Аналіз системи безпеки Microsoft Windows 2000 Advanced Server і стратегій її використання

[ виправити ] текст може містити помилки, будь ласка перевіряйте перш ніж використовувати.

скачати

Тема курсового проекту: «»


Основні розділи курсового проекту:


  1. Мережеві операційні системи.

  2. Філософія та архітектура Microsoft Windows 2000 з точки зору безпеки.

  3. Розробка програми визначальною мережеве ім'я та ip-адреса комп'ютера (робочої станції).


Рекомендована література:

  1. В. Оліфер Н. Оліфер. Мережеві операційні системи - С. Петербург.: Пітер., - 2003.


  1. Метью Штребе. Windows 2000: проблеми та рішення. Спеціальний довідник - С. Петербург.: Пітер., -2002.


  1. Кріста Андерсон. Адміністрування дисків у Windows 2000.-Журнал "Windows 2000 Magazine", -03/2000 / / за матеріалами сайту http:www.citforum.ru


  1. Марк Джозеф Едвард, Девід Лебланк. Де NT зберігає паролі. - Журнал "Windows 2000 Magazine", -02/1999 / / за матеріалами сайту http:www.citforum.ru


Дата видачі завдання «____»_____________ 2004
Керівник курсового проекту

Вступ


При створенні системи безпеки нової ОС Windows 2000 Advanced Server розробники фірми Microsoft постаралися врахувати як існуючий досвід використання системи безпеки Windows NT 4.0, так і реалізувати нові набори механізмів і протоколів безпечної роботи з інформацією. Windows NT 4.0 обрана не випадково: вона позиціонується як ОС для підприємств, володіє вбудованими можливостями розмежування доступу до ресурсів і за 6 років експлуатації добре зарекомендувала свої існуючі і потенційні можливості безпеки. Але якщо заглянути в Windows 2000 Advanced Server, то, очевидно, що, незважаючи на велику кількість механізмів безпеки, внесених в нову ОС з Windows NT 4.0, всі вони зазнали істотних змін у бік збільшення зручності, надійності і функціональності.

Незважаючи на те що, судячи по призначеному для користувача інтерфейсу, Windows 2000 Advanced Server більше схожа на Windows 98, насправді вона є наступником Windows NT і навіть називалася Windows NT 5 на першому етапі роботи над бета-версією. Хоча 2000 і базується на Windows NT, операційна система була кардинально удосконалено і оновлена, був також повністю переглянутий інтерфейс адміністрування. NT 4 відрізнялася від NT 3.51 головним чином концепцією користувальницького інтерфейсу у вигляді робочого столу, більшість засобів адміністрування залишилися тими ж. У Windows 2000 Advanced Server змінився кожен інструмент адміністрування. Всі кошти адміністрування були уніфіковані шляхом перетворення в «оснащення» (snap-in) псевдоіерархіческого засоби управління Microsoft Management Console (консоль керування Microsoft, MMC).

Система Windows 2000 Advanced Server компанії Microsoft забезпечує можливість безпечного доступу до ресурсів системи. Якщо для вас, найважливішим ресурсом, що підлягає захисту, є файли, можна налаштувати систему так, щоб мати можливість контролювати те, як інші користувачі читають, записують, створюють і змінюють файли і папки на вашому комп'ютері.

Це можливо тільки при використанні системи NTFS. Система була створена для Windows NT, попередника Windows 2000 Advanced Server, і є однією з трьох систем, які можна використовувати на жорсткому диску комп'ютера.

1. Структура мережевої операційної системи

Мережева операційна система становить основу будь-якої обчислювальної мережі. Кожен комп'ютер в мережі значною мірою автономний, тому під мережевою операційною системою в широкому сенсі розуміється сукупність операційних систем окремих комп'ютерів, які взаємодіють з метою обміну повідомленнями і поділу ресурсів за єдиними правилами - протоколами. У вузькому сенсі мережева ОС - це операційна система окремого комп'ютера, що забезпечує йому можливість працювати в мережі.


Рис. 1.1. Структура мережевої ОС

У мережній операційній системі окремої машини можна виділити кілька частин (рисунок 1.1):

  • Засоби управління локальними ресурсами комп'ютера: функції розподілу оперативної пам'яті між процесами, планування та диспетчеризації процесів, управління процесорами в мультипроцесорних машинах, управління периферійними пристроями та інші функції управління ресурсами локальних ОС.

  • Засоби надання власних ресурсів та послуг у спільне користування - серверна частина ОС (сервер). Ці кошти забезпечують, наприклад, блокування файлів і записів, що необхідно для їх спільного використання; ведення довідників імен мережевих ресурсів; обробку запитів віддаленого доступу до власної файлової системи і бази даних; управління чергами запитів віддалених користувачів до своїх периферійних пристроїв.

  • Засоби запиту доступу до віддалених ресурсів і послуг і їх використання - клієнтська частина ОС (редиректор). Ця частина виконує розпізнавання і перенаправлення в мережу запитів до віддалених ресурсів від додатків і користувачів, при цьому запит поступає від програми в локальній формі, а передається в мережу в іншій формі, що відповідає вимогам сервера. Клієнтська частина також здійснює прийом відповідей від серверів і перетворення їх у локальний формат, так що для програми виконання локальних і віддалених запитів невиразно.

  • Комунікаційні засоби ОС, за допомогою яких відбувається обмін повідомленнями в мережі. Ця частина забезпечує адресацію і буферизацію повідомлень, вибір маршруту передачі повідомлення по мережі, надійність передачі і т.п., тобто є засобом транспортування повідомлень.

У залежності від функцій, покладених на конкретний комп'ютер, в його операційній системі може бути відсутнім або клієнтська, або серверна частини.



Рис. 1.2. Взаємодія компонентів операційної системи

при взаємодії комп'ютерів


На малюнку 1.2 показано взаємодію мережевих компонентів. Тут комп'ютер 1 виконує роль "чистого" клієнта, а комп'ютер 2 - роль "чистого" сервера, відповідно на першій машині відсутня серверна частина, а на другий - клієнтська. На малюнку окремо показаний компонент клієнтської частини - редиректор. Саме редиректор перехоплює всі запити, що надходять від додатків, і аналізує їх. Якщо виданий запит до ресурсу даного комп'ютера, то він переадресовується відповідної підсистемі локальної ОС, якщо ж це запит до віддаленого ресурсу, то він переправляється в мережу. При цьому клієнтська частина перетворює запит з локальної форми в мережевий формат і передає його транспортної підсистемі, яка відповідає за доставку повідомлень вказаного серверу. Серверна частина операційної системи комп'ютера 2 приймає запит, перетворює його і передає для виконання своєї локальної ОС. Після того, як результат отриманий, сервер звертається до транспортної підсистемі і направляє відповідь клієнту, який видав запит. Клієнтська частина перетворює результат у відповідний формат і адресує його тому додатком, яке видало запит.


На практиці склалося кілька підходів до побудови мережевих операційних систем (малюнок 1.3).


Рис. 1.3. Варіанти побудови мережних ОС

Перші мережеві ОС представляли собою сукупність існуючої локальної ОС і надбудованої над нею мережевий оболонки. При цьому в локальну ОС вбудовувався мінімум мережевих функцій, необхідних для роботи мережної оболонки, яка виконувала основні мережеві функції. Прикладом такого підходу є використання на кожній машині мережі операційної системи MS DOS (у якої починаючи з її третьої версії з'явилися такі вбудовані функції, як блокування файлів і записів, необхідні для спільного доступу до файлів).


1.1. Однорангові мережні ОС і ОС з виділеними серверами

У залежності від того, як розподілені функції між комп'ютерами мережі, мережеві операційні системи, а отже, і мережі діляться на два класи: однорангові і двухранговие (малюнок 1.1.1.). Останні частіше називають мережами з виділеними серверами.

(А) Рис. 1.1.1. (А) - Тимчасова мережа

Рис. 1.1.1. (Б) - Двухранговая мережу

Якщо комп'ютер надає свої ресурси іншим користувачам мережі, то він грає роль сервера. При цьому комп'ютер, який звертається до ресурсів іншої машини, є клієнтом. Комп'ютер, що працює в мережі, може виконувати функції або клієнта, або сервера, або поєднувати обидві ці функції.

Якщо виконання будь-яких серверних функцій є основним призначенням комп'ютера (наприклад, надання файлів у спільне користування всім іншим користувачам мережі або організація спільного використання факсу, або надання всім користувачам мережі можливості запуску на комп'ютері своїх додатків), то такий комп'ютер називається виділеним сервером. У залежності від того, який ресурс сервера є розділяються, він називається файл-сервером, факс-сервером, принт-сервером, сервером додатків і т.д.

У мережі з виділеним сервером всі комп'ютери в загальному випадку можуть виконувати одночасно ролі і сервера, і клієнта, ця мережа функціонально не симетрична: апаратно та програмно в ній реалізовані два типи комп'ютерів - одні, більшою мірою орієнтовані на виконання серверних функцій і працюють під управлінням спеціалізованих серверних ОС, а інші - в основному виконують клієнтські функції та працюють під управлінням відповідного цьому призначенню варіанти ОС. Функціональна несиметричність, як правило, викликає і несиметричність апаратури - для виділених серверів використовуються більш потужні комп'ютери з великими обсягами оперативної і зовнішньої пам'яті. Таким чином, функціональна несиметричність в мережах з виділеним сервером супроводжується несиметричністю операційних систем (спеціалізація ОС) і апаратної несиметричністю (спеціалізація комп'ютерів).

У однорангових мережах всі комп'ютери рівні в правах доступу до ресурсів один одного. Кожен користувач може за своїм бажанням оголосити який-небудь ресурс свого комп'ютера розділяються, після чого інші користувачі можуть його експлуатувати. У таких мережах на всіх комп'ютерах встановлюється одна і та ж ОС, яка надає всім комп'ютерам в мережі потенційно рівні можливості.

На відміну від мереж з виділеними серверами, у тимчасових мережах відсутній спеціалізація ОС в залежності від переважної функціональної спрямованості - клієнта чи сервера. Всі варіації реалізуються засобами конфігурації одного і того ж варіанти ОС.

Мережеві операційні системи мають різні властивості в залежності від того, призначені вони для мереж масштабу робочої групи (відділу), для мереж масштабу кампусу або для мереж масштабу підприємства.


1.2. Серверні системи: і сторія створення, основні версії.


Серверні системи повинні дозволяти початковий запуск в невеликій конфігурації і забезпечувати можливість розширення в міру зростання потреб. Електронна торгівля через Інтернет вимагає активного і швидкого збільшення розмірів систем. Постачальникам послуг, об'єднуючим обробку додатків у великі вузли, також потрібно динамічне зростання систем. Масштаб таких вузлів збільшується як шляхом «росту вгору» (заміною серверів на більш потужні), так і шляхом «росту вшир» (додаванням додаткових серверів).

Сукупність усіх серверів, додатків і даних деякого обчислювального вузла називається також фермою. Ферми мають безліч функціонально спеціалізованих служб, кожна зі своїми власними програмами та даними (наприклад, служба каталогів, безпеки, HTTP, пошти, баз даних і т. п.). Ферма функціонує як підрозділ - має єдиний обслуговуючий персонал, єдине управління, приміщення та мережу.

Для забезпечення відмовостійкості апаратне і програмне забезпечення, а також дані ферми дублюються на одній або декількох фізично віддалених фермах. Такий набір ферм називають геоплексом. Геоплекс може мати конфігурацію активний-активний, в якій всі ферми несуть частину навантаження, або активний-пасивний, при якій одна або кілька ферм знаходяться у готовому резерві.

Початок робіт зі створення Windows NT припадає на кінець 1988 року.

Спочатку Windows NT розвивалася як полегшений варіант OS / 2 (OS / 2 Lite), який за рахунок усікання деяких функцій міг би працювати на менш потужних машинах. Однак з часом, побачивши як успішно приймається споживачами Windows 3.0, Microsoft переорієнтувалася і стала розробляти поліпшений варіант Windows 3.1. Нова стратегія Microsoft складалася в створенні єдиного сімейства базуються на Windows операційних систем, які охоплювали б безліч типів комп'ютерів, від самих маленьких ноутбуків до найбільших мультипроцесорних робочих станцій.

