакак сетеваяоперационнаясистема, Microsoftспроектировалаподдержкунекоторыхважных вычислительныхтехнологий.Это следующиеключевые технологии:

• многопроцессорнаяобработка;

• многопоточность;

• поддержкабольших приложений;

• платформонезависимость;

• всеобъемлющаябезопасность;

• обратнаясовместимость.

Многиефункции Windows2000, такие какбезопасностьдисков и возможностисетевоговзаимодействия, в действительностиявляются функциямислужб и драйверов, работающихповерх этойбазовой ар­хитектуры.

--PAGE_BREAK--

3.АнализбезопасностиWindows 2000Advanced Server.

3.1. ТеорияБезопасности

КогдаWindowsNTвпервые появиласьв 1993 г., под безопасностьюподразумевалисьмеры предохраненияважной информациина серве­реот просмотране имеющимина то правпользователямии, возмож­но, использованиебезопасностиобратноговызова дляпользователейудаленногодоступа дляконтроля завходящимителефоннымипод­ключениямик системе. WindowsNTсчиталасьбезопасной, потому что онаиспользовалаоднонаправленныехэш-значенияпаролей дляаутен­тификациипользователейи наследуемыетокены безопасностидля безопасностимежпроцессноговзаимодействия.

Интернетполностьюизменил картину.WindowsNT4 была выпуще­нав 1996 г. вместе сновым и недоработаннымстеком TCP/IP, какраз когда Интернетнабирал обороты, и операционнаясистема оказаласьнеподготовленнойк хакерскиматакам черезИнтернет, которыепродол­жалисьв течение всехчетырех летее жизни послевыпуска. Microsoftвыпускала всеновые заплаткии пакеты обновления, пытаясь залататьновые бреши, обнаруживаемыев службах, протоколахи драйверахWindowsNT.

Многиеиз дыр былиобразованыновыми компонентамипо выбору WindowsNT, такими какInternetInformationServerи FrontPageServerExtensions.Большую частьпроблемы составлялосамо предоставлениеслужбы Интернета.

Безопасность(security)— это совокупностьмер, принимаемыхдля предотвращениялюбого родапотерь. Система, обладающаяфундамен­тальнойбезопасностью,— это такаясистема, в которойникакой пользо­вательне обладаетдоступом к чемубы то ни было.К сожалению, та­кие полностьюбезопасныесистемы бесполезны, поэтому необходимопринять определенныйриск в областибезопасности, для того чтобыобеспечитьвозможностьпользованиясистемой. Цельуправлениябезопасностью— минимизироватьриск, возникающийпри обеспечениинеобходимогоуровня удобстваиспользования(usability)системы.

Всясовременнаякомпьютернаябезопасностьосновываетсяна фунда­ментальнойконцепцииличности (identity)пользователя.Для получе­ниядоступа к системелюди идентифицируютсебя тем способом, ко­торомудоверяет система.Этот процессназываетсявходомв систему (loggingon).После того какпользовательвошел в систему, его доступ кданным и программамможет однозначноконтролироватьсяна осно­ве еголичности.

Чтобыподдерживатьнадежностьсистемы, доступк системе никогдане должен бытьразрешен безпрохожденияпроцедуры входав систему. Дажев системах, открытых дляпубличногоанонимногодоступа, должныприменятьсяучетные записи(account)для контроляза тем, какиеанонимныепользователиобладают доступом.Нельзя контролироватьбезопасность, если не имеющимна то правапользо­вателямне может бытьзапрещен доступ.

В системах, основанныхна идентификации, каждый пользовательдолж­ен иметьуникальнуюучетную записьи ни одна учетнаязапись ни­когдане может бытьиспользованаболее чем однимлицом.

Windows2000 AdvancedServer(в дальнейшем- Windows2000) используетряд механизмовдля обеспечениябезопасно­стилокальногокомпьютераот злоумышленныхпрограмм, идентифи­кациипользователейи обеспечениябезопасностипередачи данныхпо сети. ОсновныемеханизмыбезопасностиWindows2000 перечисленыниже. В их числе:

• тотальныйконтроль задоступомпредотвращаетподключениене­надежныхкомпьютеровк безопаснымсистемам припомощи фильт­рациипакетов и трансляциисетевых адресов, гарантируячто разре­шенныесеансы пользователейне могут бытьсфальсифицированы, украдены илимистифицированы, при помощиKerberosи IPSec, и предотвращаетнарушениепрограммойадресногопространствадру­гой программыпри помощизащиты памяти;

• определениеличности пользователяпри помощиметодов аутен­тификации, таких как Kerberos,MessageDigestAuthentication, смарт-карты, аутентификацияRADIUSили протоколыаутенти­фикациитретьих фирм, например те, в которых реализованыбио­метрическиеспособы;

• запретили разрешениедоступа наоснове личностипользователя, при помощисписков контролядоступа дляобъектов суправляемойбезопасностью, таких как принтеры, службы и хранимыена NTFSфайлы и каталоги; посредствомшифрованияфайлов припомощи EncryptingFileSystem(шифрованнойфайловой системы,EFS); путем ограничениядоступа квозможностямоперационнойсистемы, кото­рыемогут бытьиспользованынеправильно, при помощигрупповойполитики ипутем авторизацииудаленныхпользователей, под­ключенныхчерез Интернетили удаленноесоединение, при помо­щиполитики RRAS;

• записьдеятельностипользователяпосредствомжурналов аудитаособенно значимойинформациии журналовсоединенийдля пуб­личныхслужб, такихкак Webи FTP;

• закрытаяпередача данныхмежду компьютерами, с использовани­емIPSec,PPTPили L2TPдля шифрованияпотока данныхмежду компьютерами.РРТР и L2TPпозволяютпользователяминиции­роватьбезопасныепотоки передачиданных, в товремя как IPSecиспользуетсядля того, чтобыпозволить двумкомпьютерамбезо­паснопередаватьданные черезпубличный каналпередачи данныхнезависимоот личностипользователя;

• минимизацияриска неправильнойконфигурациипутем группи­ровкипохожих механизмовбезопасностив политики ипоследую­щегопримененияэтих политикк группам похожихпользователейили компьютеров.Средства управлениягрупповымиполитиками, политикамиRRASи политикамиIPSecв Windows2000 позволяютадминистраторамосуществлятьсквозные измененияв больших частяхсистемы безопасности, не заботясьоб отдельныхошибках.

Управлениебезопасностьюдолжно осуществлятьсяс учетом всейси­стемы сети.Включениеиндивидуальныхсредств обеспечениябезопасно­стине дает полнойбезопасности, потому чтосуществуетнеисчислимоеколичествоспособов обойтииндивидуальныесредствабезопасности.

Windows2000 в своем состояниипо умолчаниюсконфигурированакак удобная, а не безопаснаясистема. Жесткиедиски создаютсяпо умолча­ниюс полным доступомдля всех, никакихгрупповыхполитик поумол­чаниюне установлено, и большая частьмежкомпьютерныхвзаимодей­ствийнебезопасна.По умолчаниюникакие файлыне шифруются, и не включеныникакие фильтрыпакетов.

Для созданиябезопаснойсистемы необходимоустановитьвсе важныесредства обеспечениябезопасностии затем ослаблятьэти установкидля обеспечениядоступа имеющимна это правопользователями по­вышенияпроизводительности.

Несмотряна большоепродвижениев области целостно­гоуправления, в Windows2000, еще многоеможно сделатьдля обеспечениябезопасностиконфигурациипо умолчанию.Тем не менее, инструментальныесредства легконайти и онипрекрас­ноработают вместе, предоставляяуправляемыйинтерфейс дляна­стройкихарактеристикбезопасности.

3.1.1.Криптография.

Криптография(cryptography)— это наука окодах и шифрах.Win­dows2000 используетповсеместноприменяющуюсякриптографиюдля засекречиваниявсего, начинаяот хранимыхфайлов и потоковпе­редачи данныхдо паролейпользователейи аутентификациидомена.

Криптографияи шифрованиеиграют важнуюроль в безопасностиWindows2000.

Все новыевозможностиобеспечениябезопасностиWindows2000 основаны накриптографии.В отличие отэтого, в первомвыпуске WindowsNTкриптографияиспользоваласьтолько дляхэширова­нияпаролей. В течениепериода использованияWindowsNT4 в опе­рационнуюсистему былидобавленыразнообразныеэлементы крипографии, но они не обрабатывалисьсогласованнои безопасно.Windows2000 меняет такоеположе­ниедел, используяActiveDirectoryкак контейнерпрактическидля всей конфигурации, связанной сбезопасностью, и примененияпо­литик.

Windows2000 используетшифрование(encryption)в трех жизненноважных целях:

• для подтвержденияидентичностипринципалабезопасности;

• для подтверждениядостоверностисодержимогосообщения илифайла;

• чтобы скрытьсодержимоехранилища илипотока данных.

Шифр(cipher)— это алгоритмшифрования, он защищаетсообщение, переупорядочиваяего или осуществляяизменения вкодировании, но не в смысловомзначении сообщения.Код(code)— это согласованныйспособ сохранениятайны сообщениймежду двумяили болеелично­стями.Ключ(key)— это небольшаяпорция информации, которая необходимадля расшифровкисообщения, обычно в видезначения, ис­пользуемогов шифре длязашифровкисообщения. Ключдолжен дер­жатьсяв секрете, длятого чтобысообщениеоставалосьзакрытым.

3.1.2. Алгоритмышифрования

Одиниз алгоритмов, который былразработанв секрете, нопотом сталдо­ступен дляобщественногоиспользования, так же как идля государствен­ного(но только дляинформации«UnclassifiedbutSensitive», несекретной, но важной), —это алгоритмDataEncryptionStandard(стандарт)шифрованияданных), илиDES.Этосимметричныйалгоритм, чтозначит, чтоодин и тот жеключ используетсяи для шифрования, и для расшифровки; он был предназначендля использования56-разрядно-Зго ключа. DESшироко используетсяв коммерческомпрограммномобеспечениии в устройствахсвязи, поддерживающихшифрование.

RSA(названный поименам своихсоздателей,Rivest,Shamirи Adleman)— это алгоритм, который не былразработанправительственнымагентством.Его создателивоспользовалисьвычислительно-затратнойпроблемойразложенияна простыечисла для созданияасимметрично­го(asymmetric)алгоритма, илиалгоритмаоткрытогоключа (publickey), который можетбыть использовани для шифрования, и для ци­фровыхподписей. RSAс тех пор сталочень популярнойальтернативойDES.RSAиспользуетсярядом компанийпо производствупрограмм­ногообеспечения, чьи продуктыдолжны осуществлятьбезопасныесоединениячерез небезопасныйИнтернет (такие, как web-браузеры), в числе которыхMicrosoft,Digital,Sun,Netscapeи IBM.

Эти шифрыне единственновозможные дляиспользова­нияв компьютерахи сетях. Правительстваразных странСША и бывшегоСССР активнораз­рабатываликоды и шифры, много частныхлиц (особенноза последнеедесятилетие)внесли вкладв развитиекриптографии.GOST(ГОСТ) был разработанв бывшем СССР,FEALбыл разработанNTTв Японии, LOKIбыл разработанв Австралиии IDEA— в Европе.Большинствоэтих шифровиспользуютзапатентованныеалгоритмы, которые дол­жныбыть лицензированыдля коммерческогоиспользования, но не все (например,Blowfish).Каждый шифробладаетдостоинствамии недо­статками.

Все этишифрыобладаютоднимслабымместом: еслиизвестеншифр, которыйиспользовалсядлязашифровкисообщения, нонеизвестенключ, можноиспользоватьрядатакдлятого, чтобыпопытатьсядекодироватьсообщение, втомчислеиметод«грубойсилы», пытаясьперепробоватьвсевозможныеключи.

Назначениешифров, в конечномитоге, — скрыватьинформацию.Противоположностьюсокрытия информацииявляются попыткираскрыть, чтоже было засекречено, и прогресс вобласти взлома(breaking)кодов (илирасшифровкикодов без ключа)идет в ногу сразработкамив области созданиякодов. Дея­тельностьпо осуществлениюпопыток взломакодов называетсякрипто­анализом(cryptanalysis), а люди, которыевзламываюткоды, называют­сякриптоаналитиками(cryptanalyst).На системыбезопасностиможет бытьпроизведенряд криптоаналитическихатак различныхтипов.

Атакапереборомключей. Переборпространстваключей (keyspacesearch) подразумеваетпроверку всехвозможныхключей, которыемогли использоватьсядля зашифровкисообщения.

Известныйисходный текст.Для многихшифров криптоаналитикможет сократитьчисло перебираемыхвозможныхключей, еслиуже известенисходный текстзашифрованногосообщения.

Линейныйи дифференциальныйкриптоанализ.Криптоаналитикможет такжеискать математическиесовпаденияво всех собранныхзашифрованныхтекстах, которыебыли зашифрованыпри помощиодного ключа.

Существуетодин шифр —одноразоваяподстановка(one-timepad)— который нельзяразгадать, еслинет ключа, дажеимея в распоря­жениивсе оставшеесявремя существованиявселенной ивсе теорети­ческивозможныевычислительныевозможности.К сожале­нию, требованияэтого шифраделают егонепригоднымк использова­нию, за исключениемопределенныхвидов коммуникаций, не требую­щихвысокой пропускнойспособности.

