| Аналіз системи безпеки Microsoft Windows 2000 Advanced Server і стратегій її використання[ виправити ] текст може містити помилки, будь ласка перевіряйте перш ніж використовувати.
скачати
Тема курсового проекту: «» Основні розділи курсового проекту: Мережеві операційні системи. Філософія та архітектура Microsoft Windows 2000 з точки зору безпеки. Розробка програми визначальною мережеве ім'я та ip-адреса комп'ютера (робочої станції).
Рекомендована література: В. Оліфер Н. Оліфер. Мережеві операційні системи - С. Петербург.: Пітер., - 2003.
Метью Штребе. Windows 2000: проблеми та рішення. Спеціальний довідник - С. Петербург.: Пітер., -2002.
Кріста Андерсон. Адміністрування дисків у Windows 2000.-Журнал "Windows 2000 Magazine", -03/2000 / / за матеріалами сайту http:www.citforum.ru
Марк Джозеф Едвард, Девід Лебланк. Де NT зберігає паролі. - Журнал "Windows 2000 Magazine", -02/1999 / / за матеріалами сайту http:www.citforum.ru
Дата видачі завдання | «____»_____________ 2004 | Керівник курсового проекту |
|
Вступ При створенні системи безпеки нової ОС Windows 2000 Advanced Server розробники фірми Microsoft постаралися врахувати як існуючий досвід використання системи безпеки Windows NT 4.0, так і реалізувати нові набори механізмів і протоколів безпечної роботи з інформацією. Windows NT 4.0 обрана не випадково: вона позиціонується як ОС для підприємств, володіє вбудованими можливостями розмежування доступу до ресурсів і за 6 років експлуатації добре зарекомендувала свої існуючі і потенційні можливості безпеки. Але якщо заглянути в Windows 2000 Advanced Server, то, очевидно, що, незважаючи на велику кількість механізмів безпеки, внесених в нову ОС з Windows NT 4.0, всі вони зазнали істотних змін у бік збільшення зручності, надійності і функціональності. Незважаючи на те що, судячи по призначеному для користувача інтерфейсу, Windows 2000 Advanced Server більше схожа на Windows 98, насправді вона є наступником Windows NT і навіть називалася Windows NT 5 на першому етапі роботи над бета-версією. Хоча 2000 і базується на Windows NT, операційна система була кардинально удосконалено і оновлена, був також повністю переглянутий інтерфейс адміністрування. NT 4 відрізнялася від NT 3.51 головним чином концепцією користувальницького інтерфейсу у вигляді робочого столу, більшість засобів адміністрування залишилися тими ж. У Windows 2000 Advanced Server змінився кожен інструмент адміністрування. Всі кошти адміністрування були уніфіковані шляхом перетворення в «оснащення» (snap-in) псевдоіерархіческого засоби управління Microsoft Management Console (консоль керування Microsoft, MMC). Система Windows 2000 Advanced Server компанії Microsoft забезпечує можливість безпечного доступу до ресурсів системи. Якщо для вас, найважливішим ресурсом, що підлягає захисту, є файли, можна налаштувати систему так, щоб мати можливість контролювати те, як інші користувачі читають, записують, створюють і змінюють файли і папки на вашому комп'ютері. Це можливо тільки при використанні системи NTFS. Система була створена для Windows NT, попередника Windows 2000 Advanced Server, і є однією з трьох систем, які можна використовувати на жорсткому диску комп'ютера. 1. Структура мережевої операційної системи Мережева операційна система становить основу будь-якої обчислювальної мережі. Кожен комп'ютер в мережі значною мірою автономний, тому під мережевою операційною системою в широкому сенсі розуміється сукупність операційних систем окремих комп'ютерів, які взаємодіють з метою обміну повідомленнями і поділу ресурсів за єдиними правилами - протоколами. У вузькому сенсі мережева ОС - це операційна система окремого комп'ютера, що забезпечує йому можливість працювати в мережі. Рис. 1.1. Структура мережевої ОС У мережній операційній системі окремої машини можна виділити кілька частин (рисунок 1.1): Засоби управління локальними ресурсами комп'ютера: функції розподілу оперативної пам'яті між процесами, планування та диспетчеризації процесів, управління процесорами в мультипроцесорних машинах, управління периферійними пристроями та інші функції управління ресурсами локальних ОС. Засоби надання власних ресурсів та послуг у спільне користування - серверна частина ОС (сервер). Ці кошти забезпечують, наприклад, блокування файлів і записів, що необхідно для їх спільного використання; ведення довідників імен мережевих ресурсів; обробку запитів віддаленого доступу до власної файлової системи і бази даних; управління чергами запитів віддалених користувачів до своїх периферійних пристроїв. Засоби запиту доступу до віддалених ресурсів і послуг і їх використання - клієнтська частина ОС (редиректор). Ця частина виконує розпізнавання і перенаправлення в мережу запитів до віддалених ресурсів від додатків і користувачів, при цьому запит поступає від програми в локальній формі, а передається в мережу в іншій формі, що відповідає вимогам сервера. Клієнтська частина також здійснює прийом відповідей від серверів і перетворення їх у локальний формат, так що для програми виконання локальних і віддалених запитів невиразно. Комунікаційні засоби ОС, за допомогою яких відбувається обмін повідомленнями в мережі. Ця частина забезпечує адресацію і буферизацію повідомлень, вибір маршруту передачі повідомлення по мережі, надійність передачі і т.п., тобто є засобом транспортування повідомлень.
У залежності від функцій, покладених на конкретний комп'ютер, в його операційній системі може бути відсутнім або клієнтська, або серверна частини. Рис. 1.2. Взаємодія компонентів операційної системи при взаємодії комп'ютерів На малюнку 1.2 показано взаємодію мережевих компонентів. Тут комп'ютер 1 виконує роль "чистого" клієнта, а комп'ютер 2 - роль "чистого" сервера, відповідно на першій машині відсутня серверна частина, а на другий - клієнтська. На малюнку окремо показаний компонент клієнтської частини - редиректор. Саме редиректор перехоплює всі запити, що надходять від додатків, і аналізує їх. Якщо виданий запит до ресурсу даного комп'ютера, то він переадресовується відповідної підсистемі локальної ОС, якщо ж це запит до віддаленого ресурсу, то він переправляється в мережу. При цьому клієнтська частина перетворює запит з локальної форми в мережевий формат і передає його транспортної підсистемі, яка відповідає за доставку повідомлень вказаного серверу. Серверна частина операційної системи комп'ютера 2 приймає запит, перетворює його і передає для виконання своєї локальної ОС. Після того, як результат отриманий, сервер звертається до транспортної підсистемі і направляє відповідь клієнту, який видав запит. Клієнтська частина перетворює результат у відповідний формат і адресує його тому додатком, яке видало запит. На практиці склалося кілька підходів до побудови мережевих операційних систем (малюнок 1.3). Рис. 1.3. Варіанти побудови мережних ОС Перші мережеві ОС представляли собою сукупність існуючої локальної ОС і надбудованої над нею мережевий оболонки. При цьому в локальну ОС вбудовувався мінімум мережевих функцій, необхідних для роботи мережної оболонки, яка виконувала основні мережеві функції. Прикладом такого підходу є використання на кожній машині мережі операційної системи MS DOS (у якої починаючи з її третьої версії з'явилися такі вбудовані функції, як блокування файлів і записів, необхідні для спільного доступу до файлів). 1.1. Однорангові мережні ОС і ОС з виділеними серверами У залежності від того, як розподілені функції між комп'ютерами мережі, мережеві операційні системи, а отже, і мережі діляться на два класи: однорангові і двухранговие (малюнок 1.1.1.). Останні частіше називають мережами з виділеними серверами. (А) Рис. 1.1.1. (А) - Тимчасова мережа Рис. 1.1.1. (Б) - Двухранговая мережу Якщо комп'ютер надає свої ресурси іншим користувачам мережі, то він грає роль сервера. При цьому комп'ютер, який звертається до ресурсів іншої машини, є клієнтом. Комп'ютер, що працює в мережі, може виконувати функції або клієнта, або сервера, або поєднувати обидві ці функції. Якщо виконання будь-яких серверних функцій є основним призначенням комп'ютера (наприклад, надання файлів у спільне користування всім іншим користувачам мережі або організація спільного використання факсу, або надання всім користувачам мережі можливості запуску на комп'ютері своїх додатків), то такий комп'ютер називається виділеним сервером. У залежності від того, який ресурс сервера є розділяються, він називається файл-сервером, факс-сервером, принт-сервером, сервером додатків і т.д. У мережі з виділеним сервером всі комп'ютери в загальному випадку можуть виконувати одночасно ролі і сервера, і клієнта, ця мережа функціонально не симетрична: апаратно та програмно в ній реалізовані два типи комп'ютерів - одні, більшою мірою орієнтовані на виконання серверних функцій і працюють під управлінням спеціалізованих серверних ОС, а інші - в основному виконують клієнтські функції та працюють під управлінням відповідного цьому призначенню варіанти ОС. Функціональна несиметричність, як правило, викликає і несиметричність апаратури - для виділених серверів використовуються більш потужні комп'ютери з великими обсягами оперативної і зовнішньої пам'яті. Таким чином, функціональна несиметричність в мережах з виділеним сервером супроводжується несиметричністю операційних систем (спеціалізація ОС) і апаратної несиметричністю (спеціалізація комп'ютерів). У однорангових мережах всі комп'ютери рівні в правах доступу до ресурсів один одного. Кожен користувач може за своїм бажанням оголосити який-небудь ресурс свого комп'ютера розділяються, після чого інші користувачі можуть його експлуатувати. У таких мережах на всіх комп'ютерах встановлюється одна і та ж ОС, яка надає всім комп'ютерам в мережі потенційно рівні можливості. На відміну від мереж з виділеними серверами, у тимчасових мережах відсутній спеціалізація ОС в залежності від переважної функціональної спрямованості - клієнта чи сервера. Всі варіації реалізуються засобами конфігурації одного і того ж варіанти ОС. Мережеві операційні системи мають різні властивості в залежності від того, призначені вони для мереж масштабу робочої групи (відділу), для мереж масштабу кампусу або для мереж масштабу підприємства. 1.2. Серверні системи: і сторія створення, основні версії. Серверні системи повинні дозволяти початковий запуск в невеликій конфігурації і забезпечувати можливість розширення в міру зростання потреб. Електронна торгівля через Інтернет вимагає активного і швидкого збільшення розмірів систем. Постачальникам послуг, об'єднуючим обробку додатків у великі вузли, також потрібно динамічне зростання систем. Масштаб таких вузлів збільшується як шляхом «росту вгору» (заміною серверів на більш потужні), так і шляхом «росту вшир» (додаванням додаткових серверів). Сукупність усіх серверів, додатків і даних деякого обчислювального вузла називається також фермою. Ферми мають безліч функціонально спеціалізованих служб, кожна зі своїми власними програмами та даними (наприклад, служба каталогів, безпеки, HTTP, пошти, баз даних і т. п.). Ферма функціонує як підрозділ - має єдиний обслуговуючий персонал, єдине управління, приміщення та мережу. Для забезпечення відмовостійкості апаратне і програмне забезпечення, а також дані ферми дублюються на одній або декількох фізично віддалених фермах. Такий набір ферм називають геоплексом. Геоплекс може мати конфігурацію активний-активний, в якій всі ферми несуть частину навантаження, або активний-пасивний, при якій одна або кілька ферм знаходяться у готовому резерві. Початок робіт зі створення Windows NT припадає на кінець 1988 року. Спочатку Windows NT розвивалася як полегшений варіант OS / 2 (OS / 2 Lite), який за рахунок усікання деяких функцій міг би працювати на менш потужних машинах. Однак з часом, побачивши як успішно приймається споживачами Windows 3.0, Microsoft переорієнтувалася і стала розробляти поліпшений варіант Windows 3.1. Нова стратегія Microsoft складалася в створенні єдиного сімейства базуються на Windows операційних систем, які охоплювали б безліч типів комп'ютерів, від самих маленьких ноутбуків до найбільших мультипроцесорних робочих станцій. Windows NT, як було названо наступне покоління Windows-систем, відноситься до найвищого рівня в ієрархії сімейства Windows. Ця операційна система, спочатку підтримувала звичний графічний інтерфейс (GUI) користувача Windows, з'явилася першою повністю 32-розрядної ОС фірми Microsoft. Win32 API - програмний інтерфейс для розробки нових програм - зробив доступними для додатків поліпшені властивості ОС, такі як багатонитковою процеси, засоби синхронізації, безпеки, введення-виведення, управління об'єктами. Перші ОС сімейства NT - Windows NT 3.1 і Windows NT Advanced Server 3.1 з'явилися в липні 1993 року. У серпні 1996 року вийшла чергова версія Windows NT 4.0. Спочатку передбачалося, що ця чергова версія Windows NT одержить номер 3.52, однак їй було присвоєно номер 4.0, який раніше згадувався в комп'ютерній пресі в зв'язку з іншою очікуваною версією Windows NT, що має кодову назву Cairo. Нововведення, внесені в Windows NT Server 4.0, були пов'язані з поліпшенням інтерфейсу користувача, розширенням підтримки Internet, появою нових і модернізацією існуючих інструментів адміністрування і підвищенням продуктивності системи. 2. Системи сімейства Windows
NT. При розробці Windows NT 4.0 Microsoft вирішила пожертвувати стабільністю заради продуктивності. З цією метою були внесені зміни в архітектуру: бібліотеки менеджера вікон і GDI, а також драйвери графічних адаптерів були перенесені з призначеного для користувача режиму в режим ядра. У Windows NT 4.0 було внесено багато суттєвих змін, серед яких найбільш значними є наступні: реалізація інтерфейсу в стилі Windows 95; орієнтування у бік Internet і intranet; архітектурні зміни, що дозволили різко підвищити продуктивність графічних операцій; модифікація засобів взаємодії з NetWare - Gateway і клієнт NCP підтримують тепер NDS; підтримка багатопротокольної маршрутизації; поява в Windows NT 4.0 емулятора Іntеl'івського процесора для RISC-платформ.