Windows NT, як було названо наступне покоління Windows-систем, відноситься до найвищого рівня в ієрархії сімейства Windows. Ця операційна система, спочатку підтримувала звичний графічний інтерфейс (GUI) користувача Windows, з'явилася першою повністю 32-розрядної ОС фірми Microsoft. Win32 API - програмний інтерфейс для розробки нових програм - зробив доступними для додатків поліпшені властивості ОС, такі як багатонитковою процеси, засоби синхронізації, безпеки, введення-виведення, управління об'єктами.

Перші ОС сімейства NT - Windows NT 3.1 і Windows NT Advanced Server 3.1 з'явилися в липні 1993 року. У серпні 1996 року вийшла чергова версія Windows NT 4.0. Спочатку передбачалося, що ця чергова версія Windows NT одержить номер 3.52, однак їй було присвоєно номер 4.0, який раніше згадувався в комп'ютерній пресі в зв'язку з іншою очікуваною версією Windows NT, що має кодову назву Cairo. Нововведення, внесені в Windows NT Server 4.0, були пов'язані з поліпшенням інтерфейсу користувача, розширенням підтримки Internet, появою нових і модернізацією існуючих інструментів адміністрування і підвищенням продуктивності системи.


2. Системи сімейства Windows NT.


При розробці Windows NT 4.0 Microsoft вирішила пожертвувати стабільністю заради продуктивності. З цією метою були внесені зміни в архітектуру: бібліотеки менеджера вікон і GDI, а також драйвери графічних адаптерів були перенесені з призначеного для користувача режиму в режим ядра.

У Windows NT 4.0 було внесено багато суттєвих змін, серед яких найбільш значними є наступні:

  • реалізація інтерфейсу в стилі Windows 95;

  • орієнтування у бік Internet і intranet;

  • архітектурні зміни, що дозволили різко підвищити продуктивність графічних операцій;

  • модифікація засобів взаємодії з NetWare - Gateway і клієнт NCP підтримують тепер NDS;

  • підтримка багатопротокольної маршрутизації;

  • поява в Windows NT 4.0 емулятора Іntеl'івського процесора для RISC-платформ.

Крім зовнішніх змін, модернізація графічного інтерфейсу не сильно відбилася на методах керування мережею. Базовий інструментарій адміністратора Windows NT Server залишився колишнім. Програми User Manager for Domains, Server Manager, Disk Administrator, Event Viewer, Performance Monitor, DHCP Manager, WINS Manager, Network Client Administrator, License Manager і Migration Tool for NetWare не зазнали істотних змін. Remote Access Administrator також не змінився, він був перенесений з окремої папки в меню Administrative Tools. Редактор системної політики System Policy Editor, сумісний як з Windows NT, так і з Windows 95, замінив редактор профілів користувачів User Profile Editor, знайомий за версіями Windows NT Server 3.x. У версію 4.0 увійшли чотири додатки: адміністративні програми-майстри Administrative Wizards, System Policy Editor, а також розширене засіб Windows NT Diagnostics і програма Network Monitor (програма моніторингу роботи мережі, раніше поставляється тільки в складі продукту Microsoft Systems Management Server).

Крім того, до складу Windows NT 4.0 увійшла Web-орієнтована утиліта адміністрування, що відкриває доступ до засобів адміністрування Windows NT з будь-якого Web-броузера.

Windows 2000 - наступне втілення Windows NT, яку Microsoft створила для надання безпосередньої конкуренції OS / 2, NetWare і UNIX на ринках файлових серверів і невеликих серверів додатків. У процесі створення бета-версії Windows 2000 називалася Windows NT 5, проте Microsoft змінила ім'я на Windows 2000, щоб зменшити плутанину серед клієнтів після того, як вони закінчать роботу з продуктами заснованого на MS-DOS треку розробок Windows 9х.

Для того щоб в умовах жорсткої конкуренції Windows 2000 досягла успіху як мережна операційна система, Microsoft спроектувала підтримку деяких важливих обчислювальних технологій. Це наступні ключові технології:

• багатопроцесорна обробка;

• багатопоточність;

• підтримка великих додатків;

• платформонезалежна;

• всеосяжна безпека;

• зворотна сумісність.

Багато функцій Windows 2000, такі як безпека дисків і можливості мережної взаємодії, в дійсності є функціями служб і драйверів, що працюють поверх цієї базової архітектури.


3. Аналіз безпеки Windows 2000 Advanced Server.


3.1. Теорія Безпеки


Коли Windows NT вперше з'явилася в 1993 р., під безпекою малися на увазі заходи щодо збереження важливої ​​інформації на сервері від перегляду не мають на те прав користувачами і, можливо, використання безпеки зворотного виклику для користувачів віддаленого доступу для контролю за вхідними телефонними з'єднаннями до системи. Windows NT вважалася безпечною, тому що вона використовувала односпрямовані хеш-значення паролів для аутентифікації користувачів і успадковані токени безпеки для безпеки між процесами взаємодії.

Інтернет повністю змінив картину. Windows NT 4 була випущена в 1996 р. разом з новим і недопрацьованим стеком TCP / IP, як раз коли Інтернет набирав обертів, і операційна система виявилася непідготовленою до хакерських атак через Інтернет, які тривали протягом усіх чотирьох років її життя після випуску. Microsoft випускала всі нові заплатки та пакети оновлень, намагаючись залатати нові дірки, які виявляються в службах, протоколах і драйверах Windows NT.

Багато з дірок були утворені новими компонентами за вибором Windows NT, такими як Internet Information Server і FrontPage Server Extensions. Більшу частину проблеми становило саме надання служби Інтернету.

Безпека (security) - це сукупність заходів, що вживаються для запобігання будь-якого роду втрат. Система, що володіє фундаментальної безпекою, - це така система, в якій ніякої користувач не отримує доступ до чого б то не було. На жаль, такі повністю безпечні системи марні, тому необхідно прийняти певний ризик у сфері безпеки, для того щоб забезпечити можливість користування системою. Мета управління безпекою - мінімізувати ризик, що виникає при забезпеченні необхідного рівня зручності використання (usability) системи.

Вся сучасна комп'ютерна безпека грунтується на фундаментальній концепції особистості (identity) користувача. Для отримання доступу до системи люди ідентифікують себе тим способом, яким довіряє система. Цей процес називається входом в систему (logging on). Після того як користувач увійшов в систему, його доступ до даних і програм може однозначно контролюватися на основі його особистості.

Щоб підтримувати надійність системи, доступ до системи ніколи не повинен бути розв'язана без проходження процедури входу в систему. Навіть у системах, відкритих для публічного анонімного доступу, повинні застосовуватися облікові записи (account) для контролю за тим, які анонімні користувачі мають доступ. Не можна контролювати безпеку, якщо не має на те права користувачам не може бути заборонений доступ.

У системах, заснованих на ідентифікації, кожен користувач повинен мати унікальну обліковий запис і ні один обліковий запис ніколи не може бути використана більш ніж однією особою.

Windows 2000 Advanced Server (надалі - Windows 2000) використовує ряд механізмів для забезпечення безпеки локального комп'ютера від злочинних програм, ідентифікації користувачів і забезпечення безпеки передачі даних по мережі. Основні механізми безпеки Windows 2000 перераховані нижче. У їх числі:

• тотальний контроль за доступом запобігає підключення ненадійних комп'ютерів до безпечних систем за допомогою фільтрації пакетів та трансляції мережевих адрес, гарантуючи що дозволені сеанси користувачів не можуть бути сфальсифіковані, викрадені або містифіковані, за допомогою Kerberos і IPSec, і запобігає порушення програмою адресного простору іншої програми при допомоги захисту пам'яті;

• визначення особи користувача за допомогою методів аутентифікації, таких як Kerberos, Message Digest Authentication, смарт-карти, аутентифікація RADIUS або протоколи аутентифікації третіх фірм, наприклад ті, у яких реалізовані біометричні способи;

• заборона або дозвіл доступу на основі постатей користувача, за допомогою списків контролю доступу для об'єктів з керованою безпекою, таких як принтери, служби і збережені на NTFS файли і каталоги; за допомогою шифрування файлів за допомогою Encrypting File System (шифрованого файлової системи, EFS); шляхом обмеження доступу до можливостей операційної системи, які можуть бути використані неправильно, за допомогою групової політики і шляхом авторизації віддалених користувачів, підключених через Інтернет або віддалене з'єднання, за допомогою політики RRAS;

• запис діяльності користувача за допомогою журналів аудиту особливо значимої інформації і журналів сполук для публічних служб, таких як Web та FTP;

• закрита передача даних між комп'ютерами, з використанням IPSec, PPTP або L 2 TP для шифрування потоку даних між комп'ютерами. РРТР і L 2 TP дозволяють користувачам ініціювати безпечні потоки передачі даних, в той час як IPSec використовується для того, щоб дозволити двом комп'ютерам безпечно передавати дані через публічний канал передачі даних незалежно від особистості користувача;

• мінімізація ризику неправильної конфігурації шляхом угруповання схожих механізмів безпеки в політики та подальшого застосування цих політик до груп схожих користувачів або комп'ютерів. Засоби управління груповими політиками, політиками RRAS і політиками IPSec у Windows 2000 дозволяють адміністраторам здійснювати наскрізні зміни у великих частинах системи безпеки, не піклуючись про окремі помилки.

Управління безпекою має здійснюватися з урахуванням всієї системи мережі. Включення індивідуальних засобів забезпечення безпеки не дає повної безпеки, тому що існує незліченна кількість способів обійти індивідуальні засоби безпеки.

Windows 2000 в своєму стані за замовчуванням налаштована як зручна, а не безпечна система. Жорсткі диски створюються за замовчуванням з повним доступом для всіх, ніяких групових політик за замовчуванням не встановлено, і велика частина міжкомп'ютерних взаємодій небезпечне. За замовчуванням ніякі файли не шифруються, і не включені ніякі фільтри пакетів.

Для створення безпечної системи необхідно встановити всі важливі засоби забезпечення безпеки і потім послаблювати ці установки для забезпечення доступу мають на це право користувачам і підвищення продуктивності.

Незважаючи на великий поступ в області цілісного управління, в Windows 2000, ще багато чого можна зробити для забезпечення безпеки конфігурації за умовчанням. Тим не менш, інструментальні засоби легко знайти і вони чудово працюють разом, надаючи керований інтерфейс для налаштування характеристик безпеки.


3.1.1. Криптографія.


Криптографія (cryptography) - це наука про коди і шифри. Win ­ dows 2000 використовує повсюдно що застосовується криптографію для засекречування за все, починаючи від збережених файлів і потоків передачі даних до паролів користувачів і аутентифікації домену.

Криптографія та шифрування грають важливу роль в безпеці Windows 2000.

Всі нові можливості забезпечення безпеки Windows 2000 засновані на криптографії. На відміну від цього, у першому випуску Windows NT криптографія використовувалася тільки для хешування паролів. Протягом періоду використання Windows NT 4 в операційну систему були додані різноманітні елементи кріпографіі, але вони не оброблялися злагоджено і безпечно. Windows 2000 змінює такий стан справ, використовуючи Active Directory як контейнер практично для всієї конфігурації, пов'язаної з безпекою, і застосування політик.

Windows 2000 використовує шифрування (encryption) у трьох життєво важливих цілях:

• для підтвердження ідентичності принципала безпеки;

• для підтвердження достовірності вмісту повідомлення або файлу;

• щоб приховати вміст сховища або потоку даних.

Шифр (cipher) - це алгоритм шифрування, він захищає повідомлення, переупорядочівая його або здійснюючи зміни в кодуванні, але не в смисловому значенні повідомлення. Код (code) - це узгоджений спосіб збереження таємниці повідомлень між двома або більше особами. Ключ (key) - це невелика порція інформації, яка необхідна для розшифровки повідомлення, звичайно у вигляді значення, використовуваного в шифрі для зашифровки повідомлення. Ключ повинен триматися в секреті, для того щоб повідомлення залишалося закритим.


3.1.2. Алгоритми шифрування


Один з алгоритмів, який був розроблений в секреті, але потім став доступний для громадського використання, так само як і для державного (але тільки для інформації «Unclassified but Sensitive », несекретної, але важливою), - це алгоритм Data Encryption Standard (Стандарт) шифрування даних), або DES. Це симетричний алгоритм, що означає, що один і той же ключ використовується і для шифрування, і для розшифровки; він був призначений для використання 56-розрядно-З го ключа. DES широко використовується в комерційному програмному забезпеченні і в пристроях зв'язку, що підтримують шифрування.