3.1.3.Симметрическиефункции

Еслиодин и тот жеключ может бытьиспользовандля зашифровкиили расшифровкисообщения, тотакой шифриспользуетсимметрическуюфункцию (symmetricfunction).Один ключ долженбыть и у отправи­теля, и у получателя.Ряд симметричныхшифров используетсяи в программном, и в аппаратномобеспечении.Получитьпредставлениео возможныхшифрах можно, сравнив следующиетри.

• DES.IBMи американскоеУправлениенациональнойбезопасности(NationalSecurityAgency,NSA)объединилиусилия дляразработкиэтого шифра.Он устойчивк дифференциальномукриптоанали­зу, но поддаетсялинейномукриптоанализу.Длина ключасоставля­еттолько 56 бит, что сильнооблегчаетвозможностьпопробоватьвсе возможныеключи методомгрубой силыдля зашифрованного, текста. DESшироко применяетсяв программноми аппаратномобеспечениишифрования.Это стандартANSI.Windows2000 peaлизуети 40-битный DES, и 168-битный DES1(triple-DES(тройной DES)— DESс тремя непрерывнымиключами).

• IDEA.Этотшифр обладаетключом длиной128 бит — значитель­нобольше, чемиспользуетDES.В то время какобладающаясерь­езноймотивациейи финансированиеморганизацияили большаякоманда хакеровможет взломатьзакодированноеDES-сообщение, большое пространствоключей делаетнеосуществимойатаку на IDEAпо методу грубойсилы. IDEAбыл разработанкак шифр, неуязвимыйдля линейногои дифференциальногокриптоанализа.IDEAзапатентованв Европе и США.

Blowfish.Этотшифр можетиспользоватьключ длинойот 32 до 448 бит, позволяя выбратьстепень секретностисообщения.

3.1.4.Однонаправленныефункции

При наборепароля длявхода в Windows2000, он шифруетсяи сравниваетсяс хранимымзашифрованнымзначениемпаро­ля. Парольсохраняетсяпри помощиоднонаправленнойфункции (one-wayfunction), также называемойхэш(hash),trap-door,digestилиfingerprint1.

Хэш-функциитакже могутприменятьсядля другихцелей. Например, можно использоватьхэш-функцию, чтобы создать«отпечаткипальцев» файлов(создать цифровыеотпечаткипальцев, илихэш-значение, которое будетуникально дляданного файла).Хэш-функцияможет даватьрезультат, который будетгораздо меньше, чем входнойтекст, хэшированиезанимающегомного мегабайтовдокументатекстовогопроцессора, например, можетдать 128-разрядноечисло. Хэш-значениетакже уникальнодля файла, которыйего породил; практическиневоз­можносоздать другойфайл, которыйпроизвел быто же хэш-значение.

Однаизособенностейхэш-функций(особеннодающихкороткиехэш-значения)—этото, чтовсехэш-значенияравновероятны.Следовательно, практическиневозможносоздать другойфайл хэш-значениедля которогосовпадетсимеющимся.

Некоторымхэш-функциямтребуется ключ, другим — нет.Хэш-функцияс ключом можетвычислятьсятолько кем-либо(или чем-либо), имеющим этотключ.

3.1.5. Шифрованиес открытымключом

В то времякак симметричныешифры используютодин ключ длязаши­фровкии расшифровкисообщений, шифрованиес открытымключом (publickeyencryption), или шифр с открытымключом (publickeycipher), используетдля рас­шифровкиключ, отличныйот использованногопри шифровании.Это сравнительноновая разработкав криптографии, и она решаетмногие давнишниепроблемы системкриптографии, такие как способпередачи секретныхключей в первыйраз.

Проблемасимметричныхшифров состоитв следующем: и отправи­тель, и получательдолжен иметьодин и тот жеключ для того, чтобы обмениватьсязашифрованнымисообщениямичерез небезопасныйканал передачиданных. Еслидве сторонырешат обмениватьсязак­рытымисообщениямиили если междудвумя устройствамив компью­тернойсети или двумяпрограммамидолжен бытьустановленбезопас­ныйканал, две стороныкоммуникациидолжны принятьрешение обобщем ключе.Каждая стороналегко можетвыбрать ключ, но у этой стороныне будет никакогоспособа отправитьэтот ключ другойсто­роне, неподвергаясьриску перехватаключа по дороге.

Прииспользованиишифра с открытымключом одинключ (открытыйключ, publickey)используетсядля шифрованиясообщения, адругой ключ(закрытый ключ,privatekey)— это единственныйключ, которыйможет расшифроватьсообщение. Ктоугодно, имеяключ, можетзашифроватьсообщение, расшифроватькоторое можеттолько конкретныйпользователь.Безопасныешифры с открытымключом страдаютот одной пробле­мы— они медленны, гораздо медленнее, чем симметричныешифры. Работахорошего шифрас открытымключом можетотнять в 1000 разбольше временидля зашифровкиодного и тогоже количестваданных, чем ухорошегосимметричногошифра.

Хотясистемы открытого/закрытогоключа гораздомедленнеесим­метричныхсистем, оничетко решаютпроблему, откоторой страдалисимметричныекриптосистемы.Когда двумлюдям (илиустройствам)нужно установитьбезопасныйканал для передачиданных, одиниз них можетпросто взятьсекретный ключи зашифроватьэтот секретныйключ при помощиоткрытого ключадругой стороны.Зашифрованныйключ затемотправляетсядругому участникукоммуникации, и даже еслиэтот ключ будетперехвачен, только другойучастник сможетрасшифроватьсекретный ключпри помощисвоего закрытогоклю­ча. Коммуникациямежду двумясторонами затемможет продолжать­сяс использованиемсимметричногошифра и этогосекретногоключа. Система, которая используеткак симметричноешифрование, так и шифрованиес открытымключом, называетсягибриднойкриптосисте­мой(hybridcryptosystem).

    продолжение
--PAGE_BREAK--

3.2. Применениешифрования

Шифрованиеможно использоватьдля защитыследующих типовдан­ных в сети:

• закрытаяпередача данных;

• безопасноехранение файлов;

• аутентификацияпользователяили компьютера;

• безопасныйобмен паролями.

Следуетшифровать любыеданные, содержащиезначимую иличаст­ную информацию, проходящиечерез небезопасныеканалы передачиданных, такиекак радио, телефоннаясеть или Интернет.Используй­тешифрованиефайловой системыдля защитызначимых данных, ког­да возможностиоперационнойсистемы недействуют(когда был уда­ленжесткий дискили замененаоперационнаясистема).

3.2.1. Безопасноехранение файлов

Шифрованиеможет бытьиспользованодля защитыданных в устрой­ствехранения, напримерданных на жесткомдиске. Во всехреализа­цияхUNIXи WindowsNTсуществуетмного сложныхсредств обеспе­чениябезопасности.Лучший подходк безопасности— предоставитьшифрованиеи рас­шифровкуфайлов операционнойсистеме. Windows2000 поставляет­сяс EncryptingFileSystem(шифрованнаяфайловая система,EFS), которая будетшифровать всефайлы на вашемжестком диске, даже временныефайлы, созданныеиспользуемымивами приложениями.

Для тогочтобы использоватьEFSсекретно, необходимопредоставитькриптографическийключ при запускекомпьютераили использоватьее со смарт-картой, иначе же можносчитать файлына жесткомдиске обычными, незашифрованнымифайлами. Этоне защититфайлы от доступаво время работыоперационнойсистемы — длячего существуютсредства обеспечениябезопасностиоперационнойсисте­мы, — ноэто сохранитданные в безопасности, даже если кто-нибудьукрадет жесткийдиск.

3.2.2.Аутентификацияпользователяили компьютера

Помимосохранениясекретности(либо при передаче, либо при хране­нии), шифрованиеможно использоватьпочти в противоположныхцелях — дляпроверкиидентичности.Шифрованиеможет провестиаутентификациювходящих всистему компьютерапользователей, гарантировать, что загружаемоеиз Интернетапрограммноеобеспечениеприходит изнадежногоисточника ичто лицо, отправившеесообще­ние, в действительностито, за котороеоно себя выдает.

При входев операционнуюсистему Microsoft, например Windows95, WindowsNTили Windows2000, операционнаясистема несравниваетвведенныйпароль с хранимымпаролем. Вместоэтого она шифруетпароль припомощи однонаправленнойкриптографическойфунк­ции и затемсравниваетрезультат схранящимсярезультатом.Другие операционныесистемы, такиекак UNIXи OS/2, работаютточно так же.

Храня толькокриптографическоехэш-значениепароля пользователя, операционнаясистема затрудняетхакерам возможностьполучения всехпаролей системыпри получении

3.2.3. Цифровыеподписи

Обычношифрованиес открытымключом используетсядля передачисекретныхсообщений, зашифрованныхпри помощиоткрытогоклю­ча, и последующейрасшифровкиих при помощизакрытогоключа.

Посколькуназначениецифровой подписисостоит не втом, чтобы утаитьинформацию, а в том, чтобыподтвердитьее, закрытыеключи зача­стуюиспользуютсядля шифрованияхэш-значенияпервоначальногодокумента, изашифрованноехэш-значениеприсоединяетсяк доку­ментуили отправляетсявместе с ним.Этот процессзанимает гораздоменьше вычислительноговремени пригенерации илипроверкехэш-значения, чем шифрованиевсего документа, и при этомгарантирует, что документподписал владелецзакрытогоключа.

Электроннаяпочта Интернетапроектироваласьбез учетабезопасно­сти.Сообщения незащищены отнелегальногопросмотра напромежуточ­ныххостах Интернета, и нет гарантии, что сообщениев действитель­ностипришло от тоголица, котороеуказано в полеFromэлектроннойпочты. Сообщениягрупп новостейИнтернетастрадают оттой же про­блемы: невозможнов действительностисказать, откого на самомделе пришлосообщение.Можно зашифроватьтело сообщения, чтобы спра­витьсяс первой проблемой, а цифровыеподписи справляютсясо второй.

Цифровыеподписи полезны, потому чтопроверитьподпись можеткаждый, а создатьее может тольколицо с закрытымключом. Разницамежду цифровойподписью исертификатомв том, что можнопрове­ритьподлинностьсертификатав центре сертификации.

3.2.4. Безопасныйобмен паролями

Большинствосетевых операционныхсистем (в томчисле Windows2000 и все современныеверсии UNIX)защищают имяпользователяи пароль привходе в системупосредствомих шифрованияперед отправ­койв сеть дляаутентификации.

Чтобыодни и те жезашифрованныеданные непередавалиськаждый раз, клиент такжеможет включитькакую-то дополнительнуюин­формацию, например времяотправки запросана вход в систему.При таком способесетевые идентификационныеданные никогдане будут отправлятьсячерез локальнуюсеть или телефонныелинии в незащищенномвиде. Тем неменее Windows2000 принимаетнеза­шифрованныепароли от старыхсетевых клиентовLANManager.

Некаждыйпротоколаутентификациизашифровываетимяпользователяипа­роль, этогонеделаетSLIPTelnetиFTP.СлужбуTelnetвWindows2000 можносконфигурироватьдляработытолькосхэш-значениямиWindowsNT, анеспаролямиввидепростоготекста.РРРможетшифровать, еслииудаленныйклиент, исерверсконфигурированытакимобразом.Win­dowsNTпоумолчаниютребуетшифрованнойаутентификации.Windows2000 используетбезопаснуюсистемуаутентификацииKerberos, основаннуюнасекретныхключах.

3.3.Стеганография

Стеганография(steganography)— это процесссокрытияза­шифрованныхфайлов в такомместе, в которомвряд ли кто-либосмо­жет ихобнаружить.

Зашифрованныефайлы выглядяткак случайныечисла, поэтомувсе, что такжевыглядит какслучайныечисла, можетспрятатьзашифрованноесообщение.Например, вмногоцветныхграфическихизображе­нияхбит нижнихразрядов вкаждом пикселеизображенияне сильно влияетна качествовсего изображения.Можно спрятатьзашифрован­ноесообщение вграфическийфайл, заменяямладшие битыбитами своегосообщения.Младшие битызвуковых файловс высокой точно­стьювоспроизведения— еще одно хорошееместо длязашифрованныхданных. Можнодаже тайнообмениватьсяс кем-либозашифрованны­мисообщениями, отправляяграфическиеи звуковыефайлы с такойспрятаннойв них информацией.

3.4. Пароли

Пароли— это секретныеключи. Они могутприменятьсядля аутенти­фикациипользователей, шифрованияданных и обеспечениябезопас­ностикоммуникационныхпотоков. Kerberosиспользуетпароли каксекретные ключидля подтвержденияидентификационныхданных клиентав KerberosKeyDistributionCenter.

Из-за необходимостислучайностив секретныхключах выступающиев качествесекретныхключей паролитакже должныбыть секретными

Самыйраспространенныйспособ раскрытьпароль — этовыбрать легкоугадываемыйпароль, такойкак пустойпароль, самослово пароль(password), жаргон­ныеслова или именабогов, детейили домашнихживотных. Длявзлома черезИнтернет пароля, в качествекото­рого взятолюбое известноеслово, потребуетсяпримерно двачаса времени.

Использованиепо-настоящемуслучайныхпаролей даетгораздо луч­шиерезультаты.Случайный выборпароля толькоиз 14 символовна­бора стандартнойASCII-клавиатурыдает множествоболее чем из1025 паролей.