Крім зовнішніх змін, модернізація графічного інтерфейсу не сильно відбилася на методах керування мережею. Базовий інструментарій адміністратора Windows NT Server залишився колишнім. Програми User Manager for Domains, Server Manager, Disk Administrator, Event Viewer, Performance Monitor, DHCP Manager, WINS Manager, Network Client Administrator, License Manager і Migration Tool for NetWare не зазнали істотних змін. Remote Access Administrator також не змінився, він був перенесений з окремої папки в меню Administrative Tools. Редактор системної політики System Policy Editor, сумісний як з Windows NT, так і з Windows 95, замінив редактор профілів користувачів User Profile Editor, знайомий за версіями Windows NT Server 3.x. У версію 4.0 увійшли чотири додатки: адміністративні програми-майстри Administrative Wizards, System Policy Editor, а також розширене засіб Windows NT Diagnostics і програма Network Monitor (програма моніторингу роботи мережі, раніше поставляється тільки в складі продукту Microsoft Systems Management Server). Крім того, до складу Windows NT 4.0 увійшла Web-орієнтована утиліта адміністрування, що відкриває доступ до засобів адміністрування Windows NT з будь-якого Web-броузера. Windows 2000 - наступне втілення Windows NT, яку Microsoft створила для надання безпосередньої конкуренції OS / 2, NetWare і UNIX на ринках файлових серверів і невеликих серверів додатків. У процесі створення бета-версії Windows 2000 називалася Windows NT 5, проте Microsoft змінила ім'я на Windows 2000, щоб зменшити плутанину серед клієнтів після того, як вони закінчать роботу з продуктами заснованого на MS-DOS треку розробок Windows 9х. Для того щоб в умовах жорсткої конкуренції Windows 2000 досягла успіху як мережна операційна система, Microsoft спроектувала підтримку деяких важливих обчислювальних технологій. Це наступні ключові технології: • багатопроцесорна обробка; • багатопоточність; • підтримка великих додатків; • платформонезалежна; • всеосяжна безпека; • зворотна сумісність. Багато функцій Windows 2000, такі як безпека дисків і можливості мережної взаємодії, в дійсності є функціями служб і драйверів, що працюють поверх цієї базової архітектури. |
3. Аналіз
безпеки Windows 2000 Advanced Server.
3.1. Теорія Безпеки
Коли Windows
NT вперше з'явилася в 1993 р., під безпекою малися на увазі заходи щодо збереження важливої інформації на сервері від перегляду не мають на те прав користувачами і, можливо, використання безпеки зворотного виклику для користувачів віддаленого доступу для контролю за вхідними телефонними з'єднаннями до системи. Windows
NT вважалася безпечною, тому що вона використовувала односпрямовані хеш-значення паролів для аутентифікації користувачів і успадковані токени безпеки для безпеки між процесами взаємодії.
Інтернет повністю змінив картину. Windows
NT 4 була випущена в 1996 р. разом з новим і недопрацьованим стеком TCP / IP, як раз коли Інтернет набирав обертів, і операційна система виявилася непідготовленою до хакерських атак через Інтернет, які тривали протягом усіх чотирьох років її життя після випуску. Microsoft випускала всі нові заплатки та пакети оновлень, намагаючись залатати нові дірки, які виявляються в службах, протоколах і драйверах Windows
NT.
Багато з дірок були утворені новими компонентами за вибором Windows
NT, такими як Internet
Information
Server і FrontPage
Server
Extensions. Більшу частину проблеми становило саме надання служби Інтернету.
Безпека (security) - це сукупність заходів, що вживаються для запобігання будь-якого роду втрат. Система, що володіє фундаментальної безпекою, - це така система, в якій ніякої користувач не отримує доступ до чого б то не було. На жаль, такі повністю безпечні системи марні, тому необхідно прийняти певний ризик у сфері безпеки, для того щоб забезпечити можливість користування системою. Мета управління безпекою - мінімізувати ризик, що виникає при забезпеченні необхідного рівня зручності використання (usability) системи.
Вся сучасна комп'ютерна безпека грунтується на фундаментальній концепції особистості (identity) користувача. Для отримання доступу до системи люди ідентифікують себе тим способом, яким довіряє система. Цей процес називається входом в систему (logging
on). Після того як користувач увійшов в систему, його доступ до даних і програм може однозначно контролюватися на основі його особистості.
Щоб підтримувати надійність системи, доступ до системи ніколи не повинен бути розв'язана без проходження процедури входу в систему. Навіть у системах, відкритих для публічного анонімного доступу, повинні застосовуватися облікові записи (account) для контролю за тим, які анонімні користувачі мають доступ. Не можна контролювати безпеку, якщо не має на те права користувачам не може бути заборонений доступ.
У системах, заснованих на ідентифікації, кожен користувач повинен мати унікальну обліковий запис і ні один обліковий запис ніколи не може бути використана більш ніж однією особою.
Windows 2000 Advanced
Server (надалі - Windows 2000) використовує ряд механізмів для забезпечення безпеки локального комп'ютера від злочинних програм, ідентифікації користувачів і забезпечення безпеки передачі даних по мережі. Основні механізми безпеки Windows 2000 перераховані нижче. У їх числі:
• тотальний контроль за доступом запобігає підключення ненадійних комп'ютерів до безпечних систем за допомогою фільтрації пакетів та трансляції мережевих адрес, гарантуючи що дозволені сеанси користувачів не можуть бути сфальсифіковані, викрадені або містифіковані, за допомогою Kerberos і IPSec, і запобігає порушення програмою адресного простору іншої програми при допомоги захисту пам'яті;
• визначення особи користувача за допомогою методів аутентифікації, таких як Kerberos, Message
Digest
Authentication, смарт-карти, аутентифікація RADIUS або протоколи аутентифікації третіх фірм, наприклад ті, у яких реалізовані біометричні способи;
• заборона або дозвіл доступу на основі постатей користувача, за допомогою списків контролю доступу для об'єктів з керованою безпекою, таких як принтери, служби і збережені на NTFS файли і каталоги; за допомогою шифрування файлів за допомогою Encrypting
File
System (шифрованого файлової системи, EFS); шляхом обмеження доступу до можливостей операційної системи, які можуть бути використані неправильно, за допомогою групової політики і шляхом авторизації віддалених користувачів, підключених через Інтернет або віддалене з'єднання, за допомогою політики RRAS;
• запис діяльності користувача за допомогою журналів аудиту особливо значимої інформації і журналів сполук для публічних служб, таких як Web та FTP;
• закрита передача даних між комп'ютерами, з використанням IPSec, PPTP або L 2 TP для шифрування потоку даних між комп'ютерами. РРТР і L 2 TP дозволяють користувачам ініціювати безпечні потоки передачі даних, в той час як IPSec використовується для того, щоб дозволити двом комп'ютерам безпечно передавати дані через публічний канал передачі даних незалежно від особистості користувача;
• мінімізація ризику неправильної конфігурації шляхом угруповання схожих механізмів безпеки в політики та подальшого застосування цих політик до груп схожих користувачів або комп'ютерів. Засоби управління груповими політиками, політиками RRAS і політиками IPSec у Windows 2000 дозволяють адміністраторам здійснювати наскрізні зміни у великих частинах системи безпеки, не піклуючись про окремі помилки.
Управління безпекою має здійснюватися з урахуванням всієї системи мережі. Включення індивідуальних засобів забезпечення безпеки не дає повної безпеки, тому що існує незліченна кількість способів обійти індивідуальні засоби безпеки.
Windows 2000 в своєму стані за замовчуванням налаштована як зручна, а не безпечна система. Жорсткі диски створюються за замовчуванням з повним доступом для всіх, ніяких групових політик за замовчуванням не встановлено, і велика частина міжкомп'ютерних взаємодій небезпечне. За замовчуванням ніякі файли не шифруються, і не включені ніякі фільтри пакетів.
Для створення безпечної системи необхідно встановити всі важливі засоби забезпечення безпеки і потім послаблювати ці установки для забезпечення доступу мають на це право користувачам і підвищення продуктивності.
Незважаючи на великий поступ в області цілісного управління, в Windows 2000, ще багато чого можна зробити для забезпечення безпеки конфігурації за умовчанням. Тим не менш, інструментальні засоби легко знайти і вони чудово працюють разом, надаючи керований інтерфейс для налаштування характеристик безпеки.
3.1.1. Криптографія.
Криптографія (cryptography) - це наука про коди і шифри. Win dows 2000 використовує повсюдно що застосовується криптографію для засекречування за все, починаючи від збережених файлів і потоків передачі даних до паролів користувачів і аутентифікації домену.
Криптографія та шифрування грають важливу роль в безпеці Windows 2000.
Всі нові можливості забезпечення безпеки Windows 2000 засновані на криптографії. На відміну від цього, у першому випуску Windows
NT криптографія використовувалася тільки для хешування паролів. Протягом періоду використання Windows
NT 4 в операційну систему були додані різноманітні елементи кріпографіі, але вони не оброблялися злагоджено і безпечно. Windows 2000 змінює такий стан справ, використовуючи Active
Directory як контейнер практично для всієї конфігурації, пов'язаної з безпекою, і застосування політик.
Windows 2000 використовує шифрування (encryption) у трьох життєво важливих цілях:
• для підтвердження ідентичності принципала безпеки;
• для підтвердження достовірності вмісту повідомлення або файлу;
• щоб приховати вміст сховища або потоку даних.
Шифр (cipher) - це алгоритм шифрування, він захищає повідомлення, переупорядочівая його або здійснюючи зміни в кодуванні, але не в смисловому значенні повідомлення. Код (code) - це узгоджений спосіб збереження таємниці повідомлень між двома або більше особами. Ключ (key) - це невелика порція інформації, яка необхідна для розшифровки повідомлення, звичайно у вигляді значення, використовуваного в шифрі для зашифровки повідомлення. Ключ повинен триматися в секреті, для того щоб повідомлення залишалося закритим.
3.1.2. Алгоритми шифрування
Один з алгоритмів, який був розроблений в секреті, але потім став доступний для громадського використання, так само як і для державного (але тільки для інформації «Unclassified
but
Sensitive », несекретної, але важливою), - це алгоритм Data
Encryption
Standard
(Стандарт) шифрування даних), або DES. Це симетричний алгоритм, що означає, що один і той же ключ використовується і для шифрування, і для розшифровки; він був призначений для використання 56-розрядно-З го ключа. DES широко використовується в комерційному програмному забезпеченні і в пристроях зв'язку, що підтримують шифрування.
RSA (названий за іменами своїх творців, Rivest, Shamir і Adleman) - це алгоритм, який не був розроблений урядовим агентством. Його творці скористалися обчислювально-витратної проблемою розкладання на прості числа для створення асиметричного (asymmetric) алгоритму, або алгоритму відкритого ключа (public
key), який може бути використаний і для шифрування, і для цифрових підписів. RSA з тих пір став дуже популярною альтернативою DES. RSA використовується рядом компаній з виробництва програмного забезпечення, чиї продукти повинні здійснювати безпечні з'єднання через небезпечний Інтернет (такі, як web - браузери), в числі яких Microsoft, Digital, Sun, Netscape і IBM.
Ці шифри не єдино можливі для використання в комп'ютерах і мережах. Уряди різних країн США і колишнього СРСР активно розробляли коди і шифри, багато приватних осіб (особливо за останнє десятиліття) внесли внесок у розвиток криптографії. GOST (ГОСТ) був розроблений в колишньому СРСР, FEAL був розроблений NTT в Японії, LOKI був розроблений в Австралії і IDEA - в Європі. Більшість цих шифрів використовують запатентовані алгоритми, які повинні бути ліцензовані для комерційного використання, але не всі (наприклад, Blowfish). Кожен шифр володіє достоїнствами і недоліками.
Всі ці
шифри володіють
одним
слабким
місцем: якщо
відомий
шифр, який
використовувався
для
зашифровки
повідомлення, але
НЕ
відомий
ключ, можна
використовувати
ряд атак
для
того, щоб
спробувати декодувати
повідомлення, в
тому
числі
і
метод
«Грубої
сили », намагаючись
перепробувати
всі
можливі
ключі.
Призначення шифрів, в кінцевому підсумку, - приховувати інформацію. Протилежністю приховування інформації є спроби розкрити, що ж було засекречено, і прогрес в області злому (breaking) кодів (або розшифрування кодів без ключа) йде в ногу з розробками в галузі створення кодів. Діяльність по здійсненню спроб злому кодів називається криптоаналізу (cryptanalysis), а люди, які зламують коди, називаються криптоаналитики (cryptanalyst). На системи безпеки може бути проведений ряд криптоаналітичних атак різних типів.
Атака перебором ключів. Перебір простору ключів (keyspace
search) має на увазі перевірку всіх можливих ключів, які могли використовуватися для зашифровки повідомлення.
Відомий вихідний текст. Для багатьох шифрів криптоаналітик може скоротити число перебираються можливих ключів, якщо вже відомий початковий текст зашифрованого повідомлення.
Лінійний та диференціальний криптоаналіз. Криптоаналітик може також шукати математичні збіги у всіх зібраних зашифрованих текстах, які були зашифровані за допомогою одного ключа.
Існує один шифр - одноразова підстановка (one - time
pad) - який не можна розгадати, якщо немає ключа, навіть маючи в розпорядженні всі час, що залишився існування всесвіту і всі теоретично можливі обчислювальні можливості. На жаль, вимоги цього шифру роблять його непридатним до використання, за винятком певних видів комунікацій, які не потребують високої пропускної здатності.
3.1.3. Симетричні функції
Якщо один і той же ключ може бути використаний для зашифровки або розшифровки повідомлення, то такий шифр використовує симметрическую функцію (symmetric
function). Один ключ має бути й у відправника, і в одержувача. Ряд симетричних шифрів використовується і в програмному, і в апаратному забезпеченні. Отримати уявлення про можливі шифри можна, порівнявши наступні три.
• DES. IBM і американське Управління національної безпеки (National
Security
Agency, NSA) об'єднали зусилля для розробки цього шифру. Він стійкий до диференціального криптоаналізу, але піддається лінійному криптоаналізу. Довжина ключа становить тільки 56 біт, що сильно полегшує можливість спробувати всі можливі ключі методом грубої сили для зашифрованого, тексту. DES широко застосовується в програмному та апаратному забезпеченні шифрування. Це стандарт ANSI. Windows 2000 pea лізується і 40-бітний DES, і 168-бітний DES 1 (triple - DES
(Потрійний DES) - DES із трьома безперервними ключами).