RSA (названий за іменами своїх творців, Rivest, Shamir і Adleman) - це алгоритм, який не був розроблений урядовим агентством. Його творці скористалися обчислювально-витратної проблемою розкладання на прості числа для створення асиметричного (asymmetric) алгоритму, або алгоритму відкритого ключа (public key), який може бути використаний і для шифрування, і для цифрових підписів. RSA з тих пір став дуже популярною альтернативою DES. RSA використовується рядом компаній з виробництва програмного забезпечення, чиї продукти повинні здійснювати безпечні з'єднання через небезпечний Інтернет (такі, як web - браузери), в числі яких Microsoft, Digital, Sun, Netscape і IBM.

Ці шифри не єдино можливі для використання в комп'ютерах і мережах. Уряди різних країн США і колишнього СРСР активно розробляли коди і шифри, багато приватних осіб (особливо за останнє десятиліття) внесли внесок у розвиток криптографії. GOST (ГОСТ) був розроблений в колишньому СРСР, FEAL був розроблений NTT в Японії, LOKI був розроблений в Австралії і IDEA - в Європі. Більшість цих шифрів використовують запатентовані алгоритми, які повинні бути ліцензовані для комерційного використання, але не всі (наприклад, Blowfish). Кожен шифр володіє достоїнствами і недоліками.

Всі ці шифри володіють одним слабким місцем: якщо відомий шифр, який використовувався для зашифровки повідомлення, але НЕ відомий ключ, можна використовувати ряд атак для того, щоб спробувати декодувати повідомлення, в тому числі і метод «Грубої сили », намагаючись перепробувати всі можливі ключі.

Призначення шифрів, в кінцевому підсумку, - приховувати інформацію. Протилежністю приховування інформації є спроби розкрити, що ж було засекречено, і прогрес в області злому (breaking) кодів (або розшифрування кодів без ключа) йде в ногу з розробками в галузі створення кодів. Діяльність по здійсненню спроб злому кодів називається криптоаналізу (cryptanalysis), а люди, які зламують коди, називаються криптоаналитики (cryptanalyst). На системи безпеки може бути проведений ряд криптоаналітичних атак різних типів.

Атака перебором ключів. Перебір простору ключів (keyspace search) має на увазі перевірку всіх можливих ключів, які могли використовуватися для зашифровки повідомлення.

Відомий вихідний текст. Для багатьох шифрів криптоаналітик може скоротити число перебираються можливих ключів, якщо вже відомий початковий текст зашифрованого повідомлення.

Лінійний та диференціальний криптоаналіз. Криптоаналітик може також шукати математичні збіги у всіх зібраних зашифрованих текстах, які були зашифровані за допомогою одного ключа.

Існує один шифр - одноразова підстановка (one - time pad) - який не можна розгадати, якщо немає ключа, навіть маючи в розпорядженні всі час, що залишився існування всесвіту і всі теоретично можливі обчислювальні можливості. На жаль, вимоги цього шифру роблять його непридатним до використання, за винятком певних видів комунікацій, які не потребують високої пропускної здатності.


3.1.3. Симетричні функції


Якщо один і той же ключ може бути використаний для зашифровки або розшифровки повідомлення, то такий шифр використовує симметрическую функцію (symmetric function). Один ключ має бути й у відправника, і в одержувача. Ряд симетричних шифрів використовується і в програмному, і в апаратному забезпеченні. Отримати уявлення про можливі шифри можна, порівнявши наступні три.

• DES. IBM і американське Управління національної безпеки (National Security Agency, NSA) об'єднали зусилля для розробки цього шифру. Він стійкий до диференціального криптоаналізу, але піддається лінійному криптоаналізу. Довжина ключа становить тільки 56 біт, що сильно полегшує можливість спробувати всі можливі ключі методом грубої сили для зашифрованого, тексту. DES широко застосовується в програмному та апаратному забезпеченні шифрування. Це стандарт ANSI. Windows 2000 pea лізується і 40-бітний DES, і 168-бітний DES 1 (triple - DES (Потрійний DES) - DES із трьома безперервними ключами).

• IDEA. Цей шифр має ключ довжиною 128 біт - значно більше, ніж використовує DES. У той час як що володіє серйозною мотивацією і фінансуванням організація або велика команда хакерів може зламати закодоване DES-повідомлення, великий простір ключів робить нездійсненною атаку на IDEA за методом грубої сили. IDEA був розроблений як шифр, невразливий для лінійного і диференціального криптоаналізу. IDEA запатентовано в Європі та США.

Blowfish. Цей шифр може використовувати ключ завдовжки від 32 до 448 біт, дозволяючи вибрати ступінь секретності повідомлення.


3.1.4. Однонаправлені функції


При наборі пароля для входу в Windows 2000, він шифрується і порівнюється з збереженим зашифрованим значенням пароля. Пароль зберігається за допомогою односпрямованої функції (one - way function), що також називають хеш (hash), trap - door, digest або fingerprint 1.

Хеш-функції також можуть застосовуватися для інших цілей. Наприклад, можна використовувати хеш-функцію, щоб створити «відбитки пальців» файлів (створити цифрові відбитки пальців, або хеш-значення, яке буде унікальне для даного файлу). Хеш-функція може давати результат, який буде набагато менше, ніж вхідний текст, хешування займає багато мегабайтів документа текстового процесора, наприклад, може дати 128-розрядне число. Хеш-значення також унікально для файлу, який його породив; практично неможливо створити інший файл, який справив би той же хеш-значення.

Одна з особливостей хеш - функцій (особливо дають короткі хеш - значення) - це те, що всі хеш - значення рівноймовірні. Отже, практично неможливо створити інший файл хеш - значення для якого співпаде з наявним.

Деяким хеш-функцій потрібен ключ, іншим - ні. Хеш-функція з ключем може обчислюватися тільки будь-ким (або чим-небудь), які мають цей ключ.


3.1.5. Шифрування з відкритим ключем


У той час як симетричні шифри використовують один ключ для зашифровки і розшифровки повідомлень, шифрування з відкритим ключем (public key encryption), або шифр з відкритим ключем (public key cipher), використовує для розшифровки ключ, відмінний від використаного при шифруванні. Це порівняно нова розробка в криптографії, і вона вирішує багато давні проблеми систем криптографії, такі як спосіб передачі секретних ключів в перший раз.

Проблема симетричних шифрів полягає в наступному: і відправник, і одержувач повинен мати один і той же ключ для того, щоб обмінюватися зашифрованими повідомленнями через небезпечний канал передачі даних. Якщо дві сторони вирішать обмінюватися закритими повідомленнями або якщо між двома пристроями в комп'ютерній мережі або двома програмами повинен бути встановлений безпечний канал, дві сторони комунікації повинні ухвалити рішення про загальну ключі. Кожна сторона легко може вибрати ключ, але в цієї сторони не буде ніякого способу відправити цей ключ іншій стороні, не піддаючись ризику перехоплення ключа по дорозі.

При використанні шифру з відкритим ключем один ключ (відкритий ключ, public key) використовується для шифрування повідомлення, а інший ключ (закритий ключ, private key) - це єдиний ключ, який може розшифрувати повідомлення. Хто завгодно, маючи ключ, може зашифрувати повідомлення, розшифрувати який може тільки конкретний користувач. Безпечні шифри з відкритим ключем страждають від однієї проблеми - вони повільні, набагато повільніше, ніж симетричні шифри. Робота гарного шифру з відкритим ключем може відняти в 1000 разів більше часу для зашифровки одного і того ж кількості даних, ніж у хорошого симетричного шифру.

Хоча системи відкритого / закритого ключа набагато повільніше симетричних систем, вони чітко вирішують проблему, від якої страждали симетричні криптосистеми. Коли двом людям (або пристроїв) потрібно встановити безпечний канал для передачі даних, один з них може просто взяти секретний ключ і зашифрувати цей секретний ключ за допомогою відкритого ключа іншого боку. Зашифрований ключ потім відправляється іншому учаснику комунікації, і навіть якщо цей ключ буде перехоплений, тільки інший учасник зможе розшифрувати секретний ключ за допомогою свого закритого ключа. Комунікація між двома сторонами потім може продовжуватися з використанням симетричного шифру і цього таємного ключа. Система, яка використовує як симетричне шифрування, так і шифрування з відкритим ключем, називається гібридної криптосистемою (hybrid cryptosystem).


3.2. Застосування шифрування


Шифрування можна використовувати для захисту наступних типів даних у мережі:

• закрита передача даних;

• безпечне зберігання файлів;

• аутентифікація користувача або комп'ютера;

• безпечний обмін паролями.

Слід шифрувати будь-які дані, що містять значущу або приватну інформацію, що проходять через небезпечні канали передачі даних, такі як радіо, телефонна мережа або Інтернет. Використовуйте шифрування файлової системи для захисту важливих даних, коли можливості операційної системи не діють (коли був видалений жорсткий диск або замінена операційна система).


3.2.1. Безпечне зберігання файлів


Шифрування може бути використано для захисту даних у пристрої зберігання, наприклад даних на жорсткому диску. У всіх реалізаціях UNIX та Windows NT існує багато складних засобів забезпечення безпеки. Кращий підхід до безпеки - надати шифрування і розшифрування файлів операційної системи. Windows 2000 постачається з Encrypting File System (шифрована файлова система, EFS), яка буде шифрувати всі файли на вашому жорсткому диску, навіть тимчасові файли, створені використовуваними вами додатками.

Для того щоб використовувати EFS таємно, необхідно надати криптографічний ключ при запуску комп'ютера або використовувати її зі смарт-картою, інакше ж можна вважати файли на жорсткому диску звичайними, незашифрованими файлами. Це не захистить файли від доступу під час роботи операційної системи - для чого існують засоби забезпечення безпеки операційної системи, - але це збереже дані в безпеці, навіть якщо хто-небудь вкраде жорсткий диск.


3.2.2. Аутентифікація користувача або комп'ютера


Окрім збереження секретності (або при передачі, або при зберіганні), шифрування можна використовувати майже в протилежних цілях - для перевірки ідентичності. Шифрування може провести аутентифікацію входять в систему комп'ютера користувачів, гарантувати, що завантажується з Інтернету програмне забезпечення приходить з надійного джерела і що особа, що відправило повідомлення, в дійсності те, за який вона себе видає.

При вході в операційну систему Microsoft, такі як Windows 95, Windows NT або Windows 2000, операційна система не порівнює введений пароль з збереженим паролем. Замість цього вона шифрує пароль за допомогою односпрямованої криптографічного функції і потім порівнює результат з зберігаються результатом. Інші операційні системи, такі як UNIX і OS / 2, працюють точно так само.

Зберігаючи тільки криптографічне хеш-значення пароля користувача, операційна система ускладнює хакерам можливість отримання всіх паролів системи при одержанні


3.2.3. Цифрові підписи


Зазвичай шифрування з відкритим ключем використовується для передачі секретних повідомлень, зашифрованих за допомогою відкритого ключа, і наступної розшифровки їх за допомогою закритого ключа.

Оскільки призначення цифрового підпису полягає не в тому, щоб приховати інформацію, а в тому, щоб підтвердити її, закриті ключі найчастіше використовуються для шифрування хеш-значення первинного документа, і зашифроване хеш-значення приєднується до документа або відправляється разом з ним. Цей процес займає набагато менше обчислювального часу при генерації або перевірці хеш-значення, ніж шифрування всього документа, і при цьому гарантує, що документ підписав власник закритого ключа.

Електронна пошта Інтернету проектувалася без урахування безпеки. Повідомлення не захищені від нелегального перегляду на проміжних хостах Інтернету, і немає гарантії, що повідомлення у дійсності прийшло від тієї особи, яка вказана в полі From електронної пошти. Повідомлення груп новин Інтернету страждають від тієї ж проблеми: неможливо насправді сказати, від кого насправді прийшло повідомлення. Можна зашифрувати тіло повідомлення, щоб впоратися з першою проблемою, а цифрові підписи справляються з другою.

Цифрові підписи корисні, тому що перевірити підпис може кожен, а створити її може лише особа з закритим ключем. Різниця між цифровим підписом і сертифікатом в тому, що можна перевірити справжність сертифікату в центрі сертифікації.


3.2.4. Безпечний обмін паролями


Більшість мережевих операційних систем (у тому числі Windows 2000 і всі сучасні версії UNIX) захищають ім'я користувача та пароль при вході в систему за допомогою їх шифрування перед відправкою в мережу для аутентифікації.