Существуетчетыре уровняпаролей:

• низкокачественныйпубличныйпароль

• публичныйпароль среднегокачества —короткий, нополностьюслучайныйпароль длинаэтого паролясемь символов, что дает 40-битныйдиапазонуникальности;

• высококачественныйпароль — парольдля частныхсетей где клиентуможет бытьпричинен серьезныйущерб в случаеего утери -парольдлиной 12 символов, что дает 70-битныйдиапазонуникальности;

• чрезвычайновысококачественныйпароль —пароль дляшифрованияфайлов и хранениясекретныхданных на личныхкомпьютерах; длина 14 символов, что дает 84-битныйдиапазонуникальности.

4.ЛокальнаябезопасностьWindows 2000AdvancedServer

БезопасностьWindows2000 основана нааутентификациипользовате­лей.Проходя процедурувхода в систему(обеспечиваемуюпроцес­сомWinLogon), пользовательидентифицируетсебя компьютеру, после чего емупредоставляетсядоступ к открытыми запрещаетсядоступ к закрытымдля вас ресурсам.

В Windows2000 также реализованыучетные записигрупп. Когдаучет­ная записьпользователявходит в учетнуюзапись группы, установлен­ныедля учетнойзаписи группыразрешениядействуют такжеи для учетнойзаписи пользователя.

Учетныезаписи пользователейи групп действуюттолько на томкомпь­ютерепод управлениемWindows2000, на которомони создаются.Эти учетныезаписи локальныдля компьютера.Единственнымисключени­емиз этого правилаявляются компьютеры, входящие вдомен и по­этомупринимающиеучетные записи, созданные вActiveDirectoryна контроллередомена. На каждомкомпьютерепод управлениемWindows2000 существуетсвой собственныйсписок локальныхучетных записейпользователейи групп. Когдапроцессу WinLogon(который регистрируетпользователяв систе­ме иустанавливаетего вычислительнуюсреду) требуетсяобратитьсяк базе данныхбезопасности, он взаимодействуетс SecurityAccountsManager(диспетчеручетных записейбезопасности,SAM), компонен­томоперационнойсистемы Windows2000, который управляетинфор­мациейо локальныхучетных записях.Если информацияхранится локальнона компьютерепод управлениемWindows2000, SAMобра­титсяк базе данных(хранимой вреестре) и передастинформациюпроцессу WinLogon.Если информацияхранится нелокально SAMзапросит контрол­лердомена и вернетподтвержденнуюинформациюо регистрации(идентификаторбезопасности,securityidentifier)процессу WinLogon.

Независимоот источникааутентификации, доступ разрешентолько к локальномукомпьютерупосредствомLocalSecurityAuthority(локаль­ныесредствабезопасности,LSA)компьютера.При обращаениик другим компьютерамв сети, LSAлокальногокомпьютерапередаетидентификационныеданные пользователяLSА другого компьютера, реализуя входв систему каждогокомпьютера, с которым онконтактирует.Чтобы получитьдоступ к другомукомпьютеру, этот компьютердолжен принятьидентификационныеданные, предоставленныекомпьютеромпользователя.

4.1.Идентификаторыбезопасности

Принципалыбезопасности, такие какпользователии компьютеры, представленыв системеидентификаторамибезопасности(securityidentifier,SID).SIDуникальноидентифицируетпринципалабезопас­ностидля всех компьютеровдомена. Присоздании учетнойзаписи припомощи оснасткиLocalUsersandGroups(Локальныепользователии группы), всегдасоздается новыйSID, даже еслииспользуетсятакие же имяучетной записии пароль, какв удаленнойучетной запи­си.SIDбудет оставатьсяс учетной записьюв течение всеговремени еесуществования.Можно поменятьлюбой другойатрибут учетнойзаписи, включаяимя пользователяи пароль, но вобычных обстоятельствахнельзя изменитьSID, поскольку приэтом создаетсяновая учетнаязапись.

Групповыеучетные записитакже имеютSID, уникальныйидентификатор, создающийсяпри созданиигруппы. ДляидентификаторовSID, групп действуютте же правила, что и для SIDучетных записей.

ПроцессWinLogon(часть процессаLocalSecurityAuthority)проверяет имяпользователяи пароль (илисмарт-картупри соответствующейконфигурации), чтобы определить, можно ли разрешитьдоступ к компьютеру.Если указанныйв диалоговомокне входа всистему доменявляется именемлокальногокомпьютера,LSAпроверит учетнуюзапись в соответствиис локальнымSAM, хранимым вреестре. В иномслучае LSAустановит связьс контроллеромдомена и воспользуетсядля проверкиподлинностиданных пользователяаутентификациейKerberos(в случае Windows2000) или NLTM(в случае всехостальныхверсий Windows, включая Windows2000 в режиме MixedMode), в зависимостиот операционнойсистемы клиента.

Еслиимя учетнойзаписи и парольправильны, процесс WinLogoncoздасттокен доступа.Токендоступа (AcessToken)образуетсяиз SIDучетнойзаписи пользователя,SIDгрупп, к которымпринадлежит, учетная запись, и LocallyUniqueIdentifier(локально уникальный; идентификатор,LUID), который определяетправа пользователяи конкретныйсеанс входав систему.

ТокендоступасоздаетсяприкаждомвашемвходевWindows2000.

Существуютособые идентификаторыSID.SystemSIDзарезервировандля системныхслужб, содержащиеSystemSIDтокены доступамогут, обходитьвсе ограничениябезопасности, основанныена учетныхзаписях. SIDдает системнымслужбам разрешениена осуществлениетех; действий, которые обычнаяучетная записьпользователя(даже учетнаязапись Administrator(Администратор))делать не может.Службы операционнойсистемы запускаютсяядром Windows2000, а не процессомWinLogon, и эти службыполучают SystemSIDот ядра присвоем запуске.

4.2. Доступк ресурсам

Потоки(thread, отдельные ветвивыполненияпроцесса) должныпре­доставлятьтокен доступапри каждойпопытке доступак ресурсу. Потокиполучают токеныдоступа отродительскихпроцессов присвоем создании.Пользовательскоеприложение, например, обычнополучает свойтокен доступаот процессаWinLogon.Процесс WinLogonзапускаетсяот возбужденногопользователемпрерывания(прерыва­нияклавиатурыCtrl+Alt+Del)и может создатьновый токендоступа, запрашиваяили локальныйдиспетчеручетных записейбезопасности (SAM), или DirectoryServicesAgent(агент службкаталога, DSA)на контроллередомена ActiveDirectory.

При помощиэтого методакаждый поток, запущенныйпосле входапользователяв систему, будетиметь токендоступа, представляющийпользователя.Посколькупотоки пользовательскогорежима должнывсегда предоставлятьэтот токен длядоступа к ресурсам, в обычныхобстоятельствахне существуетспособа обойтибезопасностьресурсов Windows2000.

ОсновубезопасностиWindows2000 образуетперемещаемыйвходвсистему(mandatorylogon).Вотличиеотдругихсетевыхсистем, пользовательничегонеможетсделатьвWindows2000, непредоставивимяучетнойзаписипользователяипароль.Хотяможновыбратьавтоматическийвходвсистемусидентификационнымиданными, предоставляемымиреестром, входвсистемуприпомощиучетнойзаписипользователявсеравнопроисходит.

Windows2000 требуетнажатияCtrl+ALT+Delдлявходавсистему, иэтооднаизпричин, покоторымWindows2000 считаетсябезопаснойсистемой.ПосколькукомпьютеробрабатываетнажатиеCtrl+ALT+Delкакаппаратноепрерывание, фактическинесуществуетспособа, припомощикоторогоопытныйпрограммистмогбызаставитьэтукомбинациюклавишделатьчто-либоеще, непереписываяоперационнуюсистему.

Посколькутокен доступапередаетсяновому потокуво время егосо­здания, топосле входапользователяв систему вдальнейшемнет необ­ходимостиобращатьсядля аутентификациик локальнойбазе данныхSAMили к ActiveDirectoryна контроллередомена.

Прилокальном входепользователяв систему Windows2000 проходит черезследующиеэтапы.

1. Пользовательнажимает Ctrl+A1t+Del, что вызываетаппаратноепре­рывание, активизирующеепроцесс WinLogon.

2. ПроцессWinLogonпредставляетпользователюприглашениеко входу в системус полями дляимени учетнойзаписи и пароля.

3. ПроцессWinLogonотправляетимя учетнойзаписи и зашифро­ванныйпароль локальнымсредствамбезопасности(LSA).Если учетнаязапись локальнадля этого компьютераWindows2000, LSAзапрашиваетдиспетчеручетных записейбезопасности(SAM)локальногокомпьютераWindows2000; в другом случаеLSAза­прашиваетконтроллердомена тогодомена, в которыйвходит ком­пьютер.

4. Еслипользовательпредставилдопустимыеимя пользователяи па­роль, LSAсоздает токендоступа, содержащийSIDучетной записипользователяи идентификаторыSIDдля групп, вкоторые входитпользователь.Токен доступатакже получаетLUID, который бу­детописан далеев этой главев разделе «Праваили разрешения».Токен доступазатем передаетсяобратно процессуWinLogon.

5. ПроцессWinLogonпередает токендоступа подсистемеWin32 вместе с запросомна созданиепроцесса входав систему дляпользователя.

6. Процессвхода в системуустанавливаетокружениепользователя, включая запускWindowsExplorerи отображениефона и значковрабочего стола.

4.3. Объектыи Разрешения

Windows2000 поддерживаетбезопасностьдля различныхтипов объек­тов, включая (но неограничиваясьими) каталоги, файлы, принтеры, процессы исетевые общиепапки. Каждыйобъект предоставляетфунк­ции, определяющиедействия, которыемогут бытьвыполнены дляэтого объекта, например: открыть, закрыть, читать, записывать, уда­лять, запускать, останавливать, печатать и т.д.

Информациябезопасностидля объектасодержитсяв дескрипторебез­опасности(securitydescriptor)объекта. Дескрипторбезопасностисо­стоит изчетырех частей: владелец, группа,DiscretionaryAccessControlList(список разграничительногоконтроля доступа,DASL)и SystemAcessControlList(системныйсписок контролядоступа, SACL).Win­dows2000 используетэти части дескрипторабезопасностив следую­щихцелях:

• владелец—эта часть содержитSIDучетной записипользователя-владельцаобъекта. Владелецобъекта всегдаможет изменитьна­стройкиDACL(разрешения)объекта;

• группа— эта частьиспользуетсяподсистемойPOSIXWindows2000. Файлы и каталогив операционныхсистемах UNIXмогут принад­лежатьгрупповойучетной записи, так же как иотдельнойучетной записипользователя.Эта часть содержитSIDгруппы этогообъек­та в целяхсовместимостис POSIX, а также дляидентификацииосновной группыдля учетныхзаписей пользователя;

• DiscretionaryAccessControlList— DACLсодержит списокучет­ных записейпользователяи учетных записейгрупп, обладающихразрешениемна доступ кслужбам объекта.В DACLсуществуетстолько записейконтроля доступа, сколько существуетучетных записейпользователейили групп, длякоторых доступк объекту былзадан специально;

• SystemAcessControlList— SACLтакже содержитзаписи управ­лениядоступом (АСЕ,accesscontrolentry), но эти записиАСЕ ис­пользуютсядля аудита, ане для разрешенияили запрещениядо­ступа кфункциям объекта.SACLсодержит столькозаписей АСЕ, сколько существуетучетных записейпользователейили групп, длякоторых специальнопроводитсяаудит.

Каждаязапись управлениядоступом в DACLили SACLсостоит изидентификаторабезопасности, сопровождаемогомаской доступа.Маскадоступа (accessmask)в DACLопределяетте функцииобъекта, длядоступа к которыму SIDесть разрешение.Специальныйтип за­писиконтроля доступа, называемыйзапрещающейзаписью АСЕ(denyАСЕ), указывает, что весь доступк объекту будетзапрещен дляучет­ной записи, определеннойидентификаторомSID.ЗапрещающаяАСЕ перекрываетвсе остальныезаписи АСЕ.РазрешениеNoAccess(нет доступа)в Windows2000 реализованопри помощизапрещающейза­писи АСЕ.

Доступразрешен, еслитокен доступасодержит любойSID, совпадаю­щийс разрешениемв DACL.Например, еслиотдельнойучетной запи­сиразрешен доступна чтение иучетная записьпользователяявляет­ся членомгрупповойучетной записи, которой разрешендоступ на запись, тогда токендоступа дляэтого вошедшегов системупользова­телябудет содержатьоба SID, и DACLразрешит доступк объекту и начтение, и назапись. Запрещающиезаписи управлениядоступом всеравно перекрываютсуммарноедействие всехостальныхразрешений.

Записиуправлениядоступом в SACLобразуютсятем же способом, что и записив DACL(они составляютсяиз SIDи маски доступа), но мас­ка доступав этом случаеопределяетте функцииобъекта, длякоторых будетпроводитьсяаудит у этойучетной записи.

Не укаждого объектаесть спискиDACLили SACL.Файловая систе­маFAT, например, незаписываетинформациюбезопасности, поэто­му уобъектов файлови каталогов, хранимых натоме FAT, нет спис­ковDACLи SACL.Когда DACLотсутствует, любая учетнаязапись пользователяобладает доступомко всем функциямобъекта. Этоне равнозначноситуации, когдасписок DACLобъекта пуст.В этом слу­чаени одна учетнаязапись не будетиметь доступак объекту. Когдау объекта отсутствуетSACL, аудит объектаневозможен.