• IDEA. Цей шифр має ключ довжиною 128 біт - значно більше, ніж використовує DES. У той час як що володіє серйозною мотивацією і фінансуванням організація або велика команда хакерів може зламати закодоване DES-повідомлення, великий простір ключів робить нездійсненною атаку на IDEA за методом грубої сили. IDEA був розроблений як шифр, невразливий для лінійного і диференціального криптоаналізу. IDEA запатентовано в Європі та США.
Blowfish. Цей шифр може використовувати ключ завдовжки від 32 до
448 біт, дозволяючи вибрати ступінь секретності повідомлення.
3.1.4. Однонаправлені функції
При наборі пароля для входу в Windows 2000, він шифрується і порівнюється з збереженим зашифрованим значенням пароля. Пароль зберігається за допомогою односпрямованої функції (one - way
function), що також називають хеш (hash), trap - door, digest
або fingerprint 1.
Хеш-функції також можуть застосовуватися для інших цілей. Наприклад, можна використовувати хеш-функцію, щоб створити «відбитки пальців» файлів (створити цифрові відбитки пальців, або хеш-значення, яке буде унікальне для даного файлу). Хеш-функція може давати результат, який буде набагато менше, ніж вхідний текст, хешування займає багато мегабайтів документа текстового процесора, наприклад, може дати 128-розрядне число. Хеш-значення також унікально для файлу, який його породив; практично неможливо створити інший файл, який справив би той же хеш-значення.
Одна
з
особливостей
хеш - функцій (особливо
дають
короткі
хеш - значення) -
це
те, що
всі
хеш - значення
рівноймовірні. Отже, практично
неможливо створити інший файл хеш - значення для якого співпаде
з
наявним.
Деяким хеш-функцій потрібен ключ, іншим - ні. Хеш-функція з ключем може обчислюватися тільки будь-ким (або чим-небудь), які мають цей ключ.
3.1.5. Шифрування з відкритим ключем
У той час як симетричні шифри використовують один ключ для зашифровки і розшифровки повідомлень, шифрування з відкритим ключем (public
key
encryption), або шифр з відкритим ключем (public
key
cipher), використовує для розшифровки ключ, відмінний від використаного при шифруванні. Це порівняно нова розробка в криптографії, і вона вирішує багато давні проблеми систем криптографії, такі як спосіб передачі секретних ключів в перший раз.
Проблема симетричних шифрів полягає в наступному: і відправник, і одержувач повинен мати один і той же ключ для того, щоб обмінюватися зашифрованими повідомленнями через небезпечний канал передачі даних. Якщо дві сторони вирішать обмінюватися закритими повідомленнями або якщо між двома пристроями в комп'ютерній мережі або двома програмами повинен бути встановлений безпечний канал, дві сторони комунікації повинні ухвалити рішення про загальну ключі. Кожна сторона легко може вибрати ключ, але в цієї сторони не буде ніякого способу відправити цей ключ іншій стороні, не піддаючись ризику перехоплення ключа по дорозі.
При використанні шифру з відкритим ключем один ключ (відкритий ключ, public
key) використовується для шифрування повідомлення, а інший ключ (закритий ключ, private
key) - це єдиний ключ, який може розшифрувати повідомлення. Хто завгодно, маючи ключ, може зашифрувати повідомлення, розшифрувати який може тільки конкретний користувач. Безпечні шифри з відкритим ключем страждають від однієї проблеми - вони повільні, набагато повільніше, ніж симетричні шифри. Робота гарного шифру з відкритим ключем може відняти в 1000 разів більше часу для зашифровки одного і того ж кількості даних, ніж у хорошого симетричного шифру.
Хоча системи відкритого / закритого ключа набагато повільніше симетричних систем, вони чітко вирішують проблему, від якої страждали симетричні криптосистеми. Коли двом людям (або пристроїв) потрібно встановити безпечний канал для передачі даних, один з них може просто взяти секретний ключ і зашифрувати цей секретний ключ за допомогою відкритого ключа іншого боку. Зашифрований ключ потім відправляється іншому учаснику комунікації, і навіть якщо цей ключ буде перехоплений, тільки інший учасник зможе розшифрувати секретний ключ за допомогою свого закритого ключа. Комунікація між двома сторонами потім може продовжуватися з використанням симетричного шифру і цього таємного ключа. Система, яка використовує як симетричне шифрування, так і шифрування з відкритим ключем, називається гібридної криптосистемою (hybrid
cryptosystem).
3.2. Застосування шифрування
Шифрування можна використовувати для захисту наступних типів даних у мережі:
• закрита передача даних;
• безпечне зберігання файлів;
• аутентифікація користувача або комп'ютера;
• безпечний обмін паролями.
Слід шифрувати будь-які дані, що містять значущу або приватну інформацію, що проходять через небезпечні канали передачі даних, такі як радіо, телефонна мережа або Інтернет. Використовуйте шифрування файлової системи для захисту важливих даних, коли можливості операційної системи не діють (коли був видалений жорсткий диск або замінена операційна система).
3.2.1. Безпечне зберігання файлів
Шифрування може бути використано для захисту даних у пристрої зберігання, наприклад даних на жорсткому диску. У всіх реалізаціях UNIX та Windows
NT існує багато складних засобів забезпечення безпеки. Кращий підхід до безпеки - надати шифрування і розшифрування файлів операційної системи. Windows 2000 постачається з Encrypting
File
System (шифрована файлова система, EFS), яка буде шифрувати всі файли на вашому жорсткому диску, навіть тимчасові файли, створені використовуваними вами додатками.
Для того щоб використовувати EFS таємно, необхідно надати криптографічний ключ при запуску комп'ютера або використовувати її зі смарт-картою, інакше ж можна вважати файли на жорсткому диску звичайними, незашифрованими файлами. Це не захистить файли від доступу під час роботи операційної системи - для чого існують засоби забезпечення безпеки операційної системи, - але це збереже дані в безпеці, навіть якщо хто-небудь вкраде жорсткий диск.
3.2.2. Аутентифікація користувача або комп'ютера
Окрім збереження секретності (або при передачі, або при зберіганні), шифрування можна використовувати майже в протилежних цілях - для перевірки ідентичності. Шифрування може провести
аутентифікацію входять в систему комп'ютера користувачів, гарантувати, що завантажується з Інтернету програмне забезпечення приходить з надійного джерела і що особа, що відправило повідомлення, в дійсності те, за який вона себе видає.
При вході в операційну систему Microsoft, такі як Windows 95, Windows
NT або Windows 2000, операційна система не порівнює введений пароль з збереженим паролем. Замість цього вона шифрує пароль за допомогою односпрямованої криптографічного функції і потім порівнює результат з зберігаються результатом. Інші операційні системи, такі як UNIX і OS / 2, працюють точно так само.
Зберігаючи тільки криптографічне хеш-значення пароля користувача, операційна система ускладнює хакерам можливість отримання всіх паролів системи при одержанні
3.2.3. Цифрові підписи
Зазвичай шифрування з відкритим ключем використовується для передачі секретних повідомлень, зашифрованих за допомогою відкритого ключа, і наступної розшифровки їх за допомогою закритого ключа.
Оскільки призначення цифрового підпису полягає не в тому, щоб приховати інформацію, а в тому, щоб підтвердити її, закриті ключі найчастіше використовуються для шифрування хеш-значення первинного документа, і зашифроване хеш-значення приєднується до документа або відправляється разом з ним. Цей процес займає набагато менше обчислювального часу при генерації або перевірці хеш-значення, ніж шифрування всього документа, і при цьому гарантує, що документ підписав власник закритого ключа.
Електронна пошта Інтернету проектувалася без урахування безпеки. Повідомлення не захищені від нелегального перегляду на проміжних хостах Інтернету, і немає гарантії, що повідомлення у дійсності прийшло від тієї особи, яка вказана в полі From електронної пошти. Повідомлення груп новин Інтернету страждають від тієї ж проблеми: неможливо насправді сказати, від кого насправді прийшло повідомлення. Можна зашифрувати тіло повідомлення, щоб впоратися з першою проблемою, а цифрові підписи справляються з другою.
Цифрові підписи корисні, тому що перевірити підпис може кожен, а створити її може лише особа з закритим ключем. Різниця між цифровим підписом і сертифікатом в тому, що можна перевірити справжність сертифікату в центрі сертифікації.
3.2.4. Безпечний обмін паролями
Більшість мережевих операційних систем (у тому числі Windows 2000 і всі сучасні версії UNIX) захищають ім'я користувача та пароль при вході в систему за допомогою їх шифрування перед відправкою в мережу для аутентифікації.
Щоб одні й ті ж зашифровані дані не передавалися кожен раз, клієнт також може включити якусь додаткову інформацію, наприклад час відправлення запиту на вхід в систему. При такому способі мережеві ідентифікаційні дані ніколи не будуть відправлятися через локальну мережу або телефонні лінії в незахищеному вигляді. Тим не менш Windows 2000 приймає незашифровані паролі від старих мережевих клієнтів LAN
Manager.
Чи не
кожен
протокол
аутентифікації
зашифровує
ім'я
користувача
і
пароль, цього
НЕ
робить
SLIP
Telnet
і
FTP. З лужба
Telnet
в Windows 2000 можна
сконфігурувати
для
роботи
тільки
з
хеш - значеннями Windows
NT, а
НЕ
з
паролями
в
вигляді
простого
тексту. РРР
може
шифрувати, якщо
і
віддалений
клієнт, і
сервер
сконфігуровані
таким
чином. Win dows
NT
по
замовчуванням
вимагає
шифрованого
аутентифікації. Windows 2000 використовує
безпечну
систему
аутентифікації
Kerberos, засновану
на секретних
ключах.
3.3. Стеганографія
Стеганографія (steganography) - це процес приховування зашифрованих файлів в такому місці, в якому навряд чи хто-небудь зможе їх виявити.
Зашифровані файли виглядають як випадкові числа, тому все, що також виглядає як випадкові числа, може заховати зашифроване повідомлення. Наприклад, в багатокольорових графічних зображеннях біт нижніх розрядів в кожному пікселі зображення не сильно впливає на якість всього зображення. Можна заховати зашифроване повідомлення в графічний файл, замінюючи молодші біти бітами свого повідомлення. Молодші біти звукових файлів з високою точністю відтворення - ще одне гарне місце для зашифрованих даних. Можна навіть таємно обмінюватися з ким-небудь зашифрованими повідомленнями, відправляючи графічні та звукові файли з такою захованої в них інформацією.
3.4. Паролі
Паролі - це секретні ключі. Вони можуть застосовуватися для аутентифікації користувачів, шифрування даних і забезпечення безпеки комунікаційних потоків. Kerberos використовує паролі як секретні ключі для підтвердження ідентифікаційних даних клієнта в Kerberos
Key
Distribution
Center.
Через необхідність випадковості в секретних ключах виступають в якості секретних ключів паролі також повинні бути секретними
Найпоширеніший спосіб розкрити пароль - це вибрати легко вгадуваний пароль, такий як порожній пароль, саме слово пароль (password), жаргонні слова або імена богів, дітей або домашніх тварин. Для злому через Інтернет пароля, в якості якого взято будь-яке відоме слово, буде потрібно приблизно дві години часу.
Використання по-справжньому випадкових паролів дає набагато кращі результати. Випадковий вибір пароля тільки з 14 символів набору стандартної ASCII-клавіатури дає безліч більш ніж з 1025 паролів.
Існує чотири рівні паролів:
• низькоякісний публічний пароль
• публічний пароль середньої якості - короткий, але повністю випадковий пароль довжина цього пароля сім символів, що дає 40-бітний діапазон унікальності;
• високоякісний пароль - пароль для приватних мереж де клієнтові може бути завдано серйозної шкоди в разі його втрати-пароль довжиною 12 символів, що дає 70-бітний діапазон унікальності;
• надзвичайно високоякісний пароль - пароль для шифрування файлів і зберігання секретних даних на особистих комп'ютерах; довжина 14 символів, що дає 84-бітний діапазон унікальності.
4. Локальна
безпеку Windows 2000
Advanced Server
Безпека Windows 2000 заснована на аутентифікації користувачів. Проходячи процедуру входу в систему (забезпечувану процесом WinLogon), користувач ідентифікує себе комп'ютера, після чого йому надається доступ до відкритих і забороняється доступ до закритих для вас ресурсів.
У Windows 2000 також реалізовані облікові записи груп. Коли обліковий запис користувача входить в обліковий запис групи, встановлені для облікового запису групи дозволу діють також і для облікового запису користувача.
Облікові записи користувачів і груп діють тільки на тому комп'ютері під управлінням Windows 2000, на якому вони створюються. Ці облікові записи локальні для комп'ютера. Єдиним винятком з цього правила є комп'ютери, що входять в домен і тому приймають облікові записи, створені в Active
Directory на контролері домену. На кожному комп'ютері під управлінням Windows 2000 існує свій власний список локальних облікових записів користувачів і груп. Коли процесу WinLogon (який реєструє користувача в системі і встановлює його обчислювальну середу) потрібно звернутися до бази даних безпеки, він взаємодіє з Security
Accounts
Manager (диспетчер облікових записів безпеки, SAM), компонентом операційної системи Windows 2000, який управляє інформацією про локальні облікові записи користувачів. Якщо інформація зберігається локально на комп'ютері під керуванням Windows 2000, SAM звернеться до бази даних (що зберігається в реєстрі), передавши інформацію процесу WinLogon. Якщо інформація зберігається не локально SAM запросить контролер домену і поверне підтверджену інформацію про реєстрацію (ідентифікатор безпеки, security
identifier) процесу WinLogon.
Незалежно від джерела аутентифікації, доступ дозволений тільки до локального комп'ютера за допомогою Local
Security
Authority (локальні засоби безпеки, LSA) комп'ютера. При обращаеніі до інших комп'ютерів у мережі, LSA локального комп'ютера передає ідентифікаційні дані користувача LS А іншого комп'ютера, реалізуючи вхід в систему кожного комп'ютера, з яким він контактує. Щоб отримати доступ до іншого комп'ютера, цей комп'ютер повинен прийняти ідентифікаційні дані, надані комп'ютером користувача.