Щоб одні й ті ж зашифровані дані не передавалися кожен раз, клієнт також може включити якусь додаткову інформацію, наприклад час відправлення запиту на вхід в систему. При такому способі мережеві ідентифікаційні дані ніколи не будуть відправлятися через локальну мережу або телефонні лінії в незахищеному вигляді. Тим не менш Windows 2000 приймає незашифровані паролі від старих мережевих клієнтів LAN Manager.

Чи не кожен протокол аутентифікації зашифровує ім'я користувача і пароль, цього НЕ робить SLIP Telnet і FTP. З лужба Telnet в Windows 2000 можна сконфігурувати для роботи тільки з хеш - значеннями Windows NT, а НЕ з паролями в вигляді простого тексту. РРР може шифрувати, якщо і віддалений клієнт, і сервер сконфігуровані таким чином. Win ­ dows NT по замовчуванням вимагає шифрованого аутентифікації. Windows 2000 використовує безпечну систему аутентифікації Kerberos, засновану на секретних ключах.


3.3. Стеганографія


Стеганографія (steganography) - це процес приховування зашифрованих файлів в такому місці, в якому навряд чи хто-небудь зможе їх виявити.

Зашифровані файли виглядають як випадкові числа, тому все, що також виглядає як випадкові числа, може заховати зашифроване повідомлення. Наприклад, в багатокольорових графічних зображеннях біт нижніх розрядів в кожному пікселі зображення не сильно впливає на якість всього зображення. Можна заховати зашифроване повідомлення в графічний файл, замінюючи молодші біти бітами свого повідомлення. Молодші біти звукових файлів з ​​високою точністю відтворення - ще одне гарне місце для зашифрованих даних. Можна навіть таємно обмінюватися з ким-небудь зашифрованими повідомленнями, відправляючи графічні та звукові файли з такою захованої в них інформацією.


3.4. Паролі


Паролі - це секретні ключі. Вони можуть застосовуватися для аутентифікації користувачів, шифрування даних і забезпечення безпеки комунікаційних потоків. Kerberos використовує паролі як секретні ключі для підтвердження ідентифікаційних даних клієнта в Kerberos Key Distribution Center.

Через необхідність випадковості в секретних ключах виступають в якості секретних ключів паролі також повинні бути секретними

Найпоширеніший спосіб розкрити пароль - це вибрати легко вгадуваний пароль, такий як порожній пароль, саме слово пароль (password), жаргонні слова або імена богів, дітей або домашніх тварин. Для злому через Інтернет пароля, в якості якого взято будь-яке відоме слово, буде потрібно приблизно дві години часу.

Використання по-справжньому випадкових паролів дає набагато кращі результати. Випадковий вибір пароля тільки з 14 символів набору стандартної ASCII-клавіатури дає безліч більш ніж з 1025 паролів.

Існує чотири рівні паролів:

• низькоякісний публічний пароль

• публічний пароль середньої якості - короткий, але повністю випадковий пароль довжина цього пароля сім символів, що дає 40-бітний діапазон унікальності;

• високоякісний пароль - пароль для приватних мереж де клієнтові може бути завдано серйозної шкоди в разі його втрати-пароль довжиною 12 символів, що дає 70-бітний діапазон унікальності;

• надзвичайно високоякісний пароль - пароль для шифрування файлів і зберігання секретних даних на особистих комп'ютерах; довжина 14 символів, що дає 84-бітний діапазон унікальності.


4. Локальна безпеку Windows 2000 Advanced Server


Безпека Windows 2000 заснована на аутентифікації користувачів. Проходячи процедуру входу в систему (забезпечувану процесом WinLogon), користувач ідентифікує себе комп'ютера, після чого йому надається доступ до відкритих і забороняється доступ до закритих для вас ресурсів.

У Windows 2000 також реалізовані облікові записи груп. Коли обліковий запис користувача входить в обліковий запис групи, встановлені для облікового запису групи дозволу діють також і для облікового запису користувача.

Облікові записи користувачів і груп діють тільки на тому комп'ютері під управлінням Windows 2000, на якому вони створюються. Ці облікові записи локальні для комп'ютера. Єдиним винятком з цього правила є комп'ютери, що входять в домен і тому приймають облікові записи, створені в Active Directory на контролері домену. На кожному комп'ютері під управлінням Windows 2000 існує свій власний список локальних облікових записів користувачів і груп. Коли процесу WinLogon (який реєструє користувача в системі і встановлює його обчислювальну середу) потрібно звернутися до бази даних безпеки, він взаємодіє з Security Accounts Manager (диспетчер облікових записів безпеки, SAM), компонентом операційної системи Windows 2000, який управляє інформацією про локальні облікові записи користувачів. Якщо інформація зберігається локально на комп'ютері під керуванням Windows 2000, SAM звернеться до бази даних (що зберігається в реєстрі), передавши інформацію процесу WinLogon. Якщо інформація зберігається не локально SAM запросить контролер домену і поверне підтверджену інформацію про реєстрацію (ідентифікатор безпеки, security identifier) ​​процесу WinLogon.

Незалежно від джерела аутентифікації, доступ дозволений тільки до локального комп'ютера за допомогою Local Security Authority (локальні засоби безпеки, LSA) комп'ютера. При обращаеніі до інших комп'ютерів у мережі, LSA локального комп'ютера передає ідентифікаційні дані користувача LS А іншого комп'ютера, реалізуючи вхід в систему кожного комп'ютера, з яким він контактує. Щоб отримати доступ до іншого комп'ютера, цей комп'ютер повинен прийняти ідентифікаційні дані, надані комп'ютером користувача.


4.1. Ідентифікатори безпеки


Принципалові безпеки, такі як користувачі і комп'ютери, представлені в системі ідентифікаторами безпеки (security identifier, SID). SID унікально ідентифікує принципала безпеки для всіх комп'ютерів домену. При створенні облікового запису за допомогою оснащення Local Users and Groups (Локальні користувачі та групи), завжди створюється новий SID, навіть якщо використовується такі ж ім'я облікового запису та пароль, як у віддаленій облікового запису. SID буде залишатися з обліковим записом протягом усього часу її існування. Можна поміняти будь-який інший атрибут профілю, включаючи ім'я користувача та пароль, але у звичайних обставин не можна змінити SID, оскільки при цьому створюється новий обліковий запис.

Групові облікові записи також мають SID, унікальний ідентифікатор, що створюється під час створення групи. Для ідентифікаторів SID, груп діють ті ж правила, що і для SID облікових записів.

Процес WinLogon (частина процесу Local Security Authority) перевіряє ім'я користувача та пароль (або смарт-карту при відповідній конфігурації), щоб визначити, чи можна дозволити доступ до комп'ютера. Якщо зазначена у діалоговому вікні входу в систему домен є ім'ям локального комп'ютера, LSA перевірить обліковий запис відповідно до локальних SAM, збереженим в реєстрі. В іншому випадку LSA встановить зв'язок з контролером домену та скористається для перевірки достовірності даних користувача аутентифікацією Kerberos (у разі Windows 2000) або NLTM (у випадку всіх інших версій Windows, включаючи Windows 2000 в режимі Mixed Mode), в залежності від операційної системи клієнта.

Якщо ім'я облікового запису та пароль правильні, процес WinLogon co здаст токен доступу. Токен доступу (Acess Token) утворюється з SID облікового запису користувача, SID груп, до яких належить, обліковий запис, і Locally Unique Identifier (локально унікальний; ідентифікатор, LUID), який визначає права користувача і конкретний сеанс входу в систему.

Токен доступу створюється при кожному вашому вході в Windows 2000.

Існують особливі ідентифікатори SID. System SID зарезервований для системних служб, що містять System SID токени доступу можуть, обходити всі обмеження безпеки, засновані на облікових записах. SID дає системним службам дозвіл на здійснення тих; дій, які звичайна обліковий запис користувача (навіть обліковий запис Administrator (Адміністратор)) робити не може. Служби операційної системи запускаються ядром Windows 2000, а не процесом WinLogon, і ці служби отримують System SID від ядра при своєму запуску.


4.2. Доступ до ресурсів


Потоки (thread, окремі гілки виконання процесу) повинні надавати токен доступу при кожній спробі доступу до ресурсу. Потоки одержують токени доступу від батьківських процесів при своєму створенні. Для користувача додаток, наприклад, зазвичай отримує свій токен доступу від процесу WinLogon. Процес WinLogon запускається від порушеної користувачем переривання (переривання клавіатури Ctrl + Alt + Del) і може створити новий токен доступу, запитуючи або локальний диспетчер облікових записів безпеки (SAM), або Directory Services Agent (агент служб каталогу, DSA) на контролері домену Active Directory.

За допомогою цього методу кожен потік, запущений після входу користувача в систему, буде мати токен доступу, що представляє користувача. Оскільки потоки користувацького режиму повинні завжди надавати цей токен для доступу до ресурсів, в звичайних обставин не існує способу обійти безпека ресурсів Windows 2000.

Основу безпеки Windows 2000 утворює переміщуваний вхід в систему (mandatory logon). У відміну від інших мережевих систем, користувач нічого НЕ може зробити в Windows 2000, не надавши ім'я облікової запису користувача і пароль. Хоча можна вибрати автоматичний вхід в систему з ідентифікаційними даними, наданими реєстром, вхід в систему при допомоги облікової запису користувача всі одно відбувається.

Windows 2000 вимагає натискання Ctrl + ALT + Del для входу в систему, і це одна з причин, по яким Windows 2000 вважається безпечною системою. Оскільки комп'ютер обробляє натискання Ctrl + ALT + Del як апаратне переривання, фактично НЕ існує способу, при допомоги якого досвідчений програміст міг б змусити цю комбінацію клавіш робити що - небудь ще, не переписуючи операційну систему.

Оскільки токен доступу передається новому потоку під час його створення, то після входу користувача в систему надалі немає необхідності звертатися для аутентифікації до локальної базі даних SAM або до Active Directory на контролері домену.

При локальному вході користувача в систему Windows 2000 проходить через такі етапи.

1. Користувач натискає Ctrl + A 1 t + Del, що викликає апаратне переривання, що активізує процес WinLogon.

2. Процес WinLogon представляє користувачу запрошення до входу в систему з полями для імені облікового запису та пароля.

3. Процес WinLogon відправляє ім'я облікового запису і зашифрований пароль локальним засобам безпеки (LSA). Якщо обліковий запис локальна для цього комп'ютера Windows 2000, LSA запитує диспетчер облікових записів безпеки (SAM) локального комп'ютера Windows 2000, за його відсутності LSA запитує контролер домену того домену, до якого входить комп'ютер.

4. Якщо користувач представив допустимі ім'я користувача та пароль, LSA створює токен доступу, що містить SID облікового запису користувача і ідентифікатори SID для груп, в які входить користувач. Токен доступу також отримує LUID, який буде описаний далі в цьому розділі в розділі «Права чи дозволу». Токен доступу потім передається назад процесу WinLogon.

5. Процес WinLogon передає токен доступу підсистемі Win32 разом із запитом на створення процесу входу в систему для користувача.

6. Процес входу в систему встановлює оточення користувача, включаючи запуск Windows Explorer і відображення фону і значків робочого столу.


4.3. Об'єкти і Дозволи


Windows 2000 підтримує безпеку для різних типів об'єктів, включаючи (але не обмежуючись ними) каталоги, файли, принтери, процеси і мережеві загальні папки. Кожен об'єкт надає функції, що визначають дії, які можуть бути виконані для цього об'єкта, наприклад: відкрити, закрити, читати, записувати, видаляти, запускати, зупиняти, друкувати і т. д.

Інформація безпеки для об'єкта міститься в дескриптор безпеки (security descriptor) об'єкта. Дескриптор безпеки складається з чотирьох частин: власник, група, Discretionary Access Control List (список розмежувальної контролю доступу, DASL) і System Acess Control List (системний список контролю доступу, SACL). Win ­ dows 2000 використовує ці частини дескриптора безпеки в наступних цілях:

• власник - ця частина містить SID облікового запису користувача-власника об'єкта. Власник об'єкта завжди може змінити налаштування DACL (дозволу) об'єкта;

• група - ця частина використовується підсистемою POSIX Windows 2000. Файли і каталоги в операційних системах UNIX можуть належати груповий облікового запису, так само як і окремої облікового запису користувача. Ця частина містить SID групи цього об'єкта з метою сумісності з POSIX, а також для ідентифікації основної групи для облікових записів користувача;

• Discretionary Access Control List - DACL містить список облікових записів користувачів та облікових записів груп, що володіють дозволом на доступ до служб об'єкта. У DACL існує стільки записів контролю доступу, скільки існує облікових записів користувачів або груп, для яких доступ до об'єкта був заданий спеціально;

• System Acess Control List - SACL також містить записи управління доступом (АСЕ, access control entry), але ці записи АСЕ використовуються для аудиту, а не для дозволу або заборони доступу до функцій об'єкта. SACL містить стільки записів АСЕ, скільки існує облікових записів користувачів або груп, для яких спеціально проводиться аудит.