Процессыне обращаютсянапрямую ктаким объектам, как файлы, ка­талогиили принтеры.Операционнаясистема Windows2000 (а имен­но еечасть Win32) обращаетсяк объектам отлица процессов.Основ­ная цельэтого — сделатьпрограммыпроще. Программане обязаназнать, какнепосредственноманипулироватькаждым типомобъекта, онапросто проситоб этом операционнуюсистему. Ещеодним важнымпреимуществом, особенно сточки зрениябезопасности, является то, что, посколькуоперационнаясистема выполняетвсе действиядля про­цессов, она можетпринудительноотслеживатьбезопасностьобъектов.

Когдапроцесс проситподсистемуWin32 выполнитьдействие надобъектом (например, прочитатьфайл), подсистемаWin32 сверяетсяс SecurityReferenceMonitor(монитор проверкибезопасности), чтобы удостовериться, что процессобладает разрешениемна осуществлениедействия надобъектом. SecurityReferenceMonitorсравниваеттокен доступапроцесса сосписком DACLобъектов, сверяякаждый SIDв токене доступас идентификаторамиSIDв списке DACLЕсли существу­етзапись управлениядоступом (АСЕ)с совпадающимSID, которая содержитмаску доступа, разрешающуюдействие, и нетАСЕ с совпа­дающимSID, содержащейзапрещающуюмаску для действиянад объектом, то SecurityReferenceMonitorразрешаетподсистемеWin32 выполнитьдействие.

SecurityReferenceMonitorтакже проверяет, осуществляетсяли аудит доступак объекту итребуется лизапись в журналсобытий SecurityLog(Безопасность)Windows2000. Аудит проверяетсяточно так же, как и проверкаразрешений,— путем сравнениякаждого SIDв токене досту­пас SIDкаждой записиуправлениядоступом. Приобнаружениисо­впадениямонитор проверяет, принадлежитли выполняемоедействие (илифункция) кперечисленнымв маске доступа.Если да и еслире­зультатпроверки безопасностипо списку SACLсовпадает спроводи­мымаудитом (произошелотказ в доступеи проводитсяаудит отказав доступе, илидоступ былуспешен и проводитсяаудит успешногодо­ступа, илипроизошли обаэтих события), то в этом случаесобытие аудитазаписываетсяв журнал событий.

Некоторыедействия применяютсяне к конкретномуобъекту, а кгруп­пе объектовили ко всейоперационнойсистеме. Завершениеработы с операционнойсистемой, например, повлияет навсе объектыв систе­ме.Пользовательдолжен обладатьправамипользователя(userrights)для осуществлениятаких действий.

СредстваLocalSecurityAuthorityвключают локальноуникальныйидентификатор(LUID)при созда­ниитокена доступа.LUIDописывает, какое из правпользователяиме­ет конкретнаяучетная запись.LocalSecurityAuthorityсоздают LUIDна основе информациио безопасностив базе данныхдиспетчерабез­опасностиучетных записей(для учетнойзаписи локальногокомпьюте­ра)или ActiveDirectory(для учетнойзаписи домена).LUIDявляется объединениемправ этой конкретнойучетной записипользователяи прав всехгрупп, в которыевходит этаучетная запись.

Праваимеют большийприоритет, чемразрешения(permissions).Вот почемуучетная записьадминистратораможет статьвладельцемфайла, чей владелецудалил всеразрешенияна доступ;Administrator(Админист­ратор)обладает правомTakeOwnershipofFilesorOtherObjects(сме­на владельцафайлов илидругих объектов).Операционнаясистема Win­dows2000 вначале проверяетправа пользователяи затем (еслинет правапользователя, специальноразрешающегодействие) сверяетзаписи АСЕ, хранимые вDACL, с идентификаторамиSIDв токене доступа.

Учетныезаписи пользователяобладают правомна чтение изапись дляобъекта, длякоторого ониявляются владельцем, даже в случаенали­чия у тогозапрещающейзаписи АСЕ.Учетная записьпользователяможет такжеизменять разрешениядля принадлежащегоей объекта.

    продолжение
--PAGE_BREAK--

5.Файловаясистема NTFS

Файловаясистема NTFS— главный бастионбезопасностиWindows2000. Безопасныйкомпьютер подуправлениемWindows2000 работает наплатформе NTFS, образующейоснову дляпостояннойбезопасности.

LSAдает гарантию, что выполняющиесяпрограммы немогут нару­шитьадресное пространствопамяти другдруга и что всеобращения кядру должнымобразом авторизованы.Но что можетпомешать про­граммезаменить программныефайлы LSAэквивалентнойслужбой, котораябудет работатьневерно? Ответомна этот вопросявляется NTFS, и этот примерподчеркивает, почему безопаснаяфайловая сис­тема— обязательноетребованиедля безопаснойоперационнойсисте­мы. Неимея возможностидоверять файловойсистеме, хранящейсис­темныефайлы, нельзядоверять системе, работа которойреализуетсяпосредствомисполненияэтих файлов.

Рассмотримслучай проникновениявируса на компьютерс Windows95. Пользовательвыполняетпрограмму, содержащуювирус. Вирусопре­деляет, какая программазапустилатекущую программу, и заражает ее, таким образомраспространяясебя далее наодин уровень.При следую­щемзапуске этойпрограммы вируссделает то жесамое, а такжезаразит каждуюпрограмму, порожденнуюэтой программой.Через несколькоциклов вирусраспространитсядо ключевыхпрограмм операционнойсистемы, такимобразом заражаякаждый выполняемыйв ней файл.Рассмотримтеперь случай, когда пользовательвыполняетзараженнуювирусом программув Windows2000. Эта программапытается записатьсвой вирусныйзаголовок вexplorer.exe, но блокируетсясредствамибез­опасностифайловой системыNTFS, потому что упользователянетразрешенийна запись вexplorer.exe.Благодаря NTFSэтот тип вирусовмоментальноостанавливаетсяWindows2000. При попаданиив систему некоторымвирусам удаетсявыжить в пользовательскомрежиме (на­пример, макровирусамWordили червямOutlook), но эти вирусывсе равно немогут заразитьсаму операционнуюсистему — еслитолько ви­русне был запущенс учетной записью, обладающейадминистративнымдоступом ккомпьютеру.

NTFSработает, сравниваятокен доступапользователясо спискомкон­троля доступа(ACL), связанным скаждым запрашиваемымфайлом, передтем, как разрешитьпользователюдоступ к этомуфайлу. Этотпростой механизмне дает несанкционированнымпользователямизме­нятьоперационнуюсистему илиеще что-нибудь, к чему у нихнет спе­циальногодоступа.

По умолчаниюWindows2000 находитсяв состоянии, предоставляющемполный доступгруппе «все»(everyone)для корня всехдисков, вследствиечего все разрешения, наследуемыесоздаваемы­митам файлами, также доступныдля всех. Дляполучениякакой-либореальной пользыот безопасностифайловой системыNTFSдля при­ложенийи хранимыхпользователямифайлов необходимоудалить разрешение, предоставляющееполный доступдля всех, и заменитьего разрешениямис соответствующимуровнем безопасностидля каждойпапки на компьютере.

Управлениеразрешениямифайловой системыNTFSосуществляетсяпросто и работаетаналогичнотому; как разрешенияустанавливалисьв предыдущихверсиях WindowsNT.

В Windows2000 наследованиеобрабатываетсяпо-другому, чемв Win­dowsNT.В WindowsNTунаследованныеразрешениябыли простотаки­ми же, каку родительскихобъектов, имогли бытьнемедленноизмене­ны. ВWindows2000, если объектнаследуетразрешенияот содержащейобъект папки, необходимо снять флажокAllowInheritablePermissions(Переноситьнаследуемыеот родительскогообъекта разрешенияна этот объект), для того чтобысоздать копиюнаследуемыхразрешенийи затем изменитьсуществующиеразрешения.Можно создаватьновые записиАСЕ, не перекрываяустановкубезопасности.

5.1. Шифрованнаяфайловая система

Шифрованнаяфайловая система(EncryptingFileSystem)— это драйверфайловой системы, обеспечивающийвозможностьзашифровыватьи расшифровыватьфайлы на лету.Использоватьслужбу оченьлегко: пользователиустанавливаютатрибут шифрованиядля файла иликата­лога. СлужбаEFSгенерируетсертификатшифрованияв фоновом про­цессеи используетего для шифрованиязаданных файлов.Когда эти файлызапрашиваютсядрайверомфайловой системыNTFS, служба EFSавтоматическирасшифровываетфайл для предоставленияего драйверу.

Шифрованиефайлов выглядиткак действительнозамечательнаявоз­можность, но текущая егореализацияв Windows2000 обладает таки­мидефектами, чтоEFSв большинствеслучаев бесполезна, за исклю­чением, может быть, портативныхкомпьютеров.Основная проблемаEFSв том, что онаработает толькодля отдельныхпользователей, что делает еепригоднойтолько дляклиентскихкомпь­ютеров.Сертификатышифрованиядля файловсоздаются наоснове личностипользователя, поэтому зашифрованныефайлы могутбыть использованытолько тойучетной записью, которая ихсоздавала.Сер­тификатышифрованияне могут бытьназначеныгрупповымобъектам, поэтомушифрованиене может защититьобщие файлы, хранимые насервере. Этаархитектурапотребуетобмена закрытымиключами посети, поэтомудля такогообмена долженбыть установлензашифрован­ныйканал.EFSне позволитсовместноеиспользованиезашифрованныхфайлов, потомучто она расшифровываетих перед тем, как предоставитьих по запросу.Это также непредусмотрено.Если бы сертификатыши­фрованияпринадлежалигруппе, зашифрованныйфайл мог быбыть предоставленпо сети клиентув своем зашифрованномсостоянии иклиентскийкомпьютер смогбы воспользоватьсясвоим участиемв группе, обладаясертификатомдля расшифровкифайла. Kerberosможет создаватьключи сеансадля шифрованиясертификатов, чтобы сохранитьих в безопасностиво время передачичленам группы.Общие файлымогут бытьдостаточнобезопасными, чтобы использоватьих через Интернетбез закрытоготуннеля.

Болеетого, потерясертификаташифрования— ахиллесовапята ши­фрования— не будет такойуж проблемой.До тех пор, покасертификатвсе еще существуету какого-либоиз членов группы, этот пользовательвсе еще будетобладать копиейсертификатадля расшифровкифайлов. Так, как она реализованасегодня, EFSвсегда создаетключ для агентавосстановления(по умолчаниюэто локальныйадминистратор), неза­висимоот того, хочетпользовательили нет, чтобыагент восстановле­ниямог расшифроватьфайл.

EFS(так же, какрепликацияфайлов) — ещеодин примерслуж­бы, котораябыла бы по-настоящемузамечательной, если бы Microsoftреализоваласе надлежащимобразом. В томвиде, в какомона существу­етсейчас, онасделана ровнонастолько, чтобы Microsoftмогла утверж­датьо наличии у неешифрованияфайловой системы.

Помимотого факта, чтоEFSработает толькодля отдельныхпользо­вателей, она обладаетрядом другихпроблем:

сертификаты шифрования по умолчанию хранятся в реестре ло­кального компьютера, где их можно восстановить и использовать для расшифровки файлов на компьютере. Для того чтобы EFS функционировала корректно как безопасная служба шифрования, сертификаты должны быть удалены с локального компьютера на физически безопасный сервер сертификатов или экспортированы на съемный носитель, который не оставляется вместе с компьюте­ром.

Единственныйспособ обеспечитьбезопасностьлокальныхсертифика­товEFS— это использоватьаутентификациюпри помощисмарт-картыили -воспользоватьсяSysKey, хэш-значения, используемогодля шифрованияло­кальнойбазы данныхучетных записейSAM, которая содержитсер­тификатрасшифровкиEFS, на гибкий дискили использоватьего в качествепароля во времяначальнойзагрузки — иэтот парольили гибкий дискдолжны бытьдоступны длявсех, кому требуетсяза­гружатькомпьютер;

операции перемещения путем перетаскивания мышью в шифро­ванную папку не приведут к автоматическому шифрованию фай­ла, потому что операции перемещения не изменяют атрибутов фай­ла. Операции «вырезать и вставить» изменяют, потому что вы явно удаляете старый файл и создаете новый.

зашифрованные файлы будут расшифрованы, если они будут пере­мещены на тома с отличной от NTFS файловой системой, не под­держивающей шифрование.

зашифрованные файлы не могут быть сделаны общими путем по­мещения в общую папку. Это ограничение предназначено для со­хранения файлов в зашифрованном виде, общие файлы отправля­ются по сети в простом текстовом формате и кто угодно может их расшифровать, имея в наличии сетевой анализатор.

многие программы (большинство программ MicrosoftOffice) во время редактирования файлов создают временные файлы либо в локальном, либо во временном каталоге. Шифрование для времен­ных файлов следует обычным правилам: если файл создается в пап­ке, у которой установлен флаг шифрования, временный файл будет зашифрован. В ином случае он не будет зашифрован и нарушит секретность шифрования

печать образует еще одно направление случайной расшифровки: когда печатается зашифрованный документ, файл расшифровы­вается исходным приложением и отправляется в виде простого тек­ста диспетчеру очереди печати. Если диспетчер печати сконфигу­рирован так, чтобы буферизовать документы (как в большинстве случаев), печатаемые данные будут записываться в файл, который может быть после удаления восстановлен для доступа к вашим зашифрованным данным.