4.1. Ідентифікатори безпеки
Принципалові безпеки, такі як користувачі і комп'ютери, представлені в системі ідентифікаторами безпеки (security
identifier, SID). SID унікально ідентифікує принципала безпеки для всіх комп'ютерів домену. При створенні облікового запису за допомогою оснащення Local
Users
and
Groups (Локальні користувачі та групи), завжди створюється новий SID, навіть якщо використовується такі ж ім'я облікового запису та пароль, як у віддаленій облікового запису. SID буде залишатися з обліковим записом протягом усього часу її
існування. Можна поміняти будь-який інший атрибут профілю, включаючи ім'я користувача та пароль, але у звичайних обставин не можна змінити SID, оскільки при цьому створюється новий обліковий запис.
Групові облікові записи також мають SID, унікальний ідентифікатор, що створюється під час створення групи. Для ідентифікаторів SID, груп діють ті ж правила, що і для SID облікових записів.
Процес WinLogon (частина процесу Local
Security
Authority) перевіряє ім'я користувача та пароль (або смарт-карту при відповідній конфігурації), щоб визначити, чи можна дозволити доступ до комп'ютера. Якщо зазначена у діалоговому вікні входу в систему домен є ім'ям локального комп'ютера, LSA перевірить обліковий запис відповідно до локальних SAM, збереженим в реєстрі. В іншому випадку LSA встановить зв'язок з контролером домену та скористається для перевірки достовірності даних користувача аутентифікацією Kerberos (у разі Windows 2000) або NLTM (у випадку всіх інших версій Windows, включаючи Windows 2000 в режимі Mixed
Mode), в залежності від операційної системи клієнта.
Якщо ім'я облікового запису та пароль правильні, процес WinLogon
co здаст токен доступу. Токен доступу (Acess
Token) утворюється з SID облікового запису користувача, SID груп, до яких належить, обліковий запис, і Locally
Unique
Identifier (локально унікальний; ідентифікатор, LUID), який визначає права користувача і конкретний сеанс входу в систему.
Токен
доступу
створюється
при
кожному
вашому
вході
в
Windows 2000.
Існують особливі ідентифікатори SID. System
SID
зарезервований для системних служб, що містять System
SID токени доступу можуть, обходити всі обмеження безпеки, засновані на облікових записах. SID дає системним службам дозвіл на здійснення тих; дій, які звичайна обліковий запис користувача (навіть обліковий запис Administrator (Адміністратор)) робити не може. Служби операційної системи запускаються ядром Windows 2000, а не процесом WinLogon, і ці служби отримують System
SID від ядра при своєму запуску.
4.2. Доступ до ресурсів
Потоки (thread, окремі гілки виконання процесу) повинні надавати токен доступу при кожній спробі доступу до ресурсу. Потоки одержують токени доступу від батьківських процесів при своєму створенні. Для користувача додаток, наприклад, зазвичай отримує свій токен доступу від процесу WinLogon. Процес WinLogon запускається від порушеної користувачем переривання (переривання клавіатури Ctrl + Alt + Del) і може створити новий токен доступу, запитуючи або локальний диспетчер облікових записів безпеки (SAM), або Directory
Services
Agent (агент служб каталогу, DSA) на контролері домену Active
Directory.
За допомогою цього методу кожен потік, запущений після входу користувача в систему, буде мати токен доступу, що представляє користувача. Оскільки потоки користувацького режиму повинні завжди надавати цей токен для доступу до ресурсів, в звичайних обставин не існує способу обійти безпека ресурсів Windows 2000.
Основу
безпеки
Windows 2000 утворює
переміщуваний
вхід
в
систему (mandatory
logon). У
відміну
від
інших
мережевих
систем, користувач
нічого
НЕ
може
зробити
в
Windows 2000, не
надавши
ім'я
облікової
запису користувача
і
пароль. Хоча
можна
вибрати
автоматичний
вхід
в
систему з
ідентифікаційними
даними, наданими
реєстром, вхід
в
систему
при
допомоги
облікової
запису
користувача
всі
одно
відбувається.
Windows 2000 вимагає
натискання
Ctrl + ALT + Del
для
входу
в
систему, і
це
одна
з
причин, по
яким
Windows 2000 вважається
безпечною системою. Оскільки
комп'ютер
обробляє
натискання
Ctrl + ALT + Del
як
апаратне
переривання, фактично
НЕ
існує
способу, при
допомоги
якого
досвідчений
програміст
міг
б
змусити
цю
комбінацію
клавіш
робити
що - небудь
ще, не
переписуючи
операційну
систему.
Оскільки токен доступу передається новому потоку під час його створення, то після входу користувача в систему надалі немає необхідності звертатися для аутентифікації до локальної базі даних SAM або до Active
Directory на контролері домену.
При локальному вході користувача в систему Windows 2000 проходить через такі етапи.
1. Користувач натискає Ctrl + A 1 t + Del, що викликає апаратне переривання, що активізує процес WinLogon.
2. Процес WinLogon представляє користувачу запрошення до входу в систему з полями для імені облікового запису та пароля.
3. Процес WinLogon відправляє ім'я облікового запису і зашифрований пароль локальним засобам безпеки (LSA). Якщо обліковий запис локальна для цього комп'ютера Windows 2000, LSA запитує диспетчер облікових записів безпеки (SAM) локального комп'ютера Windows 2000, за його відсутності LSA запитує контролер домену того домену, до якого входить комп'ютер.
4. Якщо користувач представив допустимі ім'я користувача та пароль, LSA створює токен доступу, що містить SID облікового запису користувача і ідентифікатори SID для груп, в які входить користувач. Токен доступу також отримує LUID, який буде описаний далі в цьому розділі в розділі «Права чи дозволу». Токен доступу потім передається назад процесу WinLogon.
5. Процес WinLogon передає токен доступу підсистемі Win32 разом із запитом на створення процесу входу в систему для користувача.
6. Процес входу в систему встановлює оточення користувача, включаючи запуск Windows
Explorer і відображення фону і значків робочого столу.
4.3. Об'єкти і Дозволи
Windows 2000 підтримує безпеку для різних типів об'єктів, включаючи (але не обмежуючись ними) каталоги, файли, принтери, процеси і мережеві загальні папки. Кожен об'єкт надає функції, що визначають дії, які можуть бути виконані для цього об'єкта, наприклад: відкрити, закрити, читати, записувати, видаляти, запускати, зупиняти, друкувати і т. д.
Інформація безпеки для об'єкта міститься в дескриптор безпеки (security
descriptor) об'єкта. Дескриптор безпеки складається з чотирьох частин: власник, група, Discretionary
Access
Control
List (список розмежувальної контролю доступу, DASL) і System
Acess
Control
List (системний список контролю доступу, SACL). Win dows 2000 використовує ці частини дескриптора безпеки в наступних цілях:
• власник - ця частина містить SID облікового запису користувача-власника об'єкта. Власник об'єкта завжди може змінити налаштування DACL (дозволу) об'єкта;
• група - ця частина використовується підсистемою POSIX
Windows 2000. Файли і каталоги в операційних системах UNIX можуть належати груповий облікового запису, так само як і окремої облікового запису користувача. Ця частина містить SID групи цього об'єкта з метою сумісності з POSIX, а також для ідентифікації основної групи для облікових записів користувача;
• Discretionary
Access
Control
List - DACL містить список облікових записів користувачів та облікових записів груп, що володіють дозволом на доступ до служб об'єкта. У DACL існує стільки записів контролю доступу, скільки існує облікових записів користувачів або груп, для яких доступ до об'єкта був заданий спеціально;
• System
Acess
Control
List - SACL також містить записи управління доступом (АСЕ, access
control
entry), але ці записи АСЕ використовуються для аудиту, а не для дозволу або заборони доступу до функцій об'єкта. SACL містить стільки записів АСЕ, скільки існує облікових записів користувачів або груп, для яких спеціально проводиться аудит.
Кожна запис управління доступом в DACL або SACL складається з ідентифікатора безпеки, супроводжуваного маскою доступу. Маска доступу (access
mask) у DACL визначає ті функції об'єкта,
для доступу до яких у SID є дозвіл. Спеціальний тип запису контролю доступу, званий забороняє записом АСЕ (deny АСЕ), вказує, що весь доступ до об'єкта буде заборонений для облікового запису, певної ідентифікатором SID. Забороняє АСЕ перекриває всі інші записи АСЕ. Дозвіл No
Access (нема доступу) в Windows 2000 реалізовано за допомогою забороняє запису АСЕ.
Доступ дозволено, якщо токен доступу містить будь-який SID, що співпадає з роздільною здатністю в DACL. Наприклад, якщо окремої облікового запису дозволений доступ на читання і обліковий запис користувача є членом груповий облікового запису, якій дозволено доступ на запис, тоді токен доступу для цього сеанс якого користувача буде містити обидва SID, і DACL дозволить доступ до об'єкта і на читання, і на запис. Заборонні запису управління доступом все одно перекривають сумарну дію всіх інших дозволів.
Записи управління доступом в SACL утворюються тим же способом, що і записи в DACL (вони складаються з SID і маски доступу), але маска доступу в цьому випадку визначає ті функції об'єкта, для яких буде проводитися аудит у цього облікового запису.
Не в кожного об'єкта є списки DACL або SACL. Файлова система FAT, наприклад, не записує інформацію безпеки, тому у об'єктів файлів і каталогів, що зберігаються на томі FAT, немає списків DACL і SACL. Коли DACL відсутня, будь-яка обліковий запис користувача отримує доступ до всіх функцій об'єкта. Це не рівнозначно ситуації, коли список DACL об'єкта порожній. У цьому випадку ні один обліковий запис не буде мати доступу до об'єкта. Коли у об'єкту відсутня SACL, аудит об'єкта неможливий.
Процеси не звертаються безпосередньо до таких об'єктів, як файли, каталоги або принтери. Операційна система Windows 2000 (а саме її частина Win32) звертається до об'єктів від особи процесів. Основна мета цього - зробити програми простіше. Програма не зобов'язана знати, як безпосередньо маніпулювати кожним типом об'єкта, вона просто просить про це операційну систему. Ще однією важливою перевагою, особливо з точки зору безпеки, є те, що, оскільки операційна система виконує всі дії для процесів, вона може примусово відстежувати безпеку об'єктів.
Коли процес просить підсистему Win32 виконати дію над об'єктом (наприклад, прочитати файл), підсистема Win32 звіряється з Security
Reference
Monitor (монітор перевірки безпеки), щоб упевнитися, що процес має дозвіл на здійснення дії над об'єктом. Security
Reference
Monitor порівнює токен доступу процесу зі списком DACL об'єктів, звіряючи кожен SID у токені доступу з ідентифікаторами SID у списку DACL Якщо існує запис управління доступом (АСЕ) з співпадаючим SID, яка містить маску доступу, роздільну дію, і немає АСЕ з співпадаючим SID, що містить забороняє маску для дії над об'єктом, то Security
Reference
Monitor дозволяє підсистемі Win32 виконати дію.
Security
Reference
Monitor також перевіряє, чи здійснюється аудит доступу до об'єкта і чи потрібно запис в журнал подій Security
Log (Безпека) Windows 2000. Аудит перевіряється точно так само, як і перевірка дозволів, - шляхом порівняння кожного SID у токені доступу з SID кожного запису управління доступом. При виявленні збігу монітор перевіряє, чи належить виконувану дію (або функція) до перелічених у масці доступу. Якщо так і якщо результат перевірки безпеки за списком SACL збігається з проведеним аудитом (сталася відмова у доступі і проводиться аудит відмови в доступі, або доступ був успішний і проводиться аудит успішного доступу, або відбулися обидва ці події), то в цьому випадку подія аудиту записується в журнал подій.
Деякі дії застосовуються не до конкретного об'єкта, а до групи об'єктів або до всієї операційній системі. Завершення роботи з операційною системою, наприклад, вплине на всі об'єкти в системі. Користувач повинен мати права користувача (user
rights) для здійснення таких дій.
Засоби Local
Security
Authority включають локально унікальний ідентифікатор (LUID) при створенні токена доступу. LUID описує, яке з прав користувача має конкретна обліковий запис. Local
Security
Authority створюють LUID на основі інформації про безпеку в базі даних диспетчера безпеки облікових записів (для облікового запису локального комп'ютера) або Active
Directory (для облікового запису домена). LUID є об'єднанням прав цієї конкретної облікового запису користувача та прав усіх груп, в які входить ця обліковий запис.
Права мають більший пріоритет, ніж дозволу (permissions). Ось чому обліковий запис адміністратора може стати власником файлу, чий власник вилучив всі дозволи на доступ; Administrator (Адміністратор) володіє правом Take
Ownership
of
Files
or
Other
Objects (зміна власника файлів або інших об'єктів). Операційна система Win dows 2000 спочатку перевіряє права користувача і потім (якщо немає права користувача, спеціально дозволяє дію) звіряє записи АСЕ, що зберігаються в DACL, з ідентифікаторами SID у токені доступу.
Облікові записи користувача володіють правом на читання і запис для об'єкта, для якого вони є власником, навіть у разі наявності у того забороняє запису АСЕ. Обліковий запис користувача може також змінювати дозволи для приналежного їй об'єкта.
5.Файловая система NTFS
Файлова система NTFS - головний бастіон безпеки Windows 2000. Безпечний комп'ютер під управлінням Windows 2000 працює на платформі NTFS, що утворює основу для постійної безпеки.
LSA дає гарантію, що програми, які виконуються не можуть порушити адресний простір пам'яті один одного і що всі звернення до ядра належним чином авторизовані. Але що може перешкодити програмі замінити програмні файли LSA еквівалентної службою, яка буде працювати неправильно? Відповіддю на це питання є NTFS, і цей приклад підкреслює, чому безпечна файлова система - обов'язкова вимога для безпечної операційної системи. Не маючи можливості довіряти файлової системи, що зберігає системні файли, не можна довіряти системі, робота якої реалізується за допомогою виконання цих файлів.
Розглянемо випадок проникнення вірусу на комп'ютер з Windows 95. Користувач виконує програму, яка містить вірус. Вірус визначає, яка програма запустила поточну програму, і заражає її, таким чином поширюючи себе далі на один рівень. При наступному запуску цієї програми вірус зробить те ж саме, а також заразить кожну програму, породжену цією програмою. Через кілька циклів вірус пошириться до ключових програм операційної системи, таким чином заражаючи кожен виконуваний в ній файл. Розглянемо тепер випадок, коли користувач виконує заражену вірусом програму в Windows 2000. Ця програма намагається записати свій вірусний заголовок у explorer. Exe, але блокується засобами безпеки файлової системи NTFS, тому що у користувача немає
дозволів на запис в explorer. exe. Завдяки NTFS цей тип вірусів моментально зупиняється Windows 2000. При попаданні в систему деяких вірусів вдається вижити в режимі користувача (наприклад, макровірусів Word або черв'якам Outlook), але ці віруси все одно не можуть заразити саму операційну систему - якщо тільки вірус не був запущений з обліковим записом, що володіє адміністративним доступом до комп'ютера.