Кожна запис управління доступом в DACL або SACL складається з ідентифікатора безпеки, супроводжуваного маскою доступу. Маска доступу (access mask) у DACL визначає ті функції об'єкта, для доступу до яких у SID є дозвіл. Спеціальний тип запису контролю доступу, званий забороняє записом АСЕ (deny АСЕ), вказує, що весь доступ до об'єкта буде заборонений для облікового запису, певної ідентифікатором SID. Забороняє АСЕ перекриває всі інші записи АСЕ. Дозвіл No Access (нема доступу) в Windows 2000 реалізовано за допомогою забороняє запису АСЕ.

Доступ дозволено, якщо токен доступу містить будь-який SID, що співпадає з роздільною здатністю в DACL. Наприклад, якщо окремої облікового запису дозволений доступ на читання і обліковий запис користувача є членом груповий облікового запису, якій дозволено доступ на запис, тоді токен доступу для цього сеанс якого користувача буде містити обидва SID, і DACL дозволить доступ до об'єкта і на читання, і на запис. Заборонні запису управління доступом все одно перекривають сумарну дію всіх інших дозволів.

Записи управління доступом в SACL утворюються тим же способом, що і записи в DACL (вони складаються з SID і маски доступу), але маска доступу в цьому випадку визначає ті функції об'єкта, для яких буде проводитися аудит у цього облікового запису.

Не в кожного об'єкта є списки DACL або SACL. Файлова система FAT, наприклад, не записує інформацію безпеки, тому у об'єктів файлів і каталогів, що зберігаються на томі FAT, немає списків DACL і SACL. Коли DACL відсутня, будь-яка обліковий запис користувача отримує доступ до всіх функцій об'єкта. Це не рівнозначно ситуації, коли список DACL об'єкта порожній. У цьому випадку ні один обліковий запис не буде мати доступу до об'єкта. Коли у об'єкту відсутня SACL, аудит об'єкта неможливий.

Процеси не звертаються безпосередньо до таких об'єктів, як файли, каталоги або принтери. Операційна система Windows 2000 (а саме її частина Win32) звертається до об'єктів від особи процесів. Основна мета цього - зробити програми простіше. Програма не зобов'язана знати, як безпосередньо маніпулювати кожним типом об'єкта, вона просто просить про це операційну систему. Ще однією важливою перевагою, особливо з точки зору безпеки, є те, що, оскільки операційна система виконує всі дії для процесів, вона може примусово відстежувати безпеку об'єктів.

Коли процес просить підсистему Win32 виконати дію над об'єктом (наприклад, прочитати файл), підсистема Win32 звіряється з Security Reference Monitor (монітор перевірки безпеки), щоб упевнитися, що процес має дозвіл на здійснення дії над об'єктом. Security Reference Monitor порівнює токен доступу процесу зі списком DACL об'єктів, звіряючи кожен SID у токені доступу з ідентифікаторами SID у списку DACL Якщо існує запис управління доступом (АСЕ) з співпадаючим SID, яка містить маску доступу, роздільну дію, і немає АСЕ з співпадаючим SID, що містить забороняє маску для дії над об'єктом, то Security Reference Monitor дозволяє підсистемі Win32 виконати дію.

Security Reference Monitor також перевіряє, чи здійснюється аудит доступу до об'єкта і чи потрібно запис в журнал подій Security Log (Безпека) Windows 2000. Аудит перевіряється точно так само, як і перевірка дозволів, - шляхом порівняння кожного SID у токені доступу з SID кожного запису управління доступом. При виявленні збігу монітор перевіряє, чи належить виконувану дію (або функція) до перелічених у масці доступу. Якщо так і якщо результат перевірки безпеки за списком SACL збігається з проведеним аудитом (сталася відмова у доступі і проводиться аудит відмови в доступі, або доступ був успішний і проводиться аудит успішного доступу, або відбулися обидва ці події), то в цьому випадку подія аудиту записується в журнал подій.

Деякі дії застосовуються не до конкретного об'єкта, а до групи об'єктів або до всієї операційній системі. Завершення роботи з операційною системою, наприклад, вплине на всі об'єкти в системі. Користувач повинен мати права користувача (user rights) для здійснення таких дій.

Засоби Local Security Authority включають локально унікальний ідентифікатор (LUID) при створенні токена доступу. LUID описує, яке з прав користувача має конкретна обліковий запис. Local Security Authority створюють LUID на основі інформації про безпеку в базі даних диспетчера безпеки облікових записів (для облікового запису локального комп'ютера) або Active Directory (для облікового запису домена). LUID є об'єднанням прав цієї конкретної облікового запису користувача та прав усіх груп, в які входить ця обліковий запис.

Права мають більший пріоритет, ніж дозволу (permissions). Ось чому обліковий запис адміністратора може стати власником файлу, чий власник вилучив всі дозволи на доступ; Administrator (Адміністратор) володіє правом Take Ownership of Files or Other Objects (зміна власника файлів або інших об'єктів). Операційна система Win ­ dows 2000 спочатку перевіряє права користувача і потім (якщо немає права користувача, спеціально дозволяє дію) звіряє записи АСЕ, що зберігаються в DACL, з ідентифікаторами SID у токені доступу.

Облікові записи користувача володіють правом на читання і запис для об'єкта, для якого вони є власником, навіть у разі наявності у того забороняє запису АСЕ. Обліковий запис користувача може також змінювати дозволи для приналежного їй об'єкта.


5.Файловая система NTFS


Файлова система NTFS - головний бастіон безпеки Windows 2000. Безпечний комп'ютер під управлінням Windows 2000 працює на платформі NTFS, що утворює основу для постійної безпеки.

LSA дає гарантію, що програми, які виконуються не можуть порушити адресний простір пам'яті один одного і що всі звернення до ядра належним чином авторизовані. Але що може перешкодити програмі замінити програмні файли LSA еквівалентної службою, яка буде працювати неправильно? Відповіддю на це питання є NTFS, і цей приклад підкреслює, чому безпечна файлова система - обов'язкова вимога для безпечної операційної системи. Не маючи можливості довіряти файлової системи, що зберігає системні файли, не можна довіряти системі, робота якої реалізується за допомогою виконання цих файлів.

Розглянемо випадок проникнення вірусу на комп'ютер з Windows 95. Користувач виконує програму, яка містить вірус. Вірус визначає, яка програма запустила поточну програму, і заражає її, таким чином поширюючи себе далі на один рівень. При наступному запуску цієї програми вірус зробить те ж саме, а також заразить кожну програму, породжену цією програмою. Через кілька циклів вірус пошириться до ключових програм операційної системи, таким чином заражаючи кожен виконуваний в ній файл. Розглянемо тепер випадок, коли користувач виконує заражену вірусом програму в Windows 2000. Ця програма намагається записати свій вірусний заголовок у explorer. Exe, але блокується засобами безпеки файлової системи NTFS, тому що у користувача немає дозволів на запис в explorer. exe. Завдяки NTFS цей тип вірусів моментально зупиняється Windows 2000. При попаданні в систему деяких вірусів вдається вижити в режимі користувача (наприклад, макровірусів Word або черв'якам Outlook), але ці віруси все одно не можуть заразити саму операційну систему - якщо тільки вірус не був запущений з обліковим записом, що володіє адміністративним доступом до комп'ютера.

NTFS працює, порівнюючи токен доступу користувача зі списком контролю доступу (ACL), пов'язаних з кожним запитуваною файлом, перед тим, як дозволити користувачу доступ до цього файлу. Цей простий механізм не дає несанкціонованим користувачам змінювати операційну систему або ще що-небудь, до чого у них немає спеціального доступу.

За замовчуванням Windows 2000 перебуває в стані, що надає повний доступ групі «всі» (everyone) для кореня всіх дисків, внаслідок чого всі дозволи, успадковані створюваними там файлами, також доступні для всіх. Для отримання будь-якої реальної користі від безпеки файлової системи NTFS для додатків і збережених користувачами файлів необхідно видалити дозвіл, що надає повний доступ для всіх, і замінити його дозволами з відповідним рівнем безпеки для кожної папки на комп'ютері.

Управління дозволами файлової системи NTFS можна просто і працює аналогічно тому; як дозволу встановлювалися в попередніх версіях Windows NT.

У Windows 2000 успадкування обробляється по-іншому, ніж в Win ­ dows NT. У Windows NT успадковані дозволи були просто такими ж, як у батьківських об'єктів, і могли бути негайно змінені. У Windows 2000, якщо об'єкт успадковує дозволи від містить об'єкт папки, необхідно зняти прапорець Allow Inheritable Permissions (Переносити успадковані від батьківського об'єкта дозволу на цей об'єкт), для того щоб створити копію успадкованих дозволів і потім змінити існуючі дозволи. Можна створювати нові записи АСЕ, не перекриваючи установку безпеки.


5.1. Файлова система з шифруванням


Зашифрований файлова система (Encrypting File System) - це драйвер файлової системи, що забезпечує можливість зашифровувати і розшифровувати файли на льоту. Використовувати службу дуже легко: користувачі встановлюють атрибут шифрування для файлу або каталогу. Служба EFS генерує сертифікат шифрування у фоновому процесі і використовує його для шифрування заданих файлів. Коли ці файли запитуються драйвером файлової системи NTFS, служба EFS автоматично розшифровує файл для надання його драйвера.

Шифрування файлів виглядає як дійсно чудова можливість, але поточна його реалізація в Windows 2000 має такими дефектами, що EFS в більшості випадків марна, за винятком, може бути, портативних комп'ютерів. Основна проблема EFS в тому, що вона працює тільки для окремих користувачів, що робить її придатною тільки для клієнтських комп'ютерів. Сертифікати шифрування для файлів створюються на основі постатей користувача, тому зашифровані файли можуть бути використані тільки тієї обліковим записом, яка їх створювала. Сертифікати шифрування не можуть бути призначені груповим об'єктів, тому шифрування не може захистити загальні файли, що зберігаються на сервері. Ця архітектура зажадає обміну закритими ключами по мережі, тому для такого обміну повинен бути встановлений зашифрований канал. EFS не дозволить спільне використання зашифрованих файлів, тому що вона розшифровує їх перед тим, як надати їх за запитом. Це також не передбачено. Якби сертифікати шифрування належали групі, зашифрований файл міг би бути наданий по мережі клієнтові у своєму зашифрованому стані та клієнтський комп'ютер зміг би скористатися своєю участю в групі, володіючи сертифікатом для розшифровки файлу. Kerberos може створювати ключі сеансу для шифрування сертифікатів, щоб зберегти їх у безпеки під час передачі членам групи. Загальні файли можуть бути достатньо безпечними, щоб використовувати їх через Інтернет без закритого тунелю.

Більше того, втрата сертифікату шифрування - ахіллесова п'ята шифрування - не буде такою вже проблемою. До тих пір, поки сертифікат все ще існує у будь-кого з членів групи, цей користувач все ще буде мати копією сертифіката для розшифровки файлів. Так, як вона реалізована сьогодні, EFS завжди створює ключ для агента відновлення (за умовчанням це локальний адміністратор), незалежно від того, хоче користувач чи ні, щоб агент відновлення міг розшифрувати файл.

EFS (так само, як реплікація файлів) - ще один приклад служби, яка була б по-справжньому чудовою, якби Microsoft реалізувала се належним чином. У тому вигляді, в якому вона існує зараз, вона зроблена рівно настільки, щоб Microsoft могла стверджувати про наявність у неї шифрування файлової системи.

Крім того факту, що EFS працює тільки для окремих користувачів, вона має низку інших проблем:

Єдиний спосіб забезпечити безпеку локальних сертифікатів EFS - це використовувати аутентифікацію за допомогою смарт-карти або-скористатися SysKey, хеш-значення, що використовується для шифрування локальної бази даних облікових записів SAM, яка містить сертифікат розшифровки EFS, на гнучкий диск або використовувати його в якості пароля під час початкового завантаження - і цей пароль або гнучкий диск повинні бути доступні для всіх, кому потрібно завантажувати комп'ютер;

Не рекомендується використовувати EFS крім як на одного користувача комп'ютерах, які можна по-іншому фізично захистити. Її простота використання є лише видимістю безпеки, а не справжньої безпекою EFS має сенс застосовувати для комп'ютерів, схильних до крадіжок, таких як портативні комп'ютери, які налаштовані з шифруванням каталогу буфера друку, тимчасових папок і каталогу My Documents (Мої документи).