Не рекомендуетсяиспользоватьEFSкроме как наоднопользователь­скихкомпьютерах, которые нельзяпо-другомуфизическизащитить. Еепростотаиспользованияявляется лишьвидимостьюбезопасности, а не настоящейбезопасностьюEFSимеет смыслприменять длякомпьютеров, подвер­женныхкражам, такихкак портативныекомпьютеры, которые скон­фигурированыс шифрованиемкаталога буферапечати, временныхпапок и каталогаMyDocuments(Мои документы).

6.СетеваябезопасностьWindows 2000 Advanced Server

СетеваябезопасностьWindows2000 основана нанесколькихосновных службах:

• Active Directory;

• Group Policy;

• Kerberos;

• ShareSecurity;

• IPSec.

Каждаяиз этих службработает вместес остальными, образуя единоецелое: IPSecопределяетсягрупповымиполитиками, которые хранят­сяв ActiveDirectoryи могут бытьсконфигурированыдля использова­нияKerberosдля автоматическогообмена закрытымиключами. ShareSecurityосновываетсяна идентификационныхданных пользователя, подтвержденныхKerberosна основехэшированныхпаролей, храни­мыхв ActiveDirectory.Управлениеполитикойбезопасностичерез ActiveDirectoryпозволяетадминистраторамсоздаватьполитики, ко­торыемогут бытьавтоматическиприменены ковсей организации.

ActiveDirectoryне являетсяслужбой безопасности, но практическивсе встроенныев Windows2000 механизмыбезопасностиполагаютсяна ActiveDirectoryкак на механизмхранения информациибезопасно­сти, такой как иерархиядоменов, доверительныеотношения, ключи криптографии, сертификаты, политики иосновные учетныезаписи бе­зопасности.

ВсемеханизмыбезопасностиWindows2000 интегрированыс ActiveDirectory.

ХотяActiveDirectoryне являетсяслужбой безопасности, ее можно сделатьбезопасной: контейнерыи объекты ActiveDirectoryимеют спискиконтроля доступа(ACL), так же как файлыNTFS.Разрешенияв ActiveDirectoryможно применятьво многом аналогичноNTFS.В отличие отразрешенийфайловой системыNTFS, можно устанавли­ватьразрешениядля полей внутриконкретныхобъектов так, чтобыразличныепользователигрупп безопасностибыли ответственныза части данныхобъекта.

6.1.АутентификацияKerberosи безопасностьдомена

АутентификацияKerberosбыла разработанаМассачусетскимтехно­логическиминститутом(MassachusettsInstituteofTechology,MIT)для реализациимежкомпьютернойдоверительнойсистемы, способ­нойпроверятьподлинностьпринципаловбезопасности(таких, какпользовательили компьютер)через открытуюнебезопаснуюсеть. Kerberosне зависит отаутентификации, осуществляемойучаствую­щимикомпьютерами, или сохранностиданных припередаче посети. По этойпричине Kerberosидеальна дляаутентификациичерез Интер­нетили в большихсетях.

Kerberosдействует какнадежная службааутентификациитретьей фирмы, используя общиесекретныеключи… В Windows2000 общий секретныйключ генерируетсяпри входе компьютерав домен. По­сколькуобе сторонысеанса Kerberosдоверяют KDC, они доверяютдруг другу. Напрактике этодоверие реализованокак безопасныйоб­мен зашифрованнымиключами, которыеподтверждаютучастникамвзаимодействияидентификационныеданные другойстороны.

АутентификацияKerberosработает следующимобразом.

1. Клиентзапрашиваетвозможный наборидентификационныхдан­ных дляданного серверау KDC, отправляязапрос в простомтек­стовомформате, содержащийимя клиента(идентификатор).

2. KDCищет секретныеключи, как клиента, так и серверав своей базеданных (ActiveDirectory)и создает билет(ticket), содержащийслучайный ключсеанса, текущеевремя KDC, заданное политикойвремя окончания, и, в зависимостиот параметров, любую другуюинформацию, хранимую в базеданных. В случаеWindows2000 в билете содержатсяидентификаторыSID.

3. Билетзашифровываетсяс использованиемсекретногоключа кли­ента.

4. Создаетсявторой билет, называемыйбилетом сеанса(sessionticket), содержащийключ сеансаи необязательныеданные аутентифика­ции, которые зашифровываютсяс использованиемсекретногоклю­ча сервера.

5. Соединенныебилеты передаютсяобратно клиенту.Серверу аутентификациинет необходимостиявным образомпро­верятьподлинностьклиента, потомучто толькообладающийпол­номочиямиклиент можетрасшифроватьбилет.

6. Послетого как клиентполучил в своераспоряжениедопустимыйбилет и ключсеанса длясервера, онинициируетвзаимодействиенепосредственнос сервером. Дляэтого клиентконструируетудо­стоверение(authenticator), состоящее изтекущего времени, имени клиента, по желанию —зависящую отприложенияконтрольнуюсумму и случайнымобразом сгенерированныйначальный номерпоследовательностии/или подключсеанса, используемыедля извле­ченияуникальногоидентификаторасеанса длятребуемойслужбы. Удостоверениядействуюттолько дляодной попыткии не могутприменятьсяповторно илииспользоватьсяв атаках воспроизведе­ния, потому что онизависят оттекущего времени.Удостоверениешифруется припомощи ключасеанса и передаетсявместе с биле­томсеанса серверу, у которогозапрашиваетсяслужба.

7. Когда серверполучает билетот клиента, онрасшифровываетбилет сеансапри помощиобщего секретногоключа сервера(если суще­ствуетболее одногоключа, нужныйключ указываетсяв части би­летав простой текстовойформе).

8. Затемсервер извлекаетиз билета ключсеанса и используетего для расшифровкиудостоверения.Способностьсервера расшифроватьбилет подтверждает, что он был зашифрованпри помощисекрет­ногоключа сервера, известноготолько KDCи самому серверу, та­ким образом, подлинностьклиента подтверждается.Удостоверениеиспользуетсядля гарантиитого, что взаимодействиенедавнее и неявляется атакойна основе повторногозапроса.

Билетымогут повторноиспользоватьсяв течение периода, определя­емогополитикойбезопасностидомена, но непревышающеговосьми часов.Клиенты кэшируютсвои билетысеанса вбезопасномместе, расположенномв оперативнойпамяти, и уничтожа­ютих по истечениюсрока действия.

Kerberosсокращаетпредоставлениебилетов, вовремя первогоконта­кта склиентом предоставляябилет сеансасамому себетак же, как иза­прашиваемомусерверу. КОСотвечает наэтот первоначальныйзапрос — сначалапредоставляябилет сеансадля последующихзапросов обилетах, называемыйTicket-GrantingTicket(билетна предоставлениебилетов, TGT), и затем — билетсеанса длязапрашиваемогосервера. TGTустра­няетпотребностьв дальнейшемпроводимомActiveDirectoryпоиске клиента, осуществляяпредварительнуюаутентификациюпоследую­щихзапросов обилетах точнотаким же способом, каким Kerberosосуществляетаутентификациювсех остальныхзапросов. Каки лю­бой билетсеанса, билетTGTдействителендо истечениясрока дей­ствия, который зависитот политикибезопасностидомена.

Kerberosтехническиделится на двеслужбы: службуTGT(единствен­нуюслужбу, котораядействительноосуществляетаутентификациюв ActiveDirectory)и службу предоставлениябилетов, выдающуюбиле­ты сеансовпо получениидопустимогоTGT.

6.1.2.Доверительныеотношения междудоменами

Kerberosработает черезграницы домена(домены в терминологииKerberosназываютсясферами(realm), эти терминыэквивалентны).

Имя домена, к которомупринадлежитпринципалбезопасности, являет­ся частьюимени принципалабезопасности.Членство водном деревеActiveDirectoryавтоматическисоздаст междоменныеключи Kerberosмежду родительскимдоменоми егодочернимидоменами.

Обмен междоменнымиключами регистрируетконтроллерыдомена одногодомена в качествепринципаловбезопасностив доверенномдомене. Этапростая концепциядает возможностьлюбому принципа­лубезопасностив домене получитьбилет сеансав чужом КОС.

1. Когда принципалбезопасностив одном доменехочет обратитьсяк принципалубезопасностив соседнемдомене (одиниз доменовро­дительский, другой дочерний), он отправляетзапрос о билетесеан­са своемулокальномуКОС.

2. КОСопределяет, что серверназначенияне находитсяв локаль­номдомене, и отвечаетклиенту, отправляяему билетнаправления(referralticket), который являетсябилетом сеанса, зашифрованныйпри помощимеждоменногоключа.

3. Клиентиспользуетбилет направлениядля запросабилета сеансанепосредственноу чужого KDC.

4. ЧужойKDCрасшифровываетбилет направления, потому чтооб­ладаетмеждоменнымключом, подтверждающим, что доверенныйконтроллердомена доверяетклиенту (иначеон не предоставилбы ключ направления).

5. ЧужойKDCпредоставляетбилет сеанса, допустимыйдля чужогосервера назначения.

Для болееудаленныхдоменов этотпроцесс простоповторяется.Для доступак принципалубезопасностив домене, расположенномна рас­стояниидвух узлов виерархии доменовActiveDirectory, клиент за­прашиваетбилет сеансадля сервераназначенияв своем KDC, который в ответпересылаетему билет направленияк следующемудомену в пути.Затем клиентзапрашиваетбилет сеанса, используятолько чтополученныйбилет назначения.Этот серверпросто ответитбилетом назначения, допустимымдля следующегосервера в цепочке.Этот про­цессбудет продолжатьсядо тех пор, покане будет достигнутлокаль­ныйдомен для принципалабезопасностиназначения.В этот моментключ сеанса(технически— TGTи ключ сеанса)предоставляетсязапра­шивающемуклиенту, которыйзатем сможетпройти аутентификациюнепосредственноу принципалабезопасностиназначения.

Последняяважная концепцияв аутентификацииKerberos— делегиро­ваниеаутентификации.Делегированиеаутентификации(delegationofauthentication)— это механизм, посредствомкоторого принципалбезопасностидает возможностьдругому принципалубезопасности, с которым унего установленсеанс, запрашиватьаутенти­фикациюот своего имениу третьегопринципалабезопасности.Этот механизмважен в многозвенныхприложениях, таких как web-узелс поддержкойбазы данных.При помощиделегированияаутентифика­цииклиент—web-браузерможет пройтиаутентификациюу web-cepвераи затем предоставитьweb-серверуспециальныйбилет TGT, ко­торый серверсможет использоватьдля запросабилетов сеансовот своего имени,web-серверсможет затемиспользоватьпередаваемыеweb-клиентомидентификационныеданные дляаутентификациина сервере базданных.

    продолжение
--PAGE_BREAK--

6.1.3. Групповыеполитики

Групповаяполитика (GroupPolicy)— это основноймеханизм Win­dows2000 при управленииконфигурациейклиентскихрабочих стан­цийдля контроляза безопасностьюи для администрирования.Полити­ки(policy)— это, в общемслучае, простонаборы измененийв установкахкомпьютерапо умолчанию.Политики обычноорганизуютсятак, чтобы отдельныеполитики содержалиизменения, реализующиеконкретнуюцель — например, отключениеили включениешифрованияфайловой системыили контрольза программами, которые разрешенозапускатьпользователю.

Групповыеполитики (GroupPolicies)применяютсяк элементамкон­тейнераActiveDirectory(таким, как доменили OrganizationalUnit(Подразделение)).Группы безопасностимогут бытьиспользованыдля фильтрациигрупповыхполитик, нополитики нельзяприменять кгруппам безопасности.Групповаяполитика Windows2000 не являет­сятолько механизмомбезопасности— ее основноепредназначениесостоит в управленииизменениямии конфигурацией,— но она позво­ляетадминистраторамсоздаватьдополнительныесистемы безопасно­сти, ограничиваясвободу действийпользователей.Групповыеполитики можноприменять дляуправленияследующимиэлементамиполитик компьютера(computerpolicy):

настройки реестра, связанные с конфигурацией и управлением без­опасности;

установка программного обеспечения;

сценарии, выполняющиеся при загрузке-завершении работы и вхо­де-выходе из системы;

запуск служб;

разрешения реестра;

разрешения NTFS;

политики открытого ключа;

политики IPSec;

настройки системы, сети и компонентов Windows.

Групповыеполитики можноприменять дляуправленияследующимиэлементамиполитикпользователя(userpolicy):

установка программного обеспечения;

настройки InternetExplorer;

сценарии входа-выхода в систему;

настройки безопасности;

Remote Installation Service (службаудаленнойустановки);

перенаправление папок;

компоненты Windows;

настройки стартового меню, панели задач, рабочего стола и ControlPanel (Панель управления);

сетевые настройки;

настройки системы.

Объектыгрупповойполитики (GroupPolicyObjects)по существуяв­ляютсянастраиваемымифайлами реестра(и файлами поддержки, та­кими, какпакеты .msiи сценарии), определяемыминастройкамипо­литики, которые загружаютсяи применяютсяк входящим вдомен клиентскимкомпьютерампри начальнойзагрузке компьютера(кон­фигурациякомпьютера)и при входепользователяв систему(конфи­гурацияпользователя).Объекты групповойполитики и всефайлы поддержки, требуемые длягрупповойполитики, хранятсяна контрол­лерахдомена в общейпапке SysVol.К одному компьютерумогут при­менятьсянесколькогрупповыхполитик, приэтом каждаяполитика будетперезаписыватьнастройкипредыдущейполитики всоответ­ствиисо сценарием«действуетпоследняяпримененная»— если толь­коопределеннаяполитика несконфигурированатак, чтобы еенельзя былоперезаписать.