NTFS працює, порівнюючи токен доступу користувача зі списком контролю доступу (ACL), пов'язаних з кожним запитуваною файлом, перед тим, як дозволити користувачу доступ до цього файлу. Цей простий механізм не дає несанкціонованим користувачам змінювати операційну систему або ще що-небудь, до чого у них немає спеціального доступу.
За замовчуванням Windows 2000 перебуває в стані, що надає повний доступ групі «всі» (everyone) для кореня всіх дисків, внаслідок чого всі дозволи, успадковані створюваними там файлами, також доступні для всіх. Для отримання будь-якої реальної користі від безпеки файлової системи NTFS для додатків і збережених користувачами файлів необхідно видалити дозвіл, що надає повний доступ для всіх, і замінити його дозволами з відповідним рівнем безпеки для кожної папки на комп'ютері.
Управління дозволами файлової системи NTFS можна просто і працює аналогічно тому; як дозволу встановлювалися в попередніх версіях Windows
NT.
У Windows 2000 успадкування обробляється по-іншому, ніж в Win dows
NT. У Windows
NT успадковані дозволи були просто такими ж, як у батьківських об'єктів, і могли бути негайно змінені. У Windows 2000, якщо об'єкт успадковує дозволи від містить об'єкт папки, необхідно зняти прапорець Allow
Inheritable
Permissions (Переносити успадковані від батьківського об'єкта дозволу на цей об'єкт), для того щоб створити копію успадкованих дозволів і потім змінити існуючі дозволи. Можна створювати нові записи АСЕ, не перекриваючи установку безпеки.
5.1. Файлова система з шифруванням
Зашифрований файлова система (Encrypting
File
System) - це драйвер файлової системи, що забезпечує можливість зашифровувати і розшифровувати файли на льоту. Використовувати службу дуже легко: користувачі встановлюють атрибут шифрування для файлу або каталогу. Служба EFS генерує сертифікат шифрування у фоновому процесі і використовує його для шифрування заданих файлів. Коли ці файли запитуються драйвером файлової системи NTFS, служба EFS автоматично розшифровує файл для надання його драйвера.
Шифрування файлів виглядає як дійсно чудова можливість, але поточна його реалізація в Windows 2000 має такими дефектами, що EFS в більшості випадків марна, за винятком, може бути, портативних комп'ютерів. Основна проблема EFS в тому, що вона працює тільки для окремих користувачів, що робить її придатною тільки для клієнтських комп'ютерів. Сертифікати шифрування для файлів створюються на основі постатей користувача, тому зашифровані файли можуть бути використані тільки тієї обліковим записом, яка їх створювала. Сертифікати шифрування не можуть бути призначені груповим об'єктів, тому шифрування не може захистити загальні файли, що зберігаються на сервері. Ця архітектура зажадає обміну закритими ключами по мережі, тому для такого обміну повинен бути встановлений зашифрований канал.
EFS не дозволить спільне використання зашифрованих файлів, тому що вона розшифровує їх перед тим, як надати їх за запитом. Це також не передбачено. Якби сертифікати шифрування належали групі, зашифрований файл міг би бути наданий по мережі клієнтові у своєму зашифрованому стані та клієнтський комп'ютер зміг би скористатися своєю участю в групі, володіючи сертифікатом для розшифровки файлу. Kerberos може створювати ключі сеансу для шифрування сертифікатів, щоб зберегти їх у безпеки під час передачі членам групи. Загальні файли можуть бути достатньо безпечними, щоб використовувати їх через Інтернет без закритого тунелю.
Більше того, втрата сертифікату шифрування - ахіллесова п'ята шифрування - не буде такою вже проблемою. До тих пір, поки сертифікат все ще існує у будь-кого з членів групи, цей користувач все ще буде мати копією сертифіката для розшифровки файлів. Так, як вона реалізована сьогодні, EFS завжди створює ключ для агента відновлення (за умовчанням це локальний адміністратор), незалежно від того, хоче користувач чи ні, щоб агент відновлення міг розшифрувати файл.
EFS (так само, як реплікація файлів) - ще один приклад служби, яка була б по-справжньому чудовою, якби Microsoft реалізувала се належним чином. У тому вигляді, в якому вона існує зараз, вона зроблена рівно настільки, щоб Microsoft могла стверджувати про наявність у неї шифрування файлової системи.
Крім того факту, що EFS працює тільки для окремих користувачів, вона має низку інших проблем:
сертифікати шифрування за умовчанням зберігаються в реєстрі локального комп'ютера, де їх можна відновити і використовувати для розшифровки файлів на комп'ютері. Для того щоб EFS функціонувала коректно як безпечна служба шифрування, сертифікати повинні бути видалені з локального комп'ютера на фізично безпечний сервер сертифікатів або експортовані на знімний носій, який не залишається разом з комп'ютером.
Єдиний спосіб забезпечити безпеку локальних сертифікатів EFS - це використовувати аутентифікацію за допомогою смарт-карти або-скористатися SysKey, хеш-значення, що використовується для шифрування локальної бази даних облікових записів SAM, яка містить сертифікат розшифровки EFS, на гнучкий диск або використовувати його в якості пароля під час початкового завантаження - і цей пароль або гнучкий диск повинні бути доступні для всіх, кому потрібно завантажувати комп'ютер;
операції переміщення шляхом перетягування мишею в шифровану папку не приведуть до автоматичного шифрування файлу, тому що операції переміщення не змінюють атрибутів файлу. Операції «вирізати і вставити» змінюють, тому що ви явно видаляєте старий файл і створюєте новий.
зашифровані файли будуть розшифровані, якщо вони будуть переміщені на томи з відмінною від NTFS файловою системою, що не підтримує шифрування.
зашифровані файли не можуть бути зроблені загальними шляхом поміщення в загальну папку. Це обмеження призначено для збереження файлів у зашифрованому вигляді, загальні файли відправляються по мережі в простому текстовому форматі і хто завгодно може їх розшифрувати, маючи в наявності мережевий аналізатор.
багато програм (більшість програм Microsoft
Office) під час редагування файлів створюють тимчасові файли або в локальному, або у тимчасовому каталозі. Шифр для тимчасових файлів слід звичайними правилами: якщо файл створюється в папці, у якої встановлений прапор шифрування, тимчасовий файл буде зашифровано. В іншому випадку він не буде зашифровано і порушить секретність шифрування
друк утворює ще один напрямок випадкової розшифровки: коли друкується зашифрований документ, файл розшифровується вихідним додатком і відправляється у вигляді простого тексту диспетчеру черги друку. Якщо диспетчер друку конфігурований так, щоб буферизованная документи (як у більшості випадків), друковані дані будуть записуватися у файл, який може бути після видалення відновлений для доступу до ваших зашифрованих даних.
Не рекомендується використовувати EFS крім як на одного користувача комп'ютерах, які можна по-іншому фізично захистити. Її простота використання є лише видимістю безпеки, а не справжньої безпекою EFS має сенс застосовувати для комп'ютерів, схильних до крадіжок, таких як портативні комп'ютери, які налаштовані з шифруванням каталогу буфера друку, тимчасових папок і каталогу My
Documents (Мої документи).
6. Мережева
безпеку Windows 2000 Advanced Server
Мережева безпека Windows 2000 заснована на кількох основних службах:
• Active Directory;
• Group Policy;
• Kerberos;
• Share
Security;
• IPSec.
Кожна з цих служб працює разом з іншими, утворюючи єдине ціле: IPSec визначається груповими політиками, які зберігаються в Active
Directory і можуть бути налаштовані для використання Kerberos для автоматичного обміну закритими ключами. Share
Security грунтується на ідентифікаційних даних користувача, підтверджених Kerberos на основі хешірованних паролів, що зберігаються в Active
Directory. Управління політикою безпеки через Active
Directory дозволяє адміністраторам створювати політики, які можуть бути автоматично застосовані до всієї організації.
Active
Directory не є службою безпеки, але практично всі вбудовані в Windows 2000 механізми безпеки покладаються на Active
Directory як на механізм зберігання інформації безпеки, такої як ієрархія доменів, довірчі відносини, ключі криптографії, сертифікати, політики та основні облікові записи безпеки.
Усі механізми безпеки Windows 2000 інтегровані з Active
Directory.
Хоча Active
Directory не є службою безпеки, її можна зробити безпечною: контейнери і об'єкти Active
Directory мають списки контролю доступу (ACL), так само як файли NTFS. Дозволи в Active
Directory можна застосовувати багато в чому аналогічно NTFS. На відміну від дозволів файлової системи NTFS, можна встановлювати дозволу для полів всередині конкретних об'єктів так, щоб
різні користувачі груп безпеки були відповідальні за частини даних об'єкта.
6.1. Аутентифікація Kerberos і безпека домену
Аутентифікація Kerberos була розроблена Массачусетським технологічним інститутом (Massachusetts
Institute
of
Techology, MIT) для реалізації межкомпьютерной довірчої системи, здатної перевіряти справжність принципалів безпеки (таких, як користувач або комп'ютер) через відкриту небезпечну мережу. Kerberos не залежить від аутентифікації, здійснюваної беруть участь комп'ютерами, або збереження цілісності даних при передачі по мережі. З цієї причини Kerberos ідеальна для аутентифікації через Інтернет або у великих мережах.
Kerberos діє як надійна служба аутентифікації третьої фірми, використовуючи загальні секретні ключі .. У Windows 2000 загальний секретний ключ генерується при вході комп'ютера в домені. Оскільки обидві сторони сеансу Kerberos довіряють KDC, вони довіряють один одному. На практиці це довіра реалізовано як безпечний обмін зашифрованими ключами, які підтверджують учасникам взаємодії ідентифікаційні дані іншого боку.
Аутентифікація Kerberos працює наступним чином.
1. Клієнт запитує можливий набір ідентифікаційних даних для даного сервера у KDC, відправляючи запит в простому текстовому форматі, який містить ім'я клієнта (ідентифікатор).
2. KDC шукає таємні ключі, як клієнта, так і сервера в своїй базі даних (Active
Directory) і створює квиток (ticket), що містить випадковий ключ сеансу, поточний час KDC, заданий політикою час закінчення, і, залежно від параметрів, будь-яку іншу інформацію, що зберігається в базі даних. У випадку з Windows 2000 в квитку містяться ідентифікатори SID.
3. Квиток зашифровується з використанням секретного ключа клієнта.
4. Створюється другий квиток, званий квитком сеансу (session
ticket), який містить ключ сеансу і необов'язкові дані аутентифікації, які зашифровуються з використанням секретного ключа сервера.
5. Сполучені квитки передаються назад клієнтові. Серверу аутентифікації немає необхідності явно перевіряти справжність клієнта, тому що тільки що володіє повноваженнями клієнт може розшифрувати квиток.
6. Після того як клієнт отримав у своє розпорядження допустимий квиток і ключ сеансу для сервера, він ініціює взаємодію безпосередньо з сервером. Для цього клієнт конструює посвідчення (authenticator), що складається з поточного часу, імені клієнта, за бажанням - залежну від програми контрольну суму і випадковим чином згенерований початковий номер послідовності та / або з'єднання сеансу, які використовують для добування унікального ідентифікатора сеансу для необхідної служби. Посвідчення діють тільки для однієї спроби і не можуть застосовуватися повторно або використовуватися в атаках відтворення, тому що вони залежать від поточного часу. Посвідчення шифрується за допомогою ключа сеансу і передається разом з квитком сеансу сервера, в якого запитується служба.
7. Коли сервер отримує квиток від клієнта, він розшифровує квиток сеансу за допомогою загального секретного ключа сервера (якщо існує більше одного ключа, потрібний ключ зазначається у частині квитка в простій текстовій формі).
8. Потім сервер витягує з квитка ключ сеансу і використовує його для розшифровки посвідчення. Здатність сервера розшифрувати квиток підтверджує, що він був зашифрований за допомогою секретного ключа сервера, відомого тільки KDC і самому серверу, таким чином, справжність клієнта підтверджується. Посвідчення використовується для гарантії того, що взаємодія недавнє і не є атакою на основі повторного запиту.
Квитки можуть повторно використовуватися протягом періоду, що визначається політикою безпеки домену, але не перевищує восьми годин. Клієнти кешують свої квитки сеансу в
безпечному місці, розташованому в оперативній пам'яті, і знищують їх по закінченню терміну дії.
Kerberos скорочує надання квитків, під час першого контакту з клієнтом надаючи квиток сеансу самому собі так само, як і запитуваній сервера. КОС відповідає на цей первинний запит - спочатку надаючи квиток сеансу для подальших запитів про квитки, званий Ticket - Granting
Ticket
(Квиток на надання квитків, TGT), і потім - квиток сеансу для запитуваної сервера. TGT усуває потребу в подальшому проводиться Active
Directory пошуку клієнта, здійснюючи попередню аутентифікацію подальших запитів про квитки точно таким же способом, яким Kerberos здійснює аутентифікацію всіх інших запитів. Як і будь-який квиток сеансу, квиток TGT дійсний до закінчення терміну дії, який залежить від політики безпеки домену.
Kerberos технічно ділиться на дві служби: службу TGT (єдину службу, яка фактично здійснює аутентифікацію в Active
Directory) і службу надання квитків, яка видає квитки сеансів по отриманні допустимого TGT.
6.1.2. Довірчі відносини між доменами
Kerberos працює через кордони домену (домени в термінології Kerberos називаються сферами (realm), ці терміни еквівалентні).
Ім'я домену, до якого належить принципал безпеки, є частиною імені принципала безпеки. Членство в одному дереві Active
Directory автоматично створить Міждомена ключі Kerberos між батьківським доменомі його дочірніми доменами.
Обмін Міждомена ключами реєструє контролери домену одного домену в якості принципалів безпеки у довіреному домені. Ця проста концепція дає можливість будь-якому принципалу безпеки в домені отримати квиток сеансу в чужому КОС.