6. Мережева безпеку Windows 2000 Advanced Server


Мережева безпека Windows 2000 заснована на кількох основних службах:

• Active Directory;

• Group Policy;

• Kerberos;

• Share Security;

• IPSec.

Кожна з цих служб працює разом з іншими, утворюючи єдине ціле: IPSec визначається груповими політиками, які зберігаються в Active Directory і можуть бути налаштовані для використання Kerberos для автоматичного обміну закритими ключами. Share Security грунтується на ідентифікаційних даних користувача, підтверджених Kerberos на основі хешірованних паролів, що зберігаються в Active Directory. Управління політикою безпеки через Active Directory дозволяє адміністраторам створювати політики, які можуть бути автоматично застосовані до всієї організації.

Active Directory не є службою безпеки, але практично всі вбудовані в Windows 2000 механізми безпеки покладаються на Active Directory як на механізм зберігання інформації безпеки, такої як ієрархія доменів, довірчі відносини, ключі криптографії, сертифікати, політики та основні облікові записи безпеки.

Усі механізми безпеки Windows 2000 інтегровані з Active Directory.

Хоча Active Directory не є службою безпеки, її можна зробити безпечною: контейнери і об'єкти Active Directory мають списки контролю доступу (ACL), так само як файли NTFS. Дозволи в Active Directory можна застосовувати багато в чому аналогічно NTFS. На відміну від дозволів файлової системи NTFS, можна встановлювати дозволу для полів всередині конкретних об'єктів так, щоб різні користувачі груп безпеки були відповідальні за частини даних об'єкта.


6.1. Аутентифікація Kerberos і безпека домену


Аутентифікація Kerberos була розроблена Массачусетським технологічним інститутом (Massachusetts Institute of Techology, MIT) для реалізації межкомпьютерной довірчої системи, здатної перевіряти справжність принципалів безпеки (таких, як користувач або комп'ютер) через відкриту небезпечну мережу. Kerberos не залежить від аутентифікації, здійснюваної беруть участь комп'ютерами, або збереження цілісності даних при передачі по мережі. З цієї причини Kerberos ідеальна для аутентифікації через Інтернет або у великих мережах.

Kerberos діє як надійна служба аутентифікації третьої фірми, використовуючи загальні секретні ключі .. У Windows 2000 загальний секретний ключ генерується при вході комп'ютера в домені. Оскільки обидві сторони сеансу Kerberos довіряють KDC, вони довіряють один одному. На практиці це довіра реалізовано як безпечний обмін зашифрованими ключами, які підтверджують учасникам взаємодії ідентифікаційні дані іншого боку.

Аутентифікація Kerberos працює наступним чином.

1. Клієнт запитує можливий набір ідентифікаційних даних для даного сервера у KDC, відправляючи запит в простому текстовому форматі, який містить ім'я клієнта (ідентифікатор).

2. KDC шукає таємні ключі, як клієнта, так і сервера в своїй базі даних (Active Directory) і створює квиток (ticket), що містить випадковий ключ сеансу, поточний час KDC, заданий політикою час закінчення, і, залежно від параметрів, будь-яку іншу інформацію, що зберігається в базі даних. У випадку з Windows 2000 в квитку містяться ідентифікатори SID.

3. Квиток зашифровується з використанням секретного ключа клієнта.

4. Створюється другий квиток, званий квитком сеансу (session ticket), який містить ключ сеансу і необов'язкові дані аутентифікації, які зашифровуються з використанням секретного ключа сервера.

5. Сполучені квитки передаються назад клієнтові. Серверу аутентифікації немає необхідності явно перевіряти справжність клієнта, тому що тільки що володіє повноваженнями клієнт може розшифрувати квиток.

6. Після того як клієнт отримав у своє розпорядження допустимий квиток і ключ сеансу для сервера, він ініціює взаємодію безпосередньо з сервером. Для цього клієнт конструює посвідчення (authenticator), що складається з поточного часу, імені клієнта, за бажанням - залежну від програми контрольну суму і випадковим чином згенерований початковий номер послідовності та / або з'єднання сеансу, які використовують для добування унікального ідентифікатора сеансу для необхідної служби. Посвідчення діють тільки для однієї спроби і не можуть застосовуватися повторно або використовуватися в атаках відтворення, тому що вони залежать від поточного часу. Посвідчення шифрується за допомогою ключа сеансу і передається разом з квитком сеансу сервера, в якого запитується служба.

7. Коли сервер отримує квиток від клієнта, він розшифровує квиток сеансу за допомогою загального секретного ключа сервера (якщо існує більше одного ключа, потрібний ключ зазначається у частині квитка в простій текстовій формі).

8. Потім сервер витягує з квитка ключ сеансу і використовує його для розшифровки посвідчення. Здатність сервера розшифрувати квиток підтверджує, що він був зашифрований за допомогою секретного ключа сервера, відомого тільки KDC і самому серверу, таким чином, справжність клієнта підтверджується. Посвідчення використовується для гарантії того, що взаємодія недавнє і не є атакою на основі повторного запиту.

Квитки можуть повторно використовуватися протягом періоду, що визначається політикою безпеки домену, але не перевищує восьми годин. Клієнти кешують свої квитки сеансу в безпечному місці, розташованому в оперативній пам'яті, і знищують їх по закінченню терміну дії.

Kerberos скорочує надання квитків, під час першого контакту з клієнтом надаючи квиток сеансу самому собі так само, як і запитуваній сервера. КОС відповідає на цей первинний запит - спочатку надаючи квиток сеансу для подальших запитів про квитки, званий Ticket - Granting Ticket (Квиток на надання квитків, TGT), і потім - квиток сеансу для запитуваної сервера. TGT усуває потребу в подальшому проводиться Active Directory пошуку клієнта, здійснюючи попередню аутентифікацію подальших запитів про квитки точно таким же способом, яким Kerberos здійснює аутентифікацію всіх інших запитів. Як і будь-який квиток сеансу, квиток TGT дійсний до закінчення терміну дії, який залежить від політики безпеки домену.

Kerberos технічно ділиться на дві служби: службу TGT (єдину службу, яка фактично здійснює аутентифікацію в Active Directory) і службу надання квитків, яка видає квитки сеансів по отриманні допустимого TGT.


6.1.2. Довірчі відносини між доменами


Kerberos працює через кордони домену (домени в термінології Kerberos називаються сферами (realm), ці терміни еквівалентні).

Ім'я домену, до якого належить принципал безпеки, є частиною імені принципала безпеки. Членство в одному дереві Active Directory автоматично створить Міждомена ключі Kerberos між батьківським доменомі його дочірніми доменами.

Обмін Міждомена ключами реєструє контролери домену одного домену в якості принципалів безпеки у довіреному домені. Ця проста концепція дає можливість будь-якому принципалу безпеки в домені отримати квиток сеансу в чужому КОС.

1. Коли принципал безпеки в одному домені хоче звернутися до принципала безпеки в сусідньому домені (один з доменів батьківський, інший дочірній), він відправляє запит про квиток сеансу своєму локальному КОС.

2. КОС визначає, що сервер призначення не знаходиться в локальному домені, і відповідає клієнтові, відправляючи йому квиток напряму (referral ticket), який є квитком сеансу, зашифрований за допомогою Міждомена ключа.

3. Клієнт використовує квиток напрямки для запиту квитка сеансу безпосередньо біля чужого KDC.

4. Чужий KDC розшифровує квиток напрямки, тому що володіє Міждомена ключем, який підтверджує, що довірений контролер домену довіряє клієнтові (інакше він не надав би ключ напрямку).

5. Чужий KDC надає квиток сеансу, допустимий для чужого сервера призначення.

Для більш віддалених доменів цей процес просто повторюється. Для доступу до принципала безпеки в домені, розташованому на відстані двох вузлів в ієрархії доменів Active Directory, клієнт запитує квиток сеансу для сервера призначення в своєму KDC, який у відповідь пересилає йому квиток напряму до наступного домену в дорозі. Потім клієнт запитує квиток сеансу, використовуючи тільки що отриманий квиток призначення. Цей сервер просто відповість квитком призначення, допустимим для наступного сервера в ланцюжку. Цей процес буде продовжуватися до тих пір, поки не буде досягнутий локальний домен для принципала безпеки призначення. У цей момент ключ сеансу (технічно - TGT і ключ сеансу) надається запитуючій клієнту, який потім зможе пройти аутентифікацію безпосередньо у принципала безпеки призначення.

Остання важлива концепція в аутентифікації Kerberos - делегування аутентифікації. Д елегірованіе аутентифікації (delegation of authentication) - це механізм, за допомогою якого принципал безпеки дає можливість іншому принципалу безпеки, з яким у нього встановлений сеанс, запитувати аутентифікацію від свого імені у третього принципала безпеки. Цей механізм важливий у багатоланкових додатках, таких як web-сайт з підтримкою бази даних. За допомогою делегування аутентифікації клієнт-web-браузер може пройти аутентифікацію у web - cep віра і потім надати web-серверу спеціальний квиток TGT, який сервер зможе використовувати для запиту квитків сеансів від свого імені, web-сервер зможе потім використовувати передані web-клієнтом ідентифікаційні дані для аутентифікації на сервері баз даних.


6.1.3. Групові політики


Групова політика (Group Policy) - це основний механізм Win ­ dows 2000 при управлінні конфігурацією клієнтських робочих станцій для контролю за безпекою і для адміністрування. Політики (policy) - це, в загальному випадку, просто набори змін в установках комп'ютера за замовчуванням. Політики зазвичай організовуються так, щоб окремі політики містили зміни, що реалізують конкретну мету - наприклад, відключення або включення шифрування файлової системи або контроль за програмами, які дозволено запускати користувачеві.

Групові політики (Group Policies) застосовуються до елементів контейнера Active Directory (таким, як домен або Organizational Unit (Підрозділ)). Групи безпеки можуть бути використані для фільтрації групових політик, але політики не можна застосовувати до груп безпеки. Групова політика Windows 2000 не є лише механізмом безпеки - її основне призначення полягає в управлінні змінами і конфігурацією, - але вона дозволяє адміністраторам створювати додаткові системи безпеки, обмежуючи свободу дій користувачів. Групові політики можна застосовувати для управління такими елементами політик комп'ютера (computer policy):

Групові політики можна застосовувати для управління такими елементами політик користувача (user policy):


Об'єкти групової політики (Group Policy Objects) по суті є налаштованим файлами реєстру (і файлами підтримки, такими, як пакети. Msi і сценарії), які визначаються налаштуваннями політики, які завантажуються і застосовуються до вхідних в домен клієнтських комп'ютерів при початковому завантаженні комп'ютера (конфігурація комп'ютера) і при вході користувача в систему (конфігурація користувача). Об'єкти групової політики і всі файли підтримки, необхідні для групової політики, зберігаються на контролерах домену в загальній папці SysVol. До одного комп'ютера можуть застосовуватися кілька групових політик, при цьому кожна політика буде перезаписувати налаштування попередньої політики у відповідності зі сценарієм «діє остання застосована» - якщо тільки певна політика не налаштована так, щоб її не можна було перезаписати.

Кожен об'єкт групової політики складається з двох частин: конфігурації комп'ютера і конфігурації користувача. Можна сконфігурувати налаштування і користувача, і комп'ютера в одному об'єкті групової політики, а у вікні властивостей політики можна відключити частину об'єкта, що відноситься до користувача або комп'ютера.

Політики комп'ютера застосовуються під час початковій стадії роботи системи перед входом користувача в систему (і під час періодичних відновлень). Політики комп'ютера регулюють операційну систему, додатки (включаючи Windows Explorer) і сценарії, які виконуються при завантаженні-завершенні роботи. У разі конфлікту політики комп'ютера зазвичай мають переваги над політиками користувача.

Політики користувача застосовуються після того, як ви увійшли до системи, але перед тим, як йому буде дозволено працювати на комп'ютері, а також під час циклу періодичних оновлень. Політики користувача регулюють поведінку операційної системи, настройки робочого столу, настроювання додатків, перенаправлення папок і призначені для користувача сценарії входу-виходу в систему.