Каждыйобъект групповойполитики состоитиз двух частей: конфи­гурациикомпьютераи конфигурациипользователя.Можно сконфи­гурироватьнастройки ипользователя, и компьютерав одном объектегрупповойполитики, а вокне свойствполитики можноотключить частьобъекта, относящуюсяк пользователюили компьютеру.

Политикикомпьютераприменяютсяво время начальнойстадии рабо­тысистемы передвходом пользователяв систему (и вовремя периоди­ческихвосстановлений).Политики компьютерарегулируютопераци­оннуюсистему, приложения(включая WindowsExplorer)и сценарии, выполняющиесяпри загрузке-завершенииработы. В случаеконфликтаполитики компьютераобычно имеютпре­имуществанад политикамипользователя.

Политикипользователяприменяютсяпосле того, какпользовательвошел в систему, но перед тем, как ему будетразрешеноработать накомпьютере, а также во времяцикла периодическихобновлений.По­литикипользователярегулируютповедениеоперационнойсистемы, настройкирабочего стола, настройкиприложений, перенаправлениепапок и пользовательскиесценарии входа-выходав систему.

Групповыеполитики называютсягрупповымиполитикамипотому, что ониприменяютсяк группампользователей, а именно к членамконтейнеровActiveDirectory, таких как доменыили контейнерыOU.Групповыеполитики иерархичныпо своей природе: многие политикимогутбыть примененык одному компьютеруили пользователю, они применяютсяв порядке иерархии.Кроме того, последующиеполитики могутперекрытьнастройкипредыдущихполитик. Этоозначает, чтоотдельныеэлементы политикиможно детализироватьпри переходеот применяемыхк большим группам, таким как домены, политик широкогодействия, кузконаправленнымполитикам, применяемымк меньшим группам, таким как контейнерыOU.

Групповыеполитикиконфигурируютсяна следующихуровнях в сле­дующемпорядке.

Локальныйкомпьютер.Групповаяполитика применяетсяпервой, поэтомуона может бытьперекрытаполитикойдомена. У каждогокомпьютерасуществуетодна применяемаяк нему локальнаягруп­поваяполитика. Нелокальныегрупповыеполитики загружаютсяиз ActiveDirectoryв зависимостиот месторасположенияпользовате­ляи компьютерав ActiveDirectory.

Офис.Эти групповыеполитики уникальнытем, что ониуправля­ютсяиз оснасткиActiveDirectorySitesandServices(Сайты и служ­бы).Политики офисовприменяютсяк офисам, поэтомуих следуетприменять длявопросов, связанныхс физическимрасположениемпользователейи компьютеров, а не с участиемв безопасностидомена.

Домен.Групповыеполитики применяютсяко всем пользователями компьютерамв домене, и именноздесь следуетреализовыватьглобальныеполитики организации.

КонтейнерOU(OrganizationalUnit).Групповыеполитики применяютсяк входящим вних пользователями компьютерам.Групповые политики применяютсясверху вниз(родитель, затемпотомок) иерархииOU.

Группабезопасности.Группыбезопасностифункционируютпо-другому, чемнастоящиеконтейнерыдоменов. В этомслучае неопределяютсягрупповыеполитики, применяемыек группе безопасности, а фильтруются(разрешаютсяили запрещаются)применяемыек пользователюгрупповыеполитики наоснове вхожденияпользо­вателяв группы безопасности.

Групповыеполитики применяютсятолько целиком, нельзя указать, чтобы применяласьтолько частьполитики.

Однагрупповаяполитика можетбыть примененаболее чем кодному контейнерув ActiveDirectory, потому чтогрупповыеполитики нехра­нятся вActiveDirectoryместе их применения.Хранится толькоссылка на объектгрупповойполитики, самиобъекты насамом делехранятся вреплицируемойобщей папкеSysVolна контроллерахдомена в домене.

Групповаяполитика доменауправляетсячерез оснасткуActiveDi­rectorySitesandServicesдля групповыхполитик офисовили оснасткуActiveDirectoryUsersandComputers(Пользователии компьютеры)для всех остальныхнелокальныхгрупповыхполитик.

Однаполитика можетбыть примененак несколькимконтейнерамActiveDirectory, хотя нет необходимостиявно применятьполитику кдетямконтейнера, к которому ужепримененаполитика, потомучто политикабудет уже примененак принципалубезопасности.

6.4. Безопасностьобщих папок

Общиепапки (shares)— это каталогиили тома нарабочей станцииили сервере, к которым имеютдоступ другиекомпьютерыв сети. Доступк общим папкамможет быть либооткрытым, либоконтролироватьсяразрешениями.Общие папкииспользуютбезопасностьуровня общихпапок (share-levelsecurity), которая управляетразрешениямиобщих папок, но не конкретныхобъектов внутрипапки. Безопасностьуровня файловпреобладаетнад безопасностьюуровня общихпапок, но можетприменятьсятолько на томахNTFS.

Хотя припомощи общихпапок можноустановитьприемлемуюбез­опасностьв маленькойсети, техникабезопасностиобщих папокв дей­ствительностиплохо масштабируетсядля обеспечениябезопасностибольших сетейи окружений.

Основнаяпричина дляустановки сети— это совместноеиспользова­ниефайлов. Любойкаталог налюбой рабочейстанции илисервере в сетиможет бытьопределен какобщий каталог.Хотя общиепапки не обладаюттем же уровнембезопасности, как каталогиNTFSна выде­ленномсервере, Windows2000 предоставляетпростой наборвозмож­ностейбезопасностидля общих каталогов.

Доступк общим папкам.На сервереможет бытьсконфигуриро­ванонесколько общихпапок — томацеликом, каталогина более глу­бокихуровнях, — всеони видятсяпользователямкак единыйсписок подименем сервера.Пользователимогут получитьдоступ к папкес именем серверачерез значокMyNetworkPlaces(Мое сетевоеокружение) изатем открытьее, чтобы отобразитьсписок общихпапок.

Общиепапки по умолчанию.В SharedFolderManager(диспетчеробщих папок), несколько общихпапок с именами, заканчивающимисязнаком доллара: С$, ADMIN$и т. п. Это административныеобщие папки(administrativeshares)— общие папки, автоматическиконфигурируемыеWindows2000 и доступныетолько дляадминистраторови самой операционнойсистемы. Этиоб­щие папкииспользуютсядля удаленногоадминистрированияи вза­имодействиямежду системами.

Административныеобщие папкипредставляютопределенныйриск с точкизрения безопасности.Хакер, получившийдоступ к учетнойзаписи Administratorна одной рабочейстанции в рабочейгруппе, сможетполучить доступк системнымдискам другихрабочих станций, легко получаядоступ уровняадминистраторако всей рабочейгруппе.

Можно повыситьбезопасность, отключивавтоматическиеадминистративныеобщие папки, созданные длякорневых каталоговдисков жесткогодиска (С$, 0$ и т.д.).

Безопасностьуровня общихпапок аналогичнабезопасностифайловой системы, но далеко нетак разнообразна(или безопасна), потому чтозаписи управ­лениядоступом общихпапок могутприменятьсятолько к общейпап­ке как кединому целому.Безопасностьнельзя настроитьвнутри общейпапки.

У безопасностиуровня общихпапок есть односущественноепреиму­щество: она работаетс любым общимкаталогом, находится лион на томе NTFSили FAT.Безопасностьуровня общихпапок — единствен­ныйспособ обеспечитьбезопасностькаталогов FAT.Однако установ­ленныеразрешениядля общей папкивлияют толькона удаленныхпользователей.Пользователи, локально вошедшиев системукомпью­тера, имеют доступко всем папкамна томе FAT, независимоот того, общиеони или нет.Безопасностьуровня общихпапок такжене приме­нимак пользователям, вошедшим всистему локально, или клиентамTerminalServices(службы терминала).

Разрешенияобщих папок.Для общих папоквозможны следующиеразрешения, каждое из которыхможет бытьразрешено илизапрещено:

• Read(Чтение) — позволяетпользователямпросматриватьсо­держимоекаталога, открыватьи читать файлыи запускатьпро­граммы;

• Change(Изменение) —разрешает все, что и разрешениеRead(Чтение). Плюск этому пользователимогут создавать, удалять и изменятьфайлы;

• FullControl(Полный доступ)— разрешаетвсе, что и разрешенияRead(Чтение) и Change(Изменение).Плюс к этомупользователимогут изменятьразрешенияи менять владельцафайлов.

6.5. Шифрованиесетевого уровня

Виртуальныечастные сети(virtualprivatenetwork,VPN)это высокозатратныйспособ расширитьлокальную сетьчерез Интернетдо удаленныхсетей и удаленныхклиентскихкомпьютеров.Сети VPNиспользуютИнтернет дляпередачи трафикалокальной сетииз одной частнойсети в другую, инкапсулируятрафик локальнойсети в IP-па­кеты.Зашифрованныепакеты не могутбыть прочитаныпромежуточ­нымикомпьютерамиИнтернета имогут содержатьлюбой видвза­имодействийлокальной сети, включая доступк файлам и принтерам, электроннуюпочту локальнойсети, вызовыудаленныхпроцедур иклиент-серверныйдоступ к базамданных.

Виртуальныечастные сетимежду локальнымисетями можноуста­навливатьпри помощикомпьютеров-серверов, брандмауэровили маршрутизаторов.Доступ клиентовк VPNможет осуществлятьсяпри помощипрограммногообеспеченияVPNна клиентскихкомпьюте­рахили путем удаленноготелефонногоподключенияк поставщикамуслуг Интернета(ISP), поддерживающимпротокол VPN.При второмметоде, однако,ISPстановитсявашим партнеромв безопасностисети.

Однитолько системыVPNне обеспечиваютдостаточнойзащиты сетитакже потребуетсябрандмауэри другие службыбезопасностиИнтернета дляобеспечениябезопасностисети. Проблемыс безопасностьюв особенностисвойственныпротоколу РРТР

ИспользованиеИнтернета длясвязи локальныхсетей и предостав­ленияудаленнымкомпьютерамдоступа к локальнойсети влечетза собой проблемыбезопасности, производительности, надежностии управляемости.Клиенты и серверылокальной сетидолжны бытьзащищены отИнтернета припомощи трансляциисетевых адресов, осуществляемойбрандмауэром, и/или прокси-серверамитак, чтобы (видеале) злоумышленникив сети не моглидаже узнатьоб их существовании, что сильноснижает ихподверженностьиндивидуальныматакам. Длятого чтобызатруднитьхакерам возможностьзахвата закрытойинформациифирмы, большинствобрандмауэровконфигурируютсятак, чтобы непропускатьтипичные служебныепротоколылокальной сети, такие как SMB,NetBIOS,NetWareCoreProtocolили NFS.

SMBработает особеннохорошо в чистомвиде черезИнтернет. Имеявысокоскоростнойканал, можнопросто использоватьсовместноеиспользованиефайлов черезИнтернет безбрандмауэровили сконфигу­рироватьваш брандмауэрдля передачитрафика 8MB иKerberosили NetBIOSи разрешитьудаленныйдоступ к службамфайлов и печати.Это позволитхакерам предпринятьпопытку получитьдоступ к вашимданным, простопредоставивдопустимоеимя учетнойзаписи и парольили проведяатаку на протоколи воспользо­вавшисьего ошибкой.

6.5.1.ТехнологииVPN

Виртуальныечастные сети(VPN)решают проблемупрямого доступак серверамчерез Интернетпри помощиобъединенияследующихфун­даментальныхкомпонентовбезопасности:

• IP-инкапсуляция;

• защищеннаяаутентификация;

• шифрованиевложенныхданных.

ПротоколSecureSocketLayerосуществляетшифрованиевложенныхданных беззащищеннойаутентификацииудаленногопользователя,aKerberosосуществляетзащищеннуюаутентификациюбез шифрованиявложенныхданных.

IP-инкапсуляция.В идеале, компьюте­рыв каждой локальнойсети не должныничего подозреватьо том, что вовзаимодействиис компьютерамииз других локальныхсетей естьчто-то особенное.Компьютеры, не входящиев вашу виртуальнуюсеть, не должныиметь возможностьподслушиватьтрафик междулокаль­нымисетями иливставлять вкоммуникационныйпоток своисобствен­ныеданные.

IP-пакетможет содержатьлюбой вид информации: файлы программ, данные электронныхтаблиц, звуковыеданные или дажедругие IP-пакеты.Когда IP-пакетсодержит другойIP-пакет, это называетсяIP-инкапсуляцией(IPencapsulation),IPповерх IP(IPonIP)или IP/IP.Можноинкапсулироватьодин IP-пакетв другой несколькимиспосо­бами;Microsoftделает этодвумя различными, но связаннымиспосо­бами, определеннымив протоколахPoint-to-PointTunnelingProtocol(РРТР) и Layer2 TunnelingProtocol(L2TP).Microsoftтакже поддер­живаетIPSec, которому необязательноиспользоватьинкапсуляцию.

IP-инкапсуля­цияможет заставитьдве удаленныедруг от другасети выглядетьдля компьютеровсети соседними, отделеннымидруг от другатолько одниммаршрутизатором, хотя на самомделе они будутразделенымногими шлюзамии маршрутизаторамиИнтернета, которые могутдаже не ис­пользоватьодного адресногопространства, потому что обевнутренниесети применяюттрансляциюадресов.

Конечнаяточка туннеля, будь это маршрутизатор, устройствоVPN, или сервер, накотором работаетпротоколтуннелирования, извлечет внутреннийпакет, расшифруетего и затемотправит вложенныйпакет по егопути назначенияво внутреннейсети в соответствиисо своими правиламимаршрутизации.