1. Коли принципал безпеки в одному домені хоче звернутися до принципала безпеки в сусідньому домені (один з доменів батьківський, інший дочірній), він відправляє запит про квиток сеансу своєму локальному КОС.
2. КОС визначає, що сервер призначення не знаходиться в локальному домені, і відповідає клієнтові, відправляючи йому квиток напряму (referral
ticket), який є квитком сеансу, зашифрований за допомогою Міждомена ключа.
3. Клієнт використовує квиток напрямки для запиту квитка сеансу безпосередньо біля чужого KDC.
4. Чужий KDC розшифровує квиток напрямки, тому що володіє Міждомена ключем, який підтверджує, що довірений контролер домену довіряє клієнтові (інакше він не надав би ключ напрямку).
5. Чужий KDC надає квиток сеансу, допустимий для чужого сервера призначення.
Для більш віддалених доменів цей процес просто повторюється. Для доступу до принципала безпеки в домені, розташованому на відстані двох вузлів в ієрархії доменів Active
Directory, клієнт запитує квиток сеансу для сервера призначення в своєму KDC, який у відповідь пересилає йому квиток напряму до наступного домену в дорозі. Потім клієнт запитує квиток сеансу, використовуючи тільки що отриманий квиток призначення. Цей сервер просто відповість квитком призначення, допустимим для наступного сервера в ланцюжку. Цей процес буде продовжуватися до тих пір, поки не буде досягнутий локальний домен для принципала безпеки призначення. У цей момент ключ сеансу (технічно - TGT і ключ сеансу) надається запитуючій клієнту, який потім зможе пройти аутентифікацію безпосередньо у принципала безпеки призначення.
Остання важлива концепція в аутентифікації Kerberos - делегування аутентифікації. Д елегірованіе аутентифікації (delegation
of
authentication) - це механізм, за допомогою якого принципал безпеки дає можливість іншому принципалу безпеки, з яким у нього встановлений сеанс, запитувати аутентифікацію від свого імені у третього принципала безпеки. Цей механізм важливий у багатоланкових додатках, таких як web-сайт з підтримкою бази даних. За допомогою делегування аутентифікації клієнт-web-браузер може пройти аутентифікацію у web - cep віра і потім надати web-серверу спеціальний квиток TGT, який сервер зможе використовувати для запиту квитків сеансів від свого імені, web-сервер зможе потім використовувати передані web-клієнтом ідентифікаційні дані для аутентифікації на сервері баз даних.
6.1.3. Групові політики
Групова політика (Group
Policy) - це основний механізм Win dows 2000 при управлінні конфігурацією клієнтських робочих станцій для контролю за безпекою і для адміністрування. Політики (policy) - це, в загальному випадку, просто набори змін в установках комп'ютера за замовчуванням. Політики зазвичай організовуються так, щоб окремі політики містили зміни, що реалізують конкретну мету - наприклад, відключення або включення шифрування файлової системи або контроль за програмами, які дозволено запускати користувачеві.
Групові політики (Group
Policies) застосовуються до елементів контейнера Active
Directory (таким, як домен або Organizational
Unit (Підрозділ)). Групи безпеки можуть бути використані для фільтрації групових політик, але політики не можна застосовувати до груп безпеки. Групова політика Windows 2000 не є лише механізмом безпеки - її основне призначення полягає в управлінні змінами і конфігурацією, - але вона дозволяє адміністраторам створювати додаткові системи безпеки, обмежуючи свободу дій користувачів. Групові політики можна застосовувати для управління такими елементами політик комп'ютера (computer
policy):
налаштування реєстру, пов'язані з конфігурацією і управлінням безпеки;
установка програмного забезпечення;
сценарії, які виконуються при завантаженні-завершення роботи і вході-виході з системи;
запуск служб;
дозволу реєстру;
дозволу NTFS;
політики відкритого ключа;
політики IPSec;
налаштування системи, мережі і компонентів Windows.
Групові політики можна застосовувати для управління такими елементами політик користувача (user
policy):
установка програмного забезпечення;
налаштування Internet
Explorer;
сценарії входу-виходу в систему;
налаштування безпеки;
Remote Installation Service (служба
віддаленої
установки);
перенаправлення папок;
компоненти Windows;
налаштування стартового меню, панелі завдань, робочий стіл і Control
Panel (Панель управління);
мережеві настройки;
налаштування системи.
Об'єкти групової політики (Group
Policy
Objects) по суті є налаштованим файлами реєстру (і файлами підтримки, такими, як пакети. Msi і сценарії), які визначаються налаштуваннями політики, які завантажуються і застосовуються до вхідних в домен клієнтських комп'ютерів при початковому завантаженні комп'ютера (конфігурація комп'ютера) і при вході користувача в систему (конфігурація користувача). Об'єкти групової політики і всі файли підтримки, необхідні для групової політики, зберігаються на контролерах домену в загальній папці SysVol. До одного комп'ютера можуть застосовуватися кілька групових політик, при цьому кожна політика буде перезаписувати налаштування попередньої політики у відповідності зі сценарієм «діє остання застосована» - якщо тільки певна політика не налаштована так, щоб її не можна було перезаписати.
Кожен об'єкт групової політики складається з двох частин: конфігурації комп'ютера і конфігурації користувача. Можна сконфігурувати налаштування і користувача, і комп'ютера в одному об'єкті
групової політики, а у вікні властивостей політики можна відключити частину об'єкта, що відноситься до користувача або комп'ютера.
Політики комп'ютера застосовуються під час початковій стадії роботи системи перед входом користувача в систему (і під час періодичних відновлень). Політики комп'ютера регулюють операційну систему, додатки (включаючи Windows
Explorer) і сценарії, які виконуються при завантаженні-завершенні роботи. У разі конфлікту політики комп'ютера зазвичай мають переваги над політиками користувача.
Політики користувача застосовуються після того, як ви увійшли до системи, але перед тим, як йому буде дозволено працювати на комп'ютері, а також під час циклу періодичних оновлень. Політики користувача регулюють поведінку операційної системи, настройки робочого столу, настроювання додатків, перенаправлення папок і призначені для користувача сценарії входу-виходу в систему.
Групові політики називаються груповими політиками тому, що вони застосовуються до груп користувачів, а саме до членів контейнерів Active
Directory, таких як домени або контейнери OU. Групові політики ієрархічні за своєю природою: багато політиків
можуть бути застосовані до одного комп'ютера або користувачеві, вони застосовуються в порядку ієрархії. Крім того, наступні політики можуть перекрити налаштування попередніх політик. Це означає, що окремі елементи політики можна деталізувати при переході від застосовуваних до великих груп, таких як домени, політик широкої дії, до вузьконаправленим політикам, застосовуваним до менших гуртам контейнери OU.
Групові політики конфігуруються на наступних рівнях у наступному порядку.
Локальний комп'ютер. Групова політика застосовується першої, тому вона може бути перекрита політикою домену. У кожного комп'ютера існує одна застосовувана до нього локальна групова політика. Нелокальні групові політики завантажуються з Active
Directory в залежності від місця розташування користувача і комп'ютера в Active
Directory.
Офіс. Ці групові політики унікальні тим, що вони керуються з оснащення Active
Directory
Sites
and
Services (Сайти та служби). Політики офісів застосовуються до офісів, тому їх слід застосовувати для питань, пов'язаних з фізичним розташуванням користувачів і комп'ютерів, а не за участю в безпеці домену.
Домен. Групові політики застосовуються до всіх користувачів і комп'ютерів у домені, і саме тут слід реалізовувати глобальні політики організації.
Контейнер OU (Organizational
Unit). Групові політики застосовуються до вхідних в них користувачам і комп'ютерів. Групові політики застосовуються зверху вниз (батько, потім нащадок) ієрархії OU.
Група безпеки.
Групи безпеки функціонують по-іншому, ніж справжні контейнери доменів. У цьому випадку не визначаються групові політики, застосовувані до групи безпеки, а фільтруються (дозволяються або забороняються) застосовувані до користувача групові політики на основі входження користувача в групи безпеки.
Групові політики застосовуються тільки цілком, не можна вказати, щоб застосовувалася тільки частина політики.
Одна групова політика може бути застосована більш ніж до одного контейнеру в Active
Directory, тому що групові політики не зберігаються в Active
Directory місці їх застосування. Зберігається лише посилання на об'єкт групової політики, самі об'єкти насправді зберігаються в реплицируемой спільній папці SysVol на контролерах домену в домені.
Групова політика домену управляється через оснащення Active
Di rectory
Sites
and
Services для групових політик офісів або оснащення Active
Directory
Users
and
Computers (Користувачі та комп'ютери) для всіх інших нелокальних групових політик.
Одна політика може бути застосована до кількох контейнерів Active
Directory, хоча немає необхідності явно застосовувати політику до
дітям контейнера, до якого вже застосована політика, тому що політика буде вже застосована до принципала безпеки.
6.4. Безпека загальних папок
Загальні папки (shares) - це каталоги або тому на робочій станції або сервері, до яких мають доступ інші комп'ютери в мережі. Доступ до загальних папок може бути або відкритим, або контролюватися дозволами. Загальні папки використовують безпеку рівня загальних папок (share - level
security), яка управляє дозволами загальних папок, але не конкретних об'єктів усередині папки. Безпека рівня файлів переважає над безпекою рівня загальних папок, але може застосовуватися тільки на томах NTFS.
Хоча за допомогою загальних папок можна встановити прийнятну безпеку в маленькій мережі, техніка безпеки загальних папок в дійсності погано масштабується для забезпечення безпеки великих мереж і оточень.
Основна причина для встановлення мережі - це спільне використання файлів. Будь-який каталог на будь-якій робочій станції або сервері в мережі може бути визначений як загальний каталог. Хоча загальні папки не володіють тим же рівнем безпеки, як каталоги NTFS на виділеному сервері, Windows 2000 надає простий набір можливостей безпеки для загальних каталогів.
Доступ до спільних папок. На сервері може бути налаштоване кілька загальних папок - тому цілком, каталоги на більш глибоких рівнях, - всі вони бачаться користувачам як єдиний список під іменем сервера. Користувачі можуть отримати доступ до папки з іменем сервера через значок My
Network
Places (Моє мережне оточення) і потім відкрити її, щоб відобразити список загальних папок.
Загальні папки за замовчуванням. У Shared
Folder
Manager (диспетчер загальних папок), кілька загальних папок з іменами, що закінчуються знаком долара: З $, ADMIN $ і т. п. Це адміністративні загальні папки (administrative
shares) - загальні папки, автоматично конфігуровані Windows 2000 і доступні тільки для адміністраторів і самої операційної системи. Ці загальні папки використовуються для віддаленого адміністрування і взаємодії між системами.
Адміністративні загальні папки представляють певний ризик з точки зору безпеки. Хакер, що одержав доступ до облікового запису Administrator на одній робочій станції в робочій групі, зможе отримати доступ до системних дисків інших робочих станцій, легко отримуючи доступ рівня адміністратора до всієї робочої групи.
Можна підвищити безпеку, відключивши автоматичні адміністративні загальні папки, створені для кореневих каталогів диски на жорсткому диску (С $, 0 $ і т. д.).
Безпека рівня загальних папок аналогічна безпеки файлової системи, але далеко не так різноманітна (або безпечна), тому що записи управління доступом загальних папок можуть застосовуватися тільки до спільної папки як до єдиного цілого. Безпека не можна налаштувати всередині спільної папки.
У безпеки рівня загальних папок є одна суттєва перевага: вона працює з будь-яким загальним каталогом, чи знаходиться він на томі NTFS або FAT. Безпека рівня загальних папок - єдиний спосіб забезпечити безпеку каталогів FAT. Проте встановлені дозволу для спільної папки впливають тільки на віддалених користувачів. Користувачі, локально що ввійшли в систему комп'ютера, мають доступ до всіх папок на томі FAT, незалежно від того, загальні вони чи ні. Безпека рівня загальних папок також не може бути застосована до користувачів, що ввійшли в систему локально, або клієнтам Terminal
Services (служби терміналу).
Дозволи загальних папок. Для загальних папок можливі наступні дозволи, кожне з яких може бути дозволено або заборонено:
• Read (Читання) - дозволяє користувачам переглядати вміст каталогу, відкривати і читати файли і запускати програми;
• Change (Зміна) - дозволяє все, що й дозвіл Read (Читання). Плюс до цього користувачі можуть створювати, видаляти і змінювати файли;
• Full
Control (Повний доступ) - дозволяє все, що і дозволу Read (Читання) і Change (Зміна). Плюс до цього користувачі можуть змінювати дозволи і міняти власника файлів.
6.5. Шифрування мережевого рівня
Віртуальні приватні мережі (virtual
private
network, VPN) це високовитратний спосіб розширити локальну мережу через Інтернет до віддалених мереж і віддалених клієнтських комп'ютерів. Мережі VPN використовують Інтернет для передачі трафіку локальної мережі з однієї приватної мережі в іншу, інкапсуліруя трафік локальної мережі в IP-пакети. Зашифровані пакети не можуть бути прочитані проміжними комп'ютерами Інтернету і можуть містити будь-який вид взаємодій локальної мережі, включаючи доступ до файлів і принтерів, електронну пошту локальної мережі, виклики віддалених процедур і клієнт-серверний доступ до баз даних.
Віртуальні приватні мережі між локальними мережами можна встановлювати за допомогою комп'ютерів-серверів, брандмауерів або маршрутизаторів. Доступ клієнтів до VPN може здійснюватися за допомогою програмного забезпечення VPN на клієнтських комп'ютерах або шляхом віддаленого телефонного з'єднання до постачальників послуг Інтернету (ISP), що підтримує протокол VPN. При другому методі, однак, ISP стає вашим партнером в безпеці мережі.
Одні тільки системи VPN не забезпечують достатнього захисту мережі також буде потрібно брандмауер і інші служби безпеки Інтернету для забезпечення безпеки мережі. Проблеми з безпекою в особливості властиві протоколу РРТР
Використання Інтернету для зв'язку локальних мереж і надання віддалених комп'ютерів доступу до локальної мережі тягне за собою проблеми безпеки, продуктивності, надійності та керованості. Клієнти і сервери локальної мережі повинні бути захищені від Інтернету за допомогою трансляції мережевих адрес, здійснюваної брандмауером, і / або проксі-серверами так, щоб (в ідеалі) зловмисники в мережі не могли навіть дізнатися про їх існування, що сильно знижує їх схильність індивідуальним атакам . Для того щоб утруднити хакерам можливість захоплення закритою інформацією фірми, більшість брандмауерів конфігуруються так, щоб не пропускати типові службові протоколи локальної мережі, такі як SMB, NetBIOS, NetWare
Core
Protocol або NFS.