Групові політики називаються груповими політиками тому, що вони застосовуються до груп користувачів, а саме до членів контейнерів Active Directory, таких як домени або контейнери OU. Групові політики ієрархічні за своєю природою: багато політиків можуть бути застосовані до одного комп'ютера або користувачеві, вони застосовуються в порядку ієрархії. Крім того, наступні політики можуть перекрити налаштування попередніх політик. Це означає, що окремі елементи політики можна деталізувати при переході від застосовуваних до великих груп, таких як домени, політик широкої дії, до вузьконаправленим політикам, застосовуваним до менших гуртам контейнери OU.

Групові політики конфігуруються на наступних рівнях у наступному порядку.

Локальний комп'ютер. Групова політика застосовується першої, тому вона може бути перекрита політикою домену. У кожного комп'ютера існує одна застосовувана до нього локальна групова політика. Нелокальні групові політики завантажуються з Active Directory в залежності від місця розташування користувача і комп'ютера в Active Directory.

Офіс. Ці групові політики унікальні тим, що вони керуються з оснащення Active Directory Sites and Services (Сайти та служби). Політики офісів застосовуються до офісів, тому їх слід застосовувати для питань, пов'язаних з фізичним розташуванням користувачів і комп'ютерів, а не за участю в безпеці домену.

Домен. Групові політики застосовуються до всіх користувачів і комп'ютерів у домені, і саме тут слід реалізовувати глобальні політики організації.

Контейнер OU (Organizational Unit). Групові політики застосовуються до вхідних в них користувачам і комп'ютерів. Групові політики застосовуються зверху вниз (батько, потім нащадок) ієрархії OU.

Група безпеки. Групи безпеки функціонують по-іншому, ніж справжні контейнери доменів. У цьому випадку не визначаються групові політики, застосовувані до групи безпеки, а фільтруються (дозволяються або забороняються) застосовувані до користувача групові політики на основі входження користувача в групи безпеки.

Групові політики застосовуються тільки цілком, не можна вказати, щоб застосовувалася тільки частина політики.

Одна групова політика може бути застосована більш ніж до одного контейнеру в Active Directory, тому що групові політики не зберігаються в Active Directory місці їх застосування. Зберігається лише посилання на об'єкт групової політики, самі об'єкти насправді зберігаються в реплицируемой спільній папці SysVol на контролерах домену в домені.

Групова політика домену управляється через оснащення Active Di ­ rectory Sites and Services для групових політик офісів або оснащення Active Directory Users and Computers (Користувачі та комп'ютери) для всіх інших нелокальних групових політик.

Одна політика може бути застосована до кількох контейнерів Active Directory, хоча немає необхідності явно застосовувати політику до дітям контейнера, до якого вже застосована політика, тому що політика буде вже застосована до принципала безпеки.


6.4. Безпека загальних папок


Загальні папки (shares) - це каталоги або тому на робочій станції або сервері, до яких мають доступ інші комп'ютери в мережі. Доступ до загальних папок може бути або відкритим, або контролюватися дозволами. Загальні папки використовують безпеку рівня загальних папок (share - level security), яка управляє дозволами загальних папок, але не конкретних об'єктів усередині папки. Безпека рівня файлів переважає над безпекою рівня загальних папок, але може застосовуватися тільки на томах NTFS.

Хоча за допомогою загальних папок можна встановити прийнятну безпеку в маленькій мережі, техніка безпеки загальних папок в дійсності погано масштабується для забезпечення безпеки великих мереж і оточень.

Основна причина для встановлення мережі - це спільне використання файлів. Будь-який каталог на будь-якій робочій станції або сервері в мережі може бути визначений як загальний каталог. Хоча загальні папки не володіють тим же рівнем безпеки, як каталоги NTFS на виділеному сервері, Windows 2000 надає простий набір можливостей безпеки для загальних каталогів.

Доступ до спільних папок. На сервері може бути налаштоване кілька загальних папок - тому цілком, каталоги на більш глибоких рівнях, - всі вони бачаться користувачам як єдиний список під іменем сервера. Користувачі можуть отримати доступ до папки з іменем сервера через значок My Network Places (Моє мережне оточення) і потім відкрити її, щоб відобразити список загальних папок.

Загальні папки за замовчуванням. У Shared Folder Manager (диспетчер загальних папок), кілька загальних папок з іменами, що закінчуються знаком долара: З $, ADMIN $ і т. п. Це адміністративні загальні папки (administrative shares) - загальні папки, автоматично конфігуровані Windows 2000 і доступні тільки для адміністраторів і самої операційної системи. Ці загальні папки використовуються для віддаленого адміністрування і взаємодії між системами.

Адміністративні загальні папки представляють певний ризик з точки зору безпеки. Хакер, що одержав доступ до облікового запису Administrator на одній робочій станції в робочій групі, зможе отримати доступ до системних дисків інших робочих станцій, легко отримуючи доступ рівня адміністратора до всієї робочої групи.

Можна підвищити безпеку, відключивши автоматичні адміністративні загальні папки, створені для кореневих каталогів диски на жорсткому диску (С $, 0 $ і т. д.).

Безпека рівня загальних папок аналогічна безпеки файлової системи, але далеко не так різноманітна (або безпечна), тому що записи управління доступом загальних папок можуть застосовуватися тільки до спільної папки як до єдиного цілого. Безпека не можна налаштувати всередині спільної папки.

У безпеки рівня загальних папок є одна суттєва перевага: вона працює з будь-яким загальним каталогом, чи знаходиться він на томі NTFS або FAT. Безпека рівня загальних папок - єдиний спосіб забезпечити безпеку каталогів FAT. Проте встановлені дозволу для спільної папки впливають тільки на віддалених користувачів. Користувачі, локально що ввійшли в систему комп'ютера, мають доступ до всіх папок на томі FAT, незалежно від того, загальні вони чи ні. Безпека рівня загальних папок також не може бути застосована до користувачів, що ввійшли в систему локально, або клієнтам Terminal Services (служби терміналу).

Дозволи загальних папок. Для загальних папок можливі наступні дозволи, кожне з яких може бути дозволено або заборонено:

• Read (Читання) - дозволяє користувачам переглядати вміст каталогу, відкривати і читати файли і запускати програми;

• Change (Зміна) - дозволяє все, що й дозвіл Read (Читання). Плюс до цього користувачі можуть створювати, видаляти і змінювати файли;

• Full Control (Повний доступ) - дозволяє все, що і дозволу Read (Читання) і Change (Зміна). Плюс до цього користувачі можуть змінювати дозволи і міняти власника файлів.


6.5. Шифрування мережевого рівня

Віртуальні приватні мережі (virtual private network, VPN) це високовитратний спосіб розширити локальну мережу через Інтернет до віддалених мереж і віддалених клієнтських комп'ютерів. Мережі VPN використовують Інтернет для передачі трафіку локальної мережі з однієї приватної мережі в іншу, інкапсуліруя трафік локальної мережі в IP-пакети. Зашифровані пакети не можуть бути прочитані проміжними комп'ютерами Інтернету і можуть містити будь-який вид взаємодій локальної мережі, включаючи доступ до файлів і принтерів, електронну пошту локальної мережі, виклики віддалених процедур і клієнт-серверний доступ до баз даних.

Віртуальні приватні мережі між локальними мережами можна встановлювати за допомогою комп'ютерів-серверів, брандмауерів або маршрутизаторів. Доступ клієнтів до VPN може здійснюватися за допомогою програмного забезпечення VPN на клієнтських комп'ютерах або шляхом віддаленого телефонного з'єднання до постачальників послуг Інтернету (ISP), що підтримує протокол VPN. При другому методі, однак, ISP стає вашим партнером в безпеці мережі.

Одні тільки системи VPN не забезпечують достатнього захисту мережі також буде потрібно брандмауер і інші служби безпеки Інтернету для забезпечення безпеки мережі. Проблеми з безпекою в особливості властиві протоколу РРТР

Використання Інтернету для зв'язку локальних мереж і надання віддалених комп'ютерів доступу до локальної мережі тягне за собою проблеми безпеки, продуктивності, надійності та керованості. Клієнти і сервери локальної мережі повинні бути захищені від Інтернету за допомогою трансляції мережевих адрес, здійснюваної брандмауером, і / або проксі-серверами так, щоб (в ідеалі) зловмисники в мережі не могли навіть дізнатися про їх існування, що сильно знижує їх схильність індивідуальним атакам . Для того щоб утруднити хакерам можливість захоплення закритою інформацією фірми, більшість брандмауерів конфігуруються так, щоб не пропускати типові службові протоколи локальної мережі, такі як SMB, NetBIOS, NetWare Core Protocol або NFS.

SMB працює особливо добре в чистому вигляді через Інтернет. Маючи високошвидкісний канал, можна просто використати спільне використання файлів через Інтернет без брандмауерів або сконфігурувати ваш брандмауер для передачі трафіку 8MB і Kerberos або NetBIOS і дозволити віддалений доступ до служб файлів та друку. Це дозволить хакерам зробити спробу отримати доступ до своїх даних, просто надавши припустиме ім'я облікового запису та пароль або провівши атаку на протокол і скориставшись його помилкою.


6.5.1. Технологія VPN


Віртуальні приватні мережі (VPN) вирішують проблему прямого доступу до серверів через Інтернет за допомогою об'єднання наступних фундаментальних компонентів безпеки:

• IP-інкапсуляція;

• захищена аутентифікація;

• шифрування вкладених даних.

Протокол Secure Socket Layer здійснює шифрування вкладених даних без захищеної аутентифікації віддаленого користувача, a Kerberos здійснює захищену аутентифікацію без шифрування вкладених даних.

IP-інкапсуляція. В ідеалі, комп'ютери в кожній локальної мережі не повинні нічого підозрювати про те, що у взаємодії з комп'ютерами з інших локальних мереж є щось особливе. Комп'ютери, що не входять у вашу віртуальну мережу, не повинні мати можливість підслуховувати трафік між локальними мережами або вставляти в комунікаційний потік свої власні дані.

IP-пакет може містити будь-який вид інформації: файли програм, дані електронних таблиць, звукові дані або навіть інші IP-пакети. Коли IP-пакет містить інший IP-пакет, це називається IP-інкапсуляцією (IP encapsulation), IP поверх IP (IP on IP) або IP / IP. Можна інкапсулювати один IP-пакет в інший кількома способами; Microsoft робить це двома різними, але пов'язаними способами, визначеними в протоколах Point - to - Point Tunneling Protocol (РРТР) і Layer 2 Tunneling Protocol (L 2 TP). Microsoft також підтримує IPSec, якому не обов'язково використовувати інкапсуляцію.

IP-інкапсуляція може змусити два віддалені один від одного мережі виглядати для комп'ютерів мережі сусідніми, відокремленими один від одного тільки одним шлюзом, хоча насправді вони будуть розділені багатьма шлюзами і маршрутизаторами Інтернету, які можуть навіть не використовувати одного адресного простору, тому що обидві внутрішні мережі застосовують трансляцію адрес.

Кінцева точка тунелю, будь це маршрутизатор, пристрій VPN, або сервер, на якому працює протокол тунелювання, витягне внутрішній пакет, розшифрує його і потім відправить вкладений пакет за його шляху призначення у внутрішній мережі у відповідності зі своїми правилами маршрутизації.

Передача даних в сполучених по протоколу РРТР локальних мережах починається і закінчується точно так само, як це відбувається в локальних мережах, з'єднаних через маршрутизатор. IP-пакетів, проте, доводиться проходити більш далеку дорогу, тож у середині проробляється велика робота. З точки зору двох клієнтських комп'ютерів в мережі не має значення, яким чином пакет був отриманий однієї IP-підмережею від іншої. Для залучених у з'єднання мережевих клієнтських комп'ютерів маршрутизатор означає те ж саме, що і два RRAS-сервера і РРТР-з'єднання.

Захищена аутентифікація. Захищена аутентифікація (cryptographic authentication) використовується для безпечного підтвердження особи віддаленого користувача, для того щоб система змогла визначити відповідний цьому користувачеві рівень безпеки. Мережі VPN застосовують захищену аутентифікацію для того, щоб визначити, чи може користувач брати участь у зашифрованому тунелі чи ні, а також можуть застосовувати її для обміну секретними або відкритими ключами, що використовуються для шифрування вкладених даних.

Існує багато різних видів захищеної аутентифікації в двох загальних категоріях.

• Шифрування з секретним ключем. Також називається шифруванням за загальним секретним ключем (shared secret encryption) або симетричним шифруванням (symmetric encryption), покладається на секретне значення, відоме обом сторонам.