Передачаданных в соединенныхпо протоколуРРТР локальныхсетях начинаетсяи заканчиваетсяточно так же, как это происходитв локаль­ныхсетях, соединенныхчерез маршрутизатор.IP-пакетам, однако, при­ходитсяпроходить болеедальний путь, поэтому в серединепроделы­ваетсябольшая работа.С точки зрениядвух клиентскихкомпь­ютеровв сети не имеетзначения, какимобразом пакетбыл полученодной IP-подсетьюот другой. Длявовлеченныхв соединениесетевых клиентскихкомпьютеровмаршрутизаторозначает тоже самое, чтои два RRAS-сервераи РРТР-соединение.

Защищеннаяаутентификация.Защищеннаяаутентификация(cryptographicauthentication)используетсядля безопасногоподтвержденияличности удаленногопользователя, для того чтобысистема смоглаопре­делитьсоответствующийэтому пользователюуровень безопасности.Сети VPNприменяютзащищеннуюаутентификациюдля того, чтобыопределить, может ли пользовательучаствоватьв зашифрованномтун­неле илинет, а такжемогут применятьее для обменасекретнымиили от­крытымиключами, используемымидля шифрованиявложенныхданных.

Существуетмного различныхвидов защищеннойаутентификациив двух общихкатегориях.

• Шифрованиес секретнымключом. Такженазываетсяшифрованиемс общим секретнымключом (sharedsecretencryption)или симмет­ричнымшифрованием(symmetricencryption), полагаетсяна секрет­ноезначение, известноеобеим сторонам.

• Шифрованиес открытымключом. Полагаетсяна обмен однона­правленнымиключами (unidirectionalkeys)- ключами, припомощи которыхможно толькозашифроватьданные. Оконечныесистемы туннелямогут обмениватьсяпарами открытыхключей дляобразованиядвунаправленногоканала, илиполучательпри передачес открытымключом можетзашифро­ватьобщий секретныйключ и переслатьего отправителюдля исполь­зованияв будущихкоммуникациях(потому чтошифрованиес се­кретнымключом быстрее, чем шифрованиес открытымключом).

Если хакерперехватитоткрытый ключ(или ключ длязашифровки), он сможет толькозашифроватьданные и передатьих получателю, но не сможетрасшифроватьсодержаниеперехваченныхданных.

Шифрованиевложенныхданных.Шифрованиевложенныхданных (datapayloadencryption)используетсядля сокрытиясодержанияинкапсу­лированныхданных пришифрованииинкапсулированныхIP-пакетови данных, ивнутренняяструктурачастных сетейсохраняетсяв секрете. Шифрованиевложенныхданных можетосуществлятьсяпри помощиодного изкриптографическихметодов обеспечениябезопасности, кото­рые различаютсяв зависимостиот вашего решенияVPN.

    продолжение
--PAGE_BREAK--

6.5.2.IPSec

IPSec(InternetProtocolSecurity)это системастандартовIETFдля без­опасныхIP-коммуникаций, полагающаясяна шифрованиедля обеспе­ченияподлинностии закрытостиIP-коммуникаций.IPSecобеспечи­ваетмеханизм, посредствомкоторого можнореализоватьследующее:

• проверятьподлинностьотдельныхIP-пакетови гарантировать, что они не былиизменены;

• шифроватьвложенныеданные отдельныхIP-пакетовмежду дву­мяоконечнымисистемами;

• инкапсулироватьTCPили UDPсокет междудвумя оконечнымисистемами(хостами) внутризащищенногоIP-канала(туннеля), уста­новленногомежду промежуточнымисистемами(маршрутизатора­ми)для обеспеченияфункционированиявиртуальнойчастной сети.

IPSecреализует этитри функциипри помощи двухнезависимыхме­ханизмов: протоколAuthenticationHeaders'(АН) дляаутентификациии протоколEncapsulationSecurityPayload(ESP)дляшифрованиячас­ти данныхIP-пакета.Эти два механизмамогут применятьсявместе или поотдельности.

МеханизмАН работает, вычисляя контрольнуюсумму всейинфор­мациизаголовкаTCP/IP и зашифровываяконтрольнуюсумму при помощисекретногоключа получателя.Получательрасшифровываетконтрольнуюсумму при помощисвоего секретногоключа и затемсве­ряет заголовокс расшифрованнойконтрольнойсуммой. Есливычис­леннаяконтрольнаясумма отличаетсяот контрольнойсуммы заголов­ка, то в этом случаелибо не удаласьрасшифровкаиз-за неправильногоключа, либозаголовок былизменен припередаче. Влюбом случаепакет отбрасывается.

IPSecможет действоватьв одном из двухрежимов: транспортномре­жиме (transportmode), который работаетв точности какобычный IP, за исключениемтого, что проводитсяаутентификациязаголовков(АН) и содержимоешифруется(ESP), или в туннельномрежиме (tunnelmode), в котором IP-пакетыцеликом инкапсулируютсявнутрь пакетовАН или ESPдля обеспечениябезопасноготуннеля. Транспорт­ныйрежим используетсядля обеспечениябезопасногоили аутентич­ноговзаимодействиячерез открытыеобласти IPмежду соединенны­мичерез Интернетхостами в любыхцелях, в то времякак туннельныйрежим используетсядля созданиябезопасныхканалов передачидан­ных междумаршрутизаторамиили другимиконечнымиточками сетив целях связываниядвух частныхсетей.

Туннельныйрежим.Приобычном маршрутизируемомсоединениихост передаетIP-пакетсвоему шлюзупо умолчанию, который продвигаетпакет до техпор, пока он недостигнет шлюзапо умолчаниюполучателя, который затемпередает егоконечномухосту. Все компьютерыв соеди­нениидолжны бытьв одном открытомадресномпространстве.

В IPповерх IP, или IP/IP, шлюз по умолчанию(или другоймаршру­тизаторпо пути следования)получает пакети замечает, чтоего марш­рутдля этого пакетазадает туннельIP/IP, поэтому онустанавливаетTCP/IP-соединениес удаленнымшлюзом. Припомощи этогосоеди­ненияшлюз передаетвесь IP-трафикхоста-инициаторавнутри этогосоединения, вместо тогочтобы продвигатьего.

IPSecреализует иIP/IP, и IPSec/IP.IP/IPобеспечиваетнезашифро­ванныйвиртуальныйтуннель междудвумя оконечнымисистемами aIPSec/IPприменяет ESPдля шифрованиявложенныхданных несуще­гоIP, таким образомзашифровываявесь инкапсулированныйIP-пакет

InternetKeyExchange.IPSecиспользуеткриптографиюоткрытого ключадля шифрованияданных междуоконечнымисистемами. Длятого чтобыустановитьIPSec-соединениес хостом-получателем, пере­дающийхост должензнать открытыйключ этогохоста. Техническиотправительможет простозапросить ухоста открытыйключ, но это еобеспечитаутентификации— любой хостможет запроситьключ иполучитьего. Таким образомработает SSL, подлинностькомпьютер; неимеет значения, и SSLполагаетсяна какой-либодругой протоколдля аутентификациипользователяпосле установкитуннеля.

IPSecиспользуетконцепциюSecurityAssociation(безопаснаяассоциа­ция,SA)для созданияименованныхкомбинацийключей и политики, используемыхдля защитыинформациидля определеннойфункции. Политикаможет указыватьопределенногопользователя,IP-адресхо­ста илисетевой адрес, аутентификациякоторых должнабыть прове­дена, или задаватьмаршрут, гдеможно было быполучить такуюин­формацию.

InternetKeyExchange(IKE)устраняетнеобходимостьвручную вводитьключи в системы.IKEиспользуетбезопасностьс секретнымключом дляподтверждениясвоих полномочийдля созданияIPSec-соединенияи для секретногообмена открытымиключами. ПротоколIKEтакже способенсогласовыватьсовместимыйнабор протоколовшифрованияс чужим хостом, так что администраторамне нужно знать, какие имен­нопротоколышифрованияподдерживаютсяна хосте другойстороны. Послеобмена открытымиключами исогласованияпротоколовшиф­рованиябезопасныеассоциацииавтоматическисоздаются наобоих хостахи может бытьустановленообычноеIPSec-взаимодействие.С использованиемIKEв каждый компьютер, которому требуетсявзаи­модействиечерез IPSec, должен бытьвведен толькоодин секретныйключ. Этот ключможет бытьиспользовандля созданиясоединенияIPSecс любым другимIPSec-хостом, обладающимэтим же секретнымключом

ВWindows2000 можносконфигурироватьполитикиIPSecдляиспользова­нияKerberosдляавтоматическогообменасекретнымиключамидляIKEЭтоустраняетпотребностьвручномвводеключейипозволяетреализоватьполностьюавтоматическоебезопасноешифрованиемеждучленамиоднойActiveDirectoryвсетяхWindows2000

ИнициаторIKEначинает IKE-запрос, отправляяудаленномухосту запросна соединениев виде простоготекста. Удаленныйхост гене­рируетслучайноечисло, сохраняетего копию иотправляеткопию об­ратноинициатору.Инициаторшифрует свойсекретный ключс использованиемслучайногочисла и отправляетего удаленномухосту. Удаленныйхост расшифровываетсекретный ключ, используя своесохраненноеслучайноечисло, и сравниваетзакрытый ключсо своим секретнымключом (илисписком ключей, называемомсвязкойключей (keyring)).Если секретныйключ не совпадаетни с одним ключомиз списка, удаленныйхост разорветсоединение.Если совпадет, уда­ленныйхост зашифруетсвой открытыйключ при помощисекретногоключа и отправитего обратноинициатору.Инициатор затемвосполь­зуетсяоткрытым ключомдля установкисеанса IPSecс удаленнымхо­стом.

/>/>/>/>

Инициирование процедуры обмена ключами (IКЕ)

/>

Случайный ключ

/>/>

Зашифрованный секретный ключ

/>

Шифрованный открытый ключ

/>

Рис.6.5.2.1.ПримерработыInternet Key Exchange.

РеализацияMicrosoftIPSecне завершенаполностью, потому чтостандарты IPSecвсе еще появляются.Практическимследствиемэтого являетсято, что реали­зацияIPSecв Windows2000 по умолчаниюнесовместимас реализаци­ямибольшинствапоставщиковбрандмауэров

6.5.3.L2TP

Layer2 TunnelingProtocolявляется расширениемпротоколаPoint-to-PointProtocol(протоколточка-точка, РРР) и позволяетразде­литьконечную точкуканала передачиданных и точкудоступа к сети.В традиционномРРР пользователь(обычно удаленныйпользователь)устанавливаетРРР-соединениес серверомудаленногодоступа. Этотсервер отвечаетна соединениеканальногоуровня (звонокчерез модем)и также работаеткак точка доступак сети, извлекаяданные, инкап­сулированныев РРР-сообщение, и передаваяих в сеть назначения.Инкапсулированныеданные могутбыть кадромAppleTalk,IP-пакетом,IPX-пакетом, пакетом NetBIOSили любым другимпакетом сетевогоуровня.

ВWindows2000 этаслужбаназываетсяRRAS.

L2TPотделяет ответына звонки имаршрутизируемыйдоступ по сетиПри работе попротоколу L2TPзвонящая сторонаможет дозвани­ватьсяк модемномупулу (или DSLAccessModule, или чему-либоеще) и эти устройствамогут простоинкапсулироватьполученныепакеты L2TPв пакеты FrameRelay,ATMили TCP/IP для дальнейшейпере­дачи серверуудаленногодоступа. Подостижениисервера удаленногодоступа содержимоепакетов L2TPизвлекаетсяи вложенныеданные передаютсяв локальнуюсеть.

L2TPпредназначендля того, чтобыдать возможностьпоставщикамуслуг Интернетаиспользоватьменее дорогостоящееоборудование, раз­деляя функциисервера удаленногодоступа нааппаратнуюфункцик (физическийприем данныхчерез соединение)и программнуюфункцию (получениеинкапсулированныхданных РР-Р), что может бытьреали­зованона разныхкомпьютерах.Это дает рядважных преимуществ:

• пользователимогут дозваниватьсядо локальногомодемного пулакоторый будетпередаватьL2TPнаходящемусяна большомрасстояниисерверу удаленногодоступа, такимобразом избегаязатрат на звонкина большоерасстояниепри удаленномдоступе с прямымдозвоном;

• вложенныеданные в L2TPмогут бытьзашифрованыпри помощиIPSecдля обеспеченияудаленногодоступа с защищеннойаутентификацией;

• многоканальныесеансы L2TPмогут физическиобрабатыватьсяразличнымиприемникамии корректносвязыватьсяс единствен­нымсервером удаленногодоступа. В нынешнейреализациимногоканальныхРРР-соединенийвсе каналыдолжны бытьсоединены одними тем же серверомудаленногодоступа.

L2TPможет использоватьIPSecдля шифрованиякадров РРР, такт образомпредоставляяудаленнымпользователямвозможностьбез опасногоРРР-сеанса.L2TPспециальноразрабатывалсядля предоставленияудаленномупользователювозможностейаутентификациииподключенияк удаленнымсетям. ПосколькуL2TPявляется расши­рениемРРР, любой протоколсетевого уровня(например, IPX,NetBEUIили AppleTalk)может бытьвстроен внутрьL2TP.В противоположностьэтому, оба протоколаРРТР и IPSecпредназначеныдля использованияв IP-сетяхи не работаютс другимипротоколами.ПрименениеРРР такжеобеспечиваетподдержку всехстандартныхпротоколоваутенти­фикациипользователя, включая CHAP,MS-CHAPи ЕАР.