SMB працює особливо добре в чистому вигляді через Інтернет. Маючи високошвидкісний канал, можна просто використати спільне використання файлів через Інтернет без брандмауерів або сконфігурувати ваш брандмауер для передачі трафіку 8MB і Kerberos або NetBIOS і дозволити віддалений доступ до служб файлів та друку. Це дозволить хакерам зробити спробу отримати доступ до своїх даних, просто надавши припустиме ім'я облікового запису та пароль або провівши атаку на протокол і скориставшись його помилкою.
6.5.1. Технологія VPN
Віртуальні приватні мережі (VPN) вирішують проблему прямого доступу до серверів через Інтернет за допомогою об'єднання наступних фундаментальних компонентів безпеки:
• IP-інкапсуляція;
• захищена аутентифікація;
• шифрування вкладених даних.
Протокол Secure
Socket
Layer здійснює шифрування вкладених даних без захищеної
аутентифікації віддаленого користувача, a
Kerberos здійснює захищену аутентифікацію без шифрування вкладених даних.
IP-інкапсуляція. В ідеалі, комп'ютери в кожній локальної мережі не повинні нічого підозрювати про те, що у взаємодії з комп'ютерами з інших локальних мереж є щось особливе. Комп'ютери, що не входять у вашу віртуальну мережу, не повинні мати можливість підслуховувати трафік між локальними мережами або вставляти в комунікаційний потік свої власні дані.
IP-пакет може містити будь-який вид інформації: файли програм, дані електронних таблиць, звукові дані або навіть інші IP-пакети. Коли IP-пакет містить інший IP-пакет, це називається IP-інкапсуляцією (IP
encapsulation), IP поверх IP
(IP
on
IP) або IP / IP. Можна інкапсулювати один IP-пакет в інший кількома способами; Microsoft робить це двома різними, але пов'язаними способами, визначеними в протоколах Point - to - Point
Tunneling
Protocol (РРТР) і Layer 2 Tunneling
Protocol (L 2 TP). Microsoft також підтримує IPSec, якому не обов'язково використовувати інкапсуляцію.
IP-інкапсуляція може змусити два віддалені один від одного мережі виглядати для комп'ютерів мережі сусідніми, відокремленими один від одного тільки одним шлюзом, хоча насправді вони будуть розділені багатьма шлюзами і маршрутизаторами Інтернету, які можуть навіть не використовувати одного адресного простору, тому що обидві внутрішні мережі застосовують трансляцію адрес.
Кінцева точка тунелю, будь це маршрутизатор, пристрій VPN, або сервер, на якому працює протокол тунелювання, витягне внутрішній пакет, розшифрує його і потім відправить вкладений пакет за його шляху призначення у внутрішній мережі у відповідності зі своїми правилами маршрутизації.
Передача даних в сполучених по протоколу РРТР локальних мережах починається і закінчується точно так само, як це відбувається в локальних мережах, з'єднаних через маршрутизатор. IP-пакетів, проте, доводиться проходити більш далеку дорогу, тож у середині проробляється велика робота. З точки зору двох клієнтських комп'ютерів в мережі не має значення, яким чином пакет був отриманий однієї IP-підмережею від іншої. Для залучених у з'єднання мережевих клієнтських комп'ютерів маршрутизатор означає те ж саме, що і два RRAS-сервера і РРТР-з'єднання.
Захищена аутентифікація. Захищена аутентифікація (cryptographic
authentication) використовується для безпечного підтвердження особи віддаленого користувача, для того щоб система змогла визначити відповідний цьому користувачеві рівень безпеки. Мережі VPN застосовують захищену аутентифікацію для того, щоб визначити, чи може користувач брати участь у зашифрованому тунелі чи ні, а також можуть застосовувати її для обміну секретними або відкритими ключами, що використовуються для шифрування вкладених даних.
Існує багато різних видів захищеної аутентифікації в двох загальних категоріях.
• Шифрування з секретним ключем. Також називається шифруванням за загальним секретним ключем (shared
secret
encryption) або симетричним шифруванням (symmetric
encryption), покладається на секретне значення, відоме обом сторонам.
• Шифрування з відкритим ключем. Покладається на обмін односпрямованими ключами (unidirectional
keys) - ключами, за допомогою яких можна тільки зашифрувати дані. Кінцеві системи тунелю можуть обмінюватися парами відкритих ключів для утворення двонаправленого каналу, або одержувач при передачі з відкритим ключем може зашифрувати загальний секретний ключ і переслати його відправнику для використання в майбутніх комунікаціях (тому що шифрування з секретним ключем швидше, ніж шифрування з відкритим ключем).
Якщо хакер перехопить відкритий ключ (або ключ для зашифровки), він зможе тільки зашифрувати дані і передати їх одержувачу, але не зможе розшифрувати зміст перехоплених даних.
Шифрування вкладених даних. Шифрування вкладених даних (data
payload
encryption) використовується для приховування змісту інкапсульованих даних при шифруванні інкапсульованих IP-пакетів і даних, і внутрішня структура приватних мереж зберігається в секреті. Шифрування вкладених даних може здійснюватися за допомогою одного з криптографічних методів забезпечення безпеки, які різняться в залежності від вашого рішення VPN.
6.5.2. IPSec
IPSec
(Internet
Protocol
Security) це система стандартів IETF для безпечних IP-комунікацій, покладається на шифрування для забезпечення достовірності і закритості IP-комунікацій. IPSec забезпечує механізм, за допомогою якого можна реалізувати наступне:
• перевіряти справжність окремих IP-пакетів і гарантувати, що вони не були змінені;
• шифрувати вкладені дані окремих IP-пакетів між двома кінцевими системами;
• інкапсулювати TCP або UDP сокет між двома кінцевими системами (хостами) всередині захищеного IP-каналу (тунелю), встановленого між проміжними системами (маршрутизаторами) для забезпечення функціонування віртуальної приватної мережі.
IPSec реалізує ці три функції за допомогою двох незалежних механізмів: протокол Authentication
Headers '(АН) для аутентифікації і протокол Encapsulation
Security
Payload (ESP) для шифрування частини даних IP-пакета. Ці два механізми можуть застосовуватися разом або окремо.
Механізм АН працює, обчислюючи контрольну суму всієї інформації заголовка TCP / IP і зашіфровивая контрольну суму за допомогою секретного ключа одержувача. Одержувач розшифровує контрольну суму за допомогою свого таємного ключа і потім звіряє заголовок з розшифрованої контрольною сумою. Якщо обчислена контрольна сума відрізняється від контрольної суми заголовка, то в цьому випадку або не вдалася розшифровка через неправильне ключа, або заголовок був змінений при передачі. У будь-якому випадку пакет відкидається.
IPSec може діяти в одному з двох режимів: транспортному режимі (transport
mode), який працює в точності як звичайний IP, за винятком того, що проводиться аутентифікація заголовків (АН) і вміст шифрується (ESP), або в тунельному режимі (tunnel
mode), в якому IP-пакети цілком інкапсулюються всередину пакетів АН або ESP для забезпечення безпечного тунелю. Транспортний режим використовується для забезпечення безпечного або автентичного взаємодії через відкриті області IP між з'єднаними через Інтернет хостами у будь-яких цілях, в той час як тунельний режим використовується для створення безпечних каналів передачі даних між маршрутизаторами або іншими кінцевими точками мережі з метою скріплення двох приватних мереж.
Тунельний режим.
При звичайному маршрутизуються з'єднанні хост передає IP-пакет своєму шлюзу за замовчуванням, який просуває пакет до тих пір, поки він не досягне шлюзу за замовчуванням одержувача, і потім передає його кінцевому хосту. Всі комп'ютери в поєднанні повинні бути в одному відкритому адресному просторі.
У IP поверх IP, або IP / IP, шлюз за замовчуванням (або інший маршрутизатор по шляху проходження) отримує пакет і зауважує, що його маршрут для цього пакета задає тунель IP / IP, тому він встановлює TCP / IP-з'єднання з віддаленим шлюзом. За допомогою цього з'єднання шлюз передає весь IP-трафік хоста-ініціатора всередині цього з'єднання, замість того щоб просувати його.
IPSec реалізує і IP / IP, і IPSec / IP. IP / IP забезпечує незашифрований віртуальний тунель між двома кінцевими системами a
IPSec / IP застосовує ESP для шифрування вкладених даних несе IP, таким чином зашіфровивая весь інкапсульованний IP-пакет
Internet
Key
Exchange.
IPSec використовує криптографію відкритого ключа для шифрування даних між кінцевими системами. Для того щоб встановити IPSec-з'єднання з хостом-одержувачем, хост повинен знати відкритий ключ цього хоста. Технічно відправник може просто запитати у хоста відкритий ключ, але це е забезпечить аутентифікації - будь-який хост може запросити ключ і п олучіть його. Таким чином працює SSL, справжність комп'ютер; не має значення, і SSL покладається на який-небудь інший протокол для аутентифікації користувача після встановлення тунелю.
IPSec використовує концепцію Security
Association
(Безпечна асоціація, SA) для створення іменованих комбінацій ключів і політики, що використовуються для захисту інформації для певної функції. Політика може вказувати певного користувача, IP-адреса хоста або мережеву адресу, аутентифікація яких повинна бути проведена, або задавати маршрут, де можна було б отримати таку інформацію.
Internet
Key
Exchange
(IKE) усуває необхідність вручну вводити ключі в системи. IKE використовує безпеку з секретним ключем для підтвердження своїх повноважень для створення IPSec-з'єднання і для секретного обміну відкритими ключами. Протокол IKE також здатний погоджувати сумісний набір протоколів шифрування з чужим хостом, так що адміністраторам не потрібно знати, які саме протоколи шифрування підтримуються на хості іншого боку. Після обміну відкритими ключами і узгодження протоколів шифрування безпечні асоціації автоматично створюються на обох хостах і може бути встановлено звичайне IPSec-взаємодія. З використанням IKE в кожен комп'ютер, якому потрібна взаємодія через IPSec, повинен бути введений тільки один секретний ключ. Цей ключ може бути використаний для створення з'єднання IPSec з будь-яким іншим IPSec-хостом, що володіє цим же секретним ключем
У
Windows 2000 можна
сконфігурувати
політики
IPSec
для
використання
Kerberos
для
автоматичного
обміну
секретними
ключами
для
IKE
Це усуває
потреба
в
ручному
введенні
ключів
і
дозволяє
реалізувати повністю
автоматичне
безпечне
шифрування
між
членами
однієї Active
Directory
в
мережах
Windows 2000
Ініціатор IKE починає IKE-запит, відправляючи віддаленого хосту запит на з'єднання у вигляді простого тексту. Віддалений хост генерує випадкове число, зберігає її копію та надсилає копію назад ініціатору. Ініціатор шифрує свій секретний ключ з використанням випадкового числа і відправляє його віддаленого хосту. Віддалений хост розшифровує секретний ключ, використовуючи своє збережене випадкове число, і порівнює закритий ключ зі своїм секретним ключем (або списком ключів, званому зв'язкою ключів (keyring)). Якщо секретний ключ не збігається ні з одним ключем зі списку, віддалений хост розірве з'єднання. Якщо співпаде, віддалений хост зашифрує свій відкритий ключ за допомогою таємного ключа і відправить його назад ініціатору. Ініціатор потім скористається відкритим ключем для створення сеансу IPSec з віддаленим хостом.
Ініціювання процедури обміну ключами (IКЕ)
Випадковий ключ
Зашифрований секретний ключ
Шифрований відкритий ключ
Рис. 6.5.2.1.
Приклад
роботи Internet Key Exchange.
Реалізація Microsoft
IPSec не завершена повністю, тому що стандарти IPSec все ще з'являються. Практичним наслідком цього є те, що реалізація IPSec у Windows 2000 за замовчуванням несумісна з реалізаціями більшості постачальників брандмауерів
6.5.3. L 2 TP
Layer 2 Tunneling
Protocol є розширенням протоколу Point - to - Point
Protocol (протокол точка-точка, РРР) і дозволяє розділити кінцеву точку каналу передачі даних і точку доступу до мережі. У традиційному РРР користувач (зазвичай віддалений користувач) встановлює РРР-з'єднання з сервером віддаленого доступу. Цей сервер відповідає на з'єднання канального рівня (дзвінок через модем) і також працює як точка доступу до мережі, отримуючи дані, інкапсульованими у РРР-повідомлення, і передаючи їх у мережу призначення. Інкапсульовані дані можуть бути кадром AppleTalk, IP-пакетом, IPX-пакетом, пакетом NetBIOS або будь-яким іншим пакетом мережевого рівня.
У
Windows 2000 ця
служба
називається
RRAS.
L 2 TP відокремлює відповіді на дзвінки і маршрутизациї доступ по мережі При роботі за протоколом L 2 TP тих, що дзвонять сторона може додзвонюватися до модемного пула (або DSL
Access
Module, або чого-небудь ще) і ці пристрої можуть просто інкапсулювати отримані пакети L 2 TP в пакети Frame
Relay, ATM або TCP / IP для подальшої передачі сервера віддаленого доступу. Після досягнення сервера віддаленого доступу вміст пакетів L 2 TP витягається і вкладені дані передаються в локальну мережу.
L 2 TP призначений для того, щоб дати можливість постачальникам послуг Інтернету використовувати менш дороге устаткування, розділяючи функції сервера віддаленого доступу на апаратну функцік (фізичний прийом даних через з'єднання) і програмну функцію (отримання інкапсульованих даних РР-Р), що може бути реалізовано на різних комп'ютерах. Це дає ряд важливих переваг:
• користувачі можуть додзвонюватися до локального модемного пулу який буде передавати L 2 TP що знаходиться на великій відстані сервера віддаленого доступу, таким чином уникаючи витрат на дзвінки на велику відстань при віддаленому доступі з прямим додзвоном;
• вкладені дані в L 2 TP можуть бути зашифровані за допомогою IPSec для забезпечення віддаленого доступу з захищеної аутентифікацією;
• багатоканальні сеанси L 2 TP можуть фізично оброблятися різними приймачами і коректно зв'язуватися з єдиним сервером віддаленого доступу. У нинішній реалізації багатоканальних РРР-з'єднань всі канали повинні бути з'єднані одним і тим же сервером віддаленого доступу.