L2TPиспользуетв качествесвоего транспортаUDP, а не TCP/IP, потомучто встроенныйпротокол РРРможет обеспечитьнеобходи­муюгарантию надежностидля потока L2TPработает черезпорт 1701 UDP.

6.5.4. РРТР

РРТРбыл первойпопыткой Microsoftпредоставитьбезопасныйуда­ленныйдоступ пользователямсети. По существу, РРТР создаетза­шифрованныйсеанс РРР междухостами TCP/IP. Вотличие отL2TP, РРТР действуеттолько поверхTCP/IP;L2TPможет работатьповерх любоготранспортапакетов, включаяFrameRelayи ATM.РРТР не используетIPSecдля шифрованияпакетов, вместоэтого он использу­етхэшированныйпароль пользователяWindows2000 для созданиязакрытого ключамежду клиентоми удаленнымсервером, который(в версии с128-битным шифрованием)задействуетслучайное числодля повышенияустойчивостишифрования.

7. Разработка программыопределяющейимя компьютераи

егоip-адрес.

Постановка задачи и определение основных

целейпрограммы.

Поставленазадача составитьпрограммукотораямогла быполучать имя компьютера(рабочей станции), определятьего ip-адресв сети и выводитьэти данные наэкран. Программадолжна работатьв среде Win32, использоватьминимум ресурсов, быть достаточнокомпактнойи написаннойна языке высшегоуровня.

Принцип работы программы.

Для написанияпрограммы былиспользованязык программированиямакро Ассемблер(MASM).

Использовалисьследующиебиблиотеки:wsock32.lib,user32.lib,kernel32.lib,gdi32.lib.

При запускепрограммы (exeфайла)она обращаетсячерез АР-функциик динамическимбиблиотекамWindowsи получает изних необходимыеданные, далеечерез АР-функциивыводит полученныеданные (имя иip-адресрабочей станции)на экран встандартном для Windowsокне, окнофиксированногоразмера.

Программаскомпилированас включениемmakefile(файла сборки). makefileсчитает чтов директорияmasm32находится натом же накопителеи – в стандартнойinstalationпозиции. Также имеется файлиспользуемыхпрограммойресурсов.

/>

Рис.7.2.1.Внешний видокна программы

Выводы

Безопасность— это комплексмер, принимаемыхдля предотвращенияпотери илираскрытияинформациив сети. Посколькуневозможноабсолютноустранитьвероятностьпотери в пригодныхк работе систе­мах, определеннаястепень рисканеизбежна, ибезопасностьси­стемы должнаосновыватьсяна фундаментепредоставлениядоступа тольконадежным принципаламбезопасности(пользователямили компьютерам).

Для управлениябезопасностьюлюбая системадолжна:

• контролироватьдоступ;

• идентифицироватьпользователей;

• ограничиватьили разрешатьдоступ;

• записыватьдеятельностьпользователей;

• осуществлятьзакрытоевзаимодействиемежду системами;

• минимизироватьриск неправильнойконфигурации.

Шифрование, процесс сокрытиясообщения припомощи математиче­скогоалгоритма(шифра), и секретноезначение (ключ), известноетолько легитимнымсторонам, образуютоснову всейсовременнойкомпьютернойбезопасности.Шифрованиеможет бытьиспользова­нодля подтвержденияидентификационныхданных пользователяили компьютера, для проверкидопустимостиданных или длясокрытия со­держимогоданных прихранении илив коммуникационномпотоке.

БезопасностьWindows2000 основываетсяна аутентификациипользователей.Входя в системуWindows2000, пользователиподтверждаютсвою личностьдля того, чтобыполучить доступк файлам, программами общим даннымна серверах.Windows2000 используетпроникаю­щуюмодель безопасности, в которойидентификационныеданные пользователяпроверяютсяпри всех действиях, выполняемыхпользо­вателемна компьютере, вместо тогочтобы предоставлятьширокий доступк компьютерупосле того, какпроизошелуспешный входв систему.

Для тогочтобы операционнаясистема быланадежной, онадолжна бытьспособнойгарантировать, что не подвергаласьнесанкциониро­ваннымизменениями что информацияможет хранитьсяв безопасно­стиот пользователей.Windows2000 используетразрешенияфайловойсистемыNTFSдля управлениядоступом кфайлам, включаяфайлы, обеспечивающиезагрузку Windows2000. Разрешениямогут бытьпре­доставленыпользователями группампользователейдля каждойфунк­ции файловойсистемы. Файлытакже могутбыть зашифрованына диске длягарантии того, что к ним небудет получендоступ, дажекогда компьютервыключен.

СетеваябезопасностьWindows2000 управляетсяпри помощиActiveDirectory, используемойв качестверепозитарияхэшированныхпаро­лей Kerberos, групповыхполитик и политикIPSec.ActiveDirectoryопределяеттакже взаимоотношениямежду принципаламибезопас­ности.

Windows2000 используетKerberosдля проверкиидентификационныхданных пользователяпо сети. Kerberosявляется надежнойсистемой безопасноститретьей фирмы.Поскольку обеконечные точкиво вза­имодействиидоверяют идоверяемысервером Kerberos, они доверяютдруг другу.Серверы Kerberosмогут доверятьдругим серверамKerberos, поэтому могутбыть созданытранзитивныедоверительныеотношения, дающие возможностьконечным точкамиз разделенныхбольшим рас­стояниемсетей устанавливатьсеансы взаимодействияс проверкойподлинности.Kerberosинтегрированс ActiveDirectory(все контрол­лерыдомена являютсяцентрами KerberosKeyDistributionCenter(центрамираспределенияключей Kerberos)), и вхождениев одно дере­водомена автоматическисоздает транзитивныедвусторонниедовери­тельныеотношения.

Групповыеполитики применяютсядля установкитребованийбезопас­ностии конфигурациикомпьютерови учетных записейпользователейв домене, офисеили контейнереOU.Можно применятьгрупповыеполитики дляуправленияпрактическивсеми элементамибезопасно­стикомпьютерови пользователей.Групповыеполитики управляютсяиз оснасткиActiveDirectoryUsersandComputers(Пользователии ком­пьютеры)или через оснасткуActiveDirectorySitesandServices(Сайты И службы).

IPSecявляется стандартомИнтернета дляобеспеченияаутентично­стиIP-пакетови для шифрованияданных, вложенныхв IP-пакеты.IPSecработает сомногими различнымиалгоритмамибезопасностии может работатьв обычномтранспортномрежиме илитуннельномрежиме дляэмуляции закрытогоканала в открытойсети, такой какИнтернет.

Безопасностьв эру Интернетаозначает активнуюблокировкусеансов отнеизвестныхкомпьютеров, авторизациюпользователейна основесертификатовпубличныхключей шифрования, аудита использованияфайлов и каталогов, шифрованиепередачи данныхи предотвращениенепреднамереннойактивизациивирусов и троянскихконей легитимнымипользователями.

Вынесяуроки из плохоподготовленнойWindowsNT4,Windows2000 предоставляетсложный наборсредств аутентификациипользовате­лей, шифрованияданных, обеспечениябезопасныхсоединений, бло­кировкинесанкционированногодоступа и целостногоуправлениябезопасностью.При помощинабора службпо умолчаниюWindows2000 можно сделатьболее безопасной, чем любую другуюоперационнуюсистему длямассового рынка— в том числевсе версии UNIXили Linux,— и ею гораздопроще управлятьи использоватьв безопасномсостоянии.

Windows2000 не может, темне менее, предусмотретьвсе, потому чтоMicrosoftи поставщикипрограммногообеспечениятретьих фирмпока еще воглаву угластавят простотуиспользования, а не безопасностьв потребительскихпродуктах, таких как InternetExplorer,Outlookи Office.Во всех этихпрограммахсуществуютсерьезныеизъяны в без­опасностииз-за их встроенныхсценарныхпроцессоров, требующих отадминистраторовсетей неустаннойбдительности.Windows2000 так­же можетпомочь в исправленииэтих проблем, но пока Microsoftв сво­их продуктахдля конечныхпользователейне станет уделятьосновное вниманиебезопасности, единственнымспособомпредотвратитьпро­блемыбезопасностив вашей сети, вызванные этимипрограммами,—это вообщеих не использовать.

Списоклитературы:

В. Олифер Н. Олифер. Сетевые операционные системы – С. Петербург.: Питер., — 2003.

Марк Джозеф Эдвард, Дэвид Лебланк. Где NT хранит пароли. — Журнал «Windows 2000 Magazine», -02/1999

Мэтью Штребе. Windows 2000: проблемы и решения. Специальный справочник – С.Петербург.: Питер., -2002.

Андреев А. Г. и др. Microsoft Windows 2000: Server и Professional. Русские версии. – BHV, -2001.

Грег Тодд. Windows 2000 Datacenter Server //по материалам сайта http: www.citforum.ru

Криста Андерсон. Администрирование дисков в Windows 2000.-Журнал «Windows 2000 Magazine», -03/2000 //по материалам сайта http: www.citforum.ru

Джеффри Р. Шапиро. Windows 2000 Server. Библия пользователя – Вильямс, — 2001.

Гарри М. Брелсфорд. Секреты Windows 2000 Server – Вильямс, -2000.

Гусева. Сети и межсетевые коммуникации. Windows 2000 — Диалог Мифи, — 2002.

ПриложениеА

Исходныйтекст программы

.386

.modelflat, stdcall

optioncasemap :none

include/masm32/include/windows.inc

include/masm32/include/user32.inc

include/masm32/include/kernel32.inc

include/masm32/include/wsock32.inc

include/masm32/include/gdi32.inc

includelib/masm32/lib/wsock32.lib

includelib/masm32/lib/user32.lib

includelib/masm32/lib/kernel32.lib

includelib/masm32/lib/gdi32.lib

WndProcPROTO :DWORD,:DWORD,:DWORD,:DWORD

.data

dlgname db «WINSOCK»,0

szTitle db «Ip Dialog»,0

wsaError db «Error initializing winsock!»,13,10

szName db «Computer Name: %s»,0

szFont db «MS Sans Serif»,0

.data?

wsaWSADATA >

hStatic dd ?

hFont dd ?

hInstance dd ?

buffer db 24 dup (?)

buffer2 db 128 dup (?)

.code

start:

invokeGetModuleHandle, NULL

movhInstance, eax

invokeWSAStartup,101h,addr wsa

.ifeax == NULL

invokeDialogBoxParam,hInstance,ADDR dlgname,0,ADDR WndProc,0

invokeExitProcess,0

.endif

invokeMessageBox,NULL,offset wsaError,offset szTitle,MB_OK + MB_ICONSTOP

invoke ExitProcess,1

WndProcproc hWin:DWORD,uMsg:DWORD,wParam:DWORD,lParam:DWORD

.ifuMsg == WM_INITDIALOG

invokeLoadIcon,hInstance,101

invokeSendMessage,hWin,WM_SETICON,TRUE,eax

invokeGetDlgItem,hWin,2000

movhStatic,eax

invokegethostname,offset buffer,sizeof buffer

invokewsprintf,addr buffer2,addr szName,addr buffer

invoke SetDlgItemText,hWin,3000,addr buffer2

invokegethostbyname,addr buffer

moveax,[eax+12]

moveax,[eax]

moveax,[eax]

invoke inet_ntoa,eax

invoke SetDlgItemText,hWin,2000,eax

invoke WSACleanup

xor eax,eax

ret

.elseifuMsg == WM_CTLCOLORSTATIC

moveax,lParam

.ifeax == hStatic

invokeCreateFont,16,16,0,0,400,0,0,0,OEM_CHARSET,\

OUT_TT_PRECIS,CLIP_DEFAULT_PRECIS,\

DEFAULT_QUALITY,DEFAULT_PITCH or FF_SWISS,\

ADDR szFont

movhFont,eax

invokeSelectObject, wParam, hFont

invokeGetSysColor, COLOR_MENU

invokeSetBkColor, wParam, eax

invokeSetTextColor,wParam,Blue

invokeGetStockObject, HOLLOW_BRUSH

ret

.endif

.elseifuMsg == WM_CLOSE

invokeDeleteObject,hFont

invokeEndDialog,hWin,0

xoreax,eax

ret

.endif

xoreax,eax

ret

WndProcendp

end start

ПриложениеБ

Файл сборки

makefile

NAME=ip

$(NAME).exe:$(NAME).obj $(NAME).res

\masm32\bin\Link/SUBSYSTEM:WINDOWS /LIBPATH:\masm32\lib $(NAME).obj $(NAME).res

$(NAME).res:$(NAME).rc

\masm32\bin\rc$(NAME).rc

$(NAME).obj:$(NAME).asm

\masm32\bin\ml/c /coff /Cp $(NAME).asm

ПриложениеВ

Файл используемыхресурсов

ip.rs

#include"\masm32\include\resource.h"

WINSOCKDIALOG DISCARDABLE 0, 0, 135, 25

STYLEWS_POPUP | WS_CAPTION | WS_SYSMENU

CAPTION«Ip Dialog»

FONT8, «MS Sans Serif»

BEGIN

GROUPBOX "&Main",3000,0,0,135,25

CTEXT «Static»,2000,4,9,127,12,SS_CENTERIMAGE |SS_SUNKEN

END

101 ICON DISCARDABLE «ico101.ico»