L 2 TP може використовувати IPSec для шифрування кадрів РРР, такт чином надаючи віддаленим користувачам можливість без небезпечного РРР-сеансу. L 2 TP спеціально розроблявся для надання віддаленому користувачеві можливостей аутентифікації
і підключення до віддалених мереж. Оскільки L 2 TP є розширенням РРР, будь-який протокол мережевого рівня (наприклад, IPX, NetBEUI або AppleTalk) може бути вбудований всередину L 2 TP. На противагу цьому, обидва протоколи РРТР і IPSec призначені для використання в IP-мережах і не працюють з іншими протоколами. Застосування РРР також забезпечує підтримку всіх стандартних протоколів аутентифікації користувача, включаючи CHAP, MS - CHAP і ЕАР.
L 2 TP використовує в якості свого транспорту UDP, а не TCP / IP, тому що вбудований протокол РРР може забезпечити необхідну гарантію надійності для потоку L 2 TP працює через порт 1701 UDP.
6.5.4. РРТР
РРТР був першою спробою Microsoft надати безпечний віддалений доступ користувачам мережі. По суті, РРТР створює зашифрований сеанс РРР між хостами TCP / IP. На відміну від L 2 TP, РРТР діє тільки поверх TCP / IP; L 2 TP може працювати поверх будь-якого транспорту пакетів, включаючи Frame
Relay і ATM. РРТР не використовує IPSec для шифрування пакетів, замість цього він використовує хешірованний пароль користувача Windows 2000 для створення закритого ключа між клієнтом і віддаленим сервером, який (у версії з 128-бітним шифруванням) задіює випадкове число для підвищення стійкості шифрування.
7. Розробка програми визначальною ім'я комп'ютера і
його ip-адрес.
Постановка завдання та визначення основних
цілей програми.
Поставлено завдання скласти програму яка могла б отримувати ім'я комп'ютера (робочої станції), визначати його ip-адресу в мережі і виводити ці дані на екран. Програма повинна працювати в середовищі Win32, використовувати мінімум ресурсів, бути досить компактної й написаної мовою вищого рівня.
Принцип роботи програми.
Для написання програми було використано мову програмування макро Асемблер (MASM).
Використовувалися наступні бібліотеки: wsock32.lib, user32.lib, kernel32.lib, gdi32.lib.
При запуску програми (exe файлу) вона звертається через АР-функції до динамічних бібліотек Windows і отримує з них необхідні дані, далі через АР-функції виводить отримані дані (ім'я та ip-адресу робочої станції) на екран у стандартному для Windows вікні, вікно фіксованого розміру.
Програма скомпільована з включенням makefile (файлу збірки). makefile вважає що в директорія masm32 знаходиться на тому ж накопичувачі і - в стандартній instalation позиції. Так само є файл що використовуються програмою ресурсів.
Рис. 7.2.1. Зовнішній вигляд вікна програми
Висновки
Безпека - це комплекс заходів, що вживаються для запобігання втрати або розкриття інформації в мережі. Оскільки неможливо абсолютно усунути ймовірність втрати в придатних до роботи системах, певний ступінь ризику неминуча, і безпека системи повинна грунтуватися на фундаменті надання доступу тільки надійним принципалам безпеки (користувачам або комп'ютерів).
Для управління безпекою будь-яка система повинна:
• контролювати доступ;
• ідентифікувати користувачів;
• обмежувати або забороняти доступ;
• записувати діяльність користувачів;
• здійснювати закрите взаємодія між системами;
• мінімізувати ризик неправильної конфігурації.
Шифрування, процес приховування повідомлення за допомогою математичного алгоритму (шифру), і секретне значення (ключ), відоме тільки легітимним сторонам, утворюють основу всієї сучасної комп'ютерної безпеки. Шифрування може бути використано для підтвердження ідентифікаційних даних користувача або комп'ютера, для перевірки допустимості даних або для приховування вмісту даних при зберіганні або в комунікаційному потоці.
Безпека Windows 2000 грунтується на аутентифікації користувачів. Входячи в систему Windows 2000, користувачі підтверджують свою особистість для того, щоб отримати доступ до файлів, програм і загальним даними на серверах. Windows 2000 використовує проникаючу модель безпеки, в якій ідентифікаційні дані користувача перевіряються при всіх діях, що виконуються на комп'ютері, замість того щоб надавати широкий доступ до комп'ютера після того, як стався успішний вхід в систему.
Для того щоб операційна система була надійною, вона повинна бути здатною гарантувати, що не піддавалася несанкціонованим змінам і що інформація може зберігатися в безпеці від користувачів. Windows 2000 використовує дозволу файлової
системи NTFS для управління доступом до файлів, включаючи файли, що забезпечують завантаження Windows 2000. Дозволи можуть бути надані користувачам і групам користувачів для кожної функції файлової системи. Файли також можуть бути зашифровані на диску для гарантії того, що до них не буде отриманий доступ, навіть коли комп'ютер вимкнений.
Мережева безпека Windows 2000 управляється за допомогою Active
Directory, використовуваної в якості репозитарія хешірованних паролів Kerberos, групових політик і політик IPSec. Active
Directory визначає також взаємини між принципалами безпеки.
Windows 2000 використовує Kerberos для перевірки ідентифікаційних даних користувача по мережі. Kerberos є надійною системою безпеки третьої фірми. Оскільки обидві кінцеві точки у взаємодії довіряють і доверяеми сервером Kerberos, вони довіряють один одному. Сервери Kerberos можуть довіряти іншим серверам Kerberos, тому можуть бути створені транзитивні довірчі відносини, що дають можливість кінцевим точкам з розділених великою відстанню мереж встановлювати сеанси взаємодії з перевіркою достовірності. Kerberos інтегрований з Active
Directory (всі контролери домену є центрами Kerberos
Key
Distribution
Center (центрами розподілу ключів Kerberos)), і входження в одне дерево домену автоматично створює транзитивні двосторонні довірчі відносини.
Групові політики застосовуються для встановлення вимог безпеки та конфігурації комп'ютерів та облікових записів користувачів у домені, офісі або контейнері OU. Можна застосовувати групові політики для управління практично всіма елементами безпеки комп'ютерів і користувачів. Групові політики керуються з оснащення Active
Directory
Users
and
Computers (Користувачі та комп'ютери) або через оснащення Active
Directory
Sites
and
Services (Сайти І служби).
IPSec є стандартом Інтернету для забезпечення автентичності IP-пакетів і для шифрування даних, вкладених в IP-пакети. IPSec працює з багатьма різними алгоритмами безпеки і може працювати в звичайному транспортному режимі або тунельному режимі для емуляції закритого каналу у відкритій мережі, такий як Інтернет.
Безпека в еру Інтернету означає активну блокування сеансів від невідомих комп'ютерів, авторизацію користувачів на основі сертифікатів публічних ключів шифрування, аудиту використання файлів і каталогів, шифрування передачі даних і запобігання ненавмисної активізації вірусів і троянських коней легітимними користувачами.
Винісши уроки з погано підготовленою Windows
NT 4, Windows 2000 надає складний набір засобів аутентифікації користувачів, шифрування даних, забезпечення безпечних з'єднань, блокування несанкціонованого доступу та цілісного управління безпекою. За допомогою набору служб за замовчуванням Windows 2000 можна зробити більш безпечною, ніж будь-яку іншу операційну систему для масового ринку - у тому числі всі версії UNIX або Linux, - і нею набагато простіше керувати і використовувати у безпечному стані.
Windows 2000 не може, тим не менш, передбачити все, тому що Microsoft і постачальники програмного забезпечення третіх фірм поки ще на перше місце ставлять простоту використання, а не безпеку в споживчих продуктах, таких як Internet
Explorer, Outlook і Office. У всіх цих програмах існують серйозні вади в безпеці через їх вбудованих сценарних процесорів, які вимагають від адміністраторів мереж неустанної пильності. Windows 2000 також може допомогти у виправленні цих проблем, але поки Microsoft в своїх продуктах для кінцевих користувачів не стане приділяти основну увагу безпеці, єдиним способом запобігти проблемам безпеки у вашій мережі, викликані цими програмами,-це взагалі їх не використовувати.
Список літератури:
В. Оліфер Н. Оліфер. Мережеві операційні системи - С. Петербург.: Пітер., - 2003.
Марк Джозеф Едвард, Девід Лебланк. Де NT зберігає паролі. - Журнал "Windows 2000 Magazine", -02/1999
Метью Штребе. Windows 2000: проблеми та рішення. Спеціальний довідник - С. Петербург.: Пітер., -2002.
Андрєєв А. Г. та ін Microsoft Windows 2000: Server і Professional. Російські версії. - BHV, -2001.
Грег Тодд. Windows 2000 Datacenter Server / / за матеріалами сайту http:www. Citforum. Ru
Кріста Андерсон. Адміністрування дисків в Windows 2000 .- Журнал "Windows 2000 Magazine", -03/2000 / / за матеріалами сайту http:www.citforum.ru
Джеффрі Р. Шапіро. Windows 2000 Server. Біблія користувача - Вільямс, - 2001.
Гаррі М. Брелсфорд. Секрети Windows 2000 Server - Вільямс, -2000.
Гусєва. Мережі та міжмережеві комунікації. Windows 2000 - Діалог Міфи, - 2002.
Додаток А
Вихідний текст програми
.386
. Model flat, stdcall
option casemap: none
include / masm32/include/windows.inc
include / masm32/include/user32.inc
include / masm32/include/kernel32.inc
include / masm32/include/wsock32.inc
include / masm32/include/gdi32.inc
includelib / masm32/lib/wsock32.lib
includelib / masm32/lib/user32.lib
includelib / masm32/lib/kernel32.lib
includelib / masm32/lib/gdi32.lib
WndProc PROTO: DWORD,: DWORD,: DWORD,: DWORD
. Data
dlgname db "WINSOCK", 0
szTitle db "Ip Dialog", 0
wsaError db "Error initializing winsock!", 13,10
szName db "Computer Name:% s", 0
szFont db "MS Sans Serif", 0
. Data?
wsa WSADATA >
hStatic dd?
hFont dd?
hInstance dd?
buffer db 24 dup (?)
buffer2 db 128 dup (?)
. Code
start:
invoke GetModuleHandle, NULL
mov hInstance, eax
invoke WSAStartup, 101h, addr wsa
. If eax == NULL
invoke DialogBoxParam, hInstance, ADDR dlgname, 0, ADDR WndProc, 0
invoke ExitProcess, 0
. Endif
invoke MessageBox, NULL, offset wsaError, offset szTitle, MB_OK + MB_ICONSTOP
invoke ExitProcess, 1
WndProc proc hWin: DWORD, uMsg: DWORD, wParam: DWORD, lParam: DWORD
. If uMsg == WM_INITDIALOG
invoke LoadIcon, hInstance, 101
invoke SendMessage, hWin, WM_SETICON, TRUE, eax
invoke GetDlgItem, hWin, 2000
mov hStatic, eax
invoke gethostname, offset buffer, sizeof buffer
invoke wsprintf, addr buffer2, addr szName, addr buffer
invoke SetDlgItemText, hWin, 3000, addr buffer2
invoke gethostbyname, addr buffer
mov eax, [eax +12]
mov eax, [eax]
mov eax, [eax]
invoke inet_ntoa, eax
invoke SetDlgItemText, hWin, 2000, eax
invoke WSACleanup
xor eax, eax
ret
. Elseif uMsg == WM_CTLCOLORSTATIC
mov eax, lParam
. If eax == hStatic
invoke CreateFont, 16,16,0,0,400,0,0,0, OEM_CHARSET, \
OUT_TT_PRECIS, CLIP_DEFAULT_PRECIS, \
DEFAULT_QUALITY, DEFAULT_PITCH or FF_SWISS, \
ADDR szFont
mov hFont, eax
invoke SelectObject, wParam, hFont
invoke GetSysColor, COLOR_MENU
invoke SetBkColor, wParam, eax
invoke SetTextColor, wParam, Blue
invoke GetStockObject, HOLLOW_BRUSH
ret
. Endif
. Elseif uMsg == WM_CLOSE
invoke DeleteObject, hFont
invoke EndDialog, hWin, 0
xor eax, eax
ret
. Endif
xor eax, eax
ret
WndProc endp
end start
Додаток Б
Файл збірки
makefile
NAME = ip
$ (NAME). Exe: $ (NAME). Obj $ (NAME). Res
\ Masm32 \ bin \ Link / SUBSYSTEM: WINDOWS / LIBPATH: \ masm32 \ lib $ (NAME). Obj $ (NAME). Res
$ (NAME). Res: $ (NAME). Rc
\ Masm32 \ bin \ rc $ (NAME). Rc
$ (NAME). Obj: $ (NAME). Asm
\ Masm32 \ bin \ ml / c / coff / Cp $ (NAME). Asm
Додаток В
Файл використовуваних ресурсів
ip. rs
# Include "\ masm32 \ include \ resource.h"
WINSOCK DIALOG DISCARDABLE 0, 0, 135, 25
STYLE WS_POPUP | WS_CAPTION | WS_SYSMENU
CAPTION "Ip Dialog"
FONT 8, "MS Sans Serif"
BEGIN
GROUPBOX "& Main", 3000,0,0,135,25
CTEXT "Static", 2000,4,9,127,12, SS_CENTERIMAGE | SS_SUNKEN
END
101 ICON DISCARDABLE "ico101.ico"
Додати в блог або на сайт
Цей текст може містити помилки.
Програмування, комп'ютери, інформатика і кібернетика | Реферат
231.9кб. | скачати
Схожі роботи:
Операційна система Windows 2000 Server
SQL Server 2000
Аналіз криптостійкості методів захисту інформації в операційних системах Microsoft Windows 9x
Windows Microsoft Word і Microsoft Excel
Система баз даних MS SQL Server 2000
Windows NT 40 Server
Забезпечення безпеки системи і захист даних в Windows 2003
Операційна система Windows Server 2008
Ваш власний сервер установка Windows Server 2003