• Шифрування з відкритим ключем. Покладається на обмін односпрямованими ключами (unidirectional keys) - ключами, за допомогою яких можна тільки зашифрувати дані. Кінцеві системи тунелю можуть обмінюватися парами відкритих ключів для утворення двонаправленого каналу, або одержувач при передачі з відкритим ключем може зашифрувати загальний секретний ключ і переслати його відправнику для використання в майбутніх комунікаціях (тому що шифрування з секретним ключем швидше, ніж шифрування з відкритим ключем).

Якщо хакер перехопить відкритий ключ (або ключ для зашифровки), він зможе тільки зашифрувати дані і передати їх одержувачу, але не зможе розшифрувати зміст перехоплених даних.

Шифрування вкладених даних. Шифрування вкладених даних (data payload encryption) використовується для приховування змісту інкапсульованих даних при шифруванні інкапсульованих IP-пакетів і даних, і внутрішня структура приватних мереж зберігається в секреті. Шифрування вкладених даних може здійснюватися за допомогою одного з криптографічних методів забезпечення безпеки, які різняться в залежності від вашого рішення VPN.


6.5.2. IPSec


IPSec (Internet Protocol Security) це система стандартів IETF для безпечних IP-комунікацій, покладається на шифрування для забезпечення достовірності і закритості IP-комунікацій. IPSec забезпечує механізм, за допомогою якого можна реалізувати наступне:

• перевіряти справжність окремих IP-пакетів і гарантувати, що вони не були змінені;

• шифрувати вкладені дані окремих IP-пакетів між двома кінцевими системами;

• інкапсулювати TCP або UDP сокет між двома кінцевими системами (хостами) всередині захищеного IP-каналу (тунелю), встановленого між проміжними системами (маршрутизаторами) для забезпечення функціонування віртуальної приватної мережі.

IPSec реалізує ці три функції за допомогою двох незалежних механізмів: протокол Authentication Headers '(АН) для аутентифікації і протокол Encapsulation Security Payload (ESP) для шифрування частини даних IP-пакета. Ці два механізми можуть застосовуватися разом або окремо.

Механізм АН працює, обчислюючи контрольну суму всієї інформації заголовка TCP / IP і зашіфровивая контрольну суму за допомогою секретного ключа одержувача. Одержувач розшифровує контрольну суму за допомогою свого таємного ключа і потім звіряє заголовок з розшифрованої контрольною сумою. Якщо обчислена контрольна сума відрізняється від контрольної суми заголовка, то в цьому випадку або не вдалася розшифровка через неправильне ключа, або заголовок був змінений при передачі. У будь-якому випадку пакет відкидається.

IPSec може діяти в одному з двох режимів: транспортному режимі (transport mode), який працює в точності як звичайний IP, за винятком того, що проводиться аутентифікація заголовків (АН) і вміст шифрується (ESP), або в тунельному режимі (tunnel mode), в якому IP-пакети цілком інкапсулюються всередину пакетів АН або ESP для забезпечення безпечного тунелю. Транспортний режим використовується для забезпечення безпечного або автентичного взаємодії через відкриті області IP між з'єднаними через Інтернет хостами у будь-яких цілях, в той час як тунельний режим використовується для створення безпечних каналів передачі даних між маршрутизаторами або іншими кінцевими точками мережі з метою скріплення двох приватних мереж.

Тунельний режим. При звичайному маршрутизуються з'єднанні хост передає IP-пакет своєму шлюзу за замовчуванням, який просуває пакет до тих пір, поки він не досягне шлюзу за замовчуванням одержувача, і потім передає його кінцевому хосту. Всі комп'ютери в поєднанні повинні бути в одному відкритому адресному просторі.

У IP поверх IP, або IP / IP, шлюз за замовчуванням (або інший маршрутизатор по шляху проходження) отримує пакет і зауважує, що його маршрут для цього пакета задає тунель IP / IP, тому він встановлює TCP / IP-з'єднання з віддаленим шлюзом. За допомогою цього з'єднання шлюз передає весь IP-трафік хоста-ініціатора всередині цього з'єднання, замість того щоб просувати його.

IPSec реалізує і IP / IP, і IPSec / IP. IP / IP забезпечує незашифрований віртуальний тунель між двома кінцевими системами a IPSec / IP застосовує ESP для шифрування вкладених даних несе IP, таким чином зашіфровивая весь інкапсульованний IP-пакет

Internet Key Exchange. IPSec використовує криптографію відкритого ключа для шифрування даних між кінцевими системами. Для того щоб встановити IPSec-з'єднання з хостом-одержувачем, хост повинен знати відкритий ключ цього хоста. Технічно відправник може просто запитати у хоста відкритий ключ, але це е забезпечить аутентифікації - будь-який хост може запросити ключ і п олучіть його. Таким чином працює SSL, справжність комп'ютер; не має значення, і SSL покладається на який-небудь інший протокол для аутентифікації користувача після встановлення тунелю.

IPSec використовує концепцію Security Association (Безпечна асоціація, SA) для створення іменованих комбінацій ключів і політики, що використовуються для захисту інформації для певної функції. Політика може вказувати певного користувача, IP-адреса хоста або мережеву адресу, аутентифікація яких повинна бути проведена, або задавати маршрут, де можна було б отримати таку інформацію.

Internet Key Exchange (IKE) усуває необхідність вручну вводити ключі в системи. IKE використовує безпеку з секретним ключем для підтвердження своїх повноважень для створення IPSec-з'єднання і для секретного обміну відкритими ключами. Протокол IKE також здатний погоджувати сумісний набір протоколів шифрування з чужим хостом, так що адміністраторам не потрібно знати, які саме протоколи шифрування підтримуються на хості іншого боку. Після обміну відкритими ключами і узгодження протоколів шифрування безпечні асоціації автоматично створюються на обох хостах і може бути встановлено звичайне IPSec-взаємодія. З використанням IKE в кожен комп'ютер, якому потрібна взаємодія через IPSec, повинен бути введений тільки один секретний ключ. Цей ключ може бути використаний для створення з'єднання IPSec з будь-яким іншим IPSec-хостом, що володіє цим же секретним ключем

У Windows 2000 можна сконфігурувати політики IPSec для використання Kerberos для автоматичного обміну секретними ключами для IKE Це усуває потреба в ручному введенні ключів і дозволяє реалізувати повністю автоматичне безпечне шифрування між членами однієї Active Directory в мережах Windows 2000

Ініціатор IKE починає IKE-запит, відправляючи віддаленого хосту запит на з'єднання у вигляді простого тексту. Віддалений хост генерує випадкове число, зберігає її копію та надсилає копію назад ініціатору. Ініціатор шифрує свій секретний ключ з використанням випадкового числа і відправляє його віддаленого хосту. Віддалений хост розшифровує секретний ключ, використовуючи своє збережене випадкове число, і порівнює закритий ключ зі своїм секретним ключем (або списком ключів, званому зв'язкою ключів (keyring)). Якщо секретний ключ не збігається ні з одним ключем зі списку, віддалений хост розірве з'єднання. Якщо співпаде, віддалений хост зашифрує свій відкритий ключ за допомогою таємного ключа і відправить його назад ініціатору. Ініціатор потім скористається відкритим ключем для створення сеансу IPSec з віддаленим хостом.



Ініціювання процедури обміну ключами (IКЕ)




Випадковий ключ




Зашифрований секретний ключ




Шифрований відкритий ключ




Рис. 6.5.2.1. Приклад роботи Internet Key Exchange.


Реалізація Microsoft IPSec не завершена повністю, тому що стандарти IPSec все ще з'являються. Практичним наслідком цього є те, що реалізація IPSec у Windows 2000 за замовчуванням несумісна з реалізаціями більшості постачальників брандмауерів


6.5.3. L 2 TP


Layer 2 Tunneling Protocol є розширенням протоколу Point - to - Point Protocol (протокол точка-точка, РРР) і дозволяє розділити кінцеву точку каналу передачі даних і точку доступу до мережі. У традиційному РРР користувач (зазвичай віддалений користувач) встановлює РРР-з'єднання з сервером віддаленого доступу. Цей сервер відповідає на з'єднання канального рівня (дзвінок через модем) і також працює як точка доступу до мережі, отримуючи дані, інкапсульованими у РРР-повідомлення, і передаючи їх у мережу призначення. Інкапсульовані дані можуть бути кадром AppleTalk, IP-пакетом, IPX-пакетом, пакетом NetBIOS або будь-яким іншим пакетом мережевого рівня.

У Windows 2000 ця служба називається RRAS.

L 2 TP відокремлює відповіді на дзвінки і маршрутизациї доступ по мережі При роботі за протоколом L 2 TP тих, що дзвонять сторона може додзвонюватися до модемного пула (або DSL Access Module, або чого-небудь ще) і ці пристрої можуть просто інкапсулювати отримані пакети L 2 TP в пакети Frame Relay, ATM або TCP / IP для подальшої передачі сервера віддаленого доступу. Після досягнення сервера віддаленого доступу вміст пакетів L 2 TP витягається і вкладені дані передаються в локальну мережу.

L 2 TP призначений для того, щоб дати можливість постачальникам послуг Інтернету використовувати менш дороге устаткування, розділяючи функції сервера віддаленого доступу на апаратну функцік (фізичний прийом даних через з'єднання) і програмну функцію (отримання інкапсульованих даних РР-Р), що може бути реалізовано на різних комп'ютерах. Це дає ряд важливих переваг:

• користувачі можуть додзвонюватися до локального модемного пулу який буде передавати L 2 TP що знаходиться на великій відстані сервера віддаленого доступу, таким чином уникаючи витрат на дзвінки на велику відстань при віддаленому доступі з прямим додзвоном;

• вкладені дані в L 2 TP можуть бути зашифровані за допомогою IPSec для забезпечення віддаленого доступу з захищеної аутентифікацією;

• багатоканальні сеанси L 2 TP можуть фізично оброблятися різними приймачами і коректно зв'язуватися з єдиним сервером віддаленого доступу. У нинішній реалізації багатоканальних РРР-з'єднань всі канали повинні бути з'єднані одним і тим же сервером віддаленого доступу.

L 2 TP може використовувати IPSec для шифрування кадрів РРР, такт чином надаючи віддаленим користувачам можливість без небезпечного РРР-сеансу. L 2 TP спеціально розроблявся для надання віддаленому користувачеві можливостей аутентифікації і підключення до віддалених мереж. Оскільки L 2 TP є розширенням РРР, будь-який протокол мережевого рівня (наприклад, IPX, NetBEUI або AppleTalk) може бути вбудований всередину L 2 TP. На противагу цьому, обидва протоколи РРТР і IPSec призначені для використання в IP-мережах і не працюють з іншими протоколами. Застосування РРР також забезпечує підтримку всіх стандартних протоколів аутентифікації користувача, включаючи CHAP, MS - CHAP і ЕАР.

L 2 TP використовує в якості свого транспорту UDP, а не TCP / IP, тому що вбудований протокол РРР може забезпечити необхідну гарантію надійності для потоку L 2 TP працює через порт 1701 UDP.


6.5.4. РРТР


РРТР був першою спробою Microsoft надати безпечний віддалений доступ користувачам мережі. По суті, РРТР створює зашифрований сеанс РРР між хостами TCP / IP. На відміну від L 2 TP, РРТР діє тільки поверх TCP / IP; L 2 TP може працювати поверх будь-якого транспорту пакетів, включаючи Frame Relay і ATM. РРТР не використовує IPSec для шифрування пакетів, замість цього він використовує хешірованний пароль користувача Windows 2000 для створення закритого ключа між клієнтом і віддаленим сервером, який (у версії з 128-бітним шифруванням) задіює випадкове число для підвищення стійкості шифрування.


7. Розробка програми визначальною ім'я комп'ютера і

його ip-адрес.


    1. Постановка завдання та визначення основних

цілей програми.

Поставлено завдання скласти програму яка могла б отримувати ім'я комп'ютера (робочої станції), визначати його ip-адресу в мережі і виводити ці дані на екран. Програма повинна працювати в середовищі Win32, використовувати мінімум ресурсів, бути досить компактної й написаної мовою вищого рівня.


    1. Принцип роботи програми.


Для написання програми було використано мову програмування макро Асемблер (MASM).

Використовувалися наступні бібліотеки: wsock32.lib, user32.lib, kernel32.lib, gdi32.lib.

При запуску програми (exe файлу) вона звертається через АР-функції до динамічних бібліотек Windows і отримує з них необхідні дані, далі через АР-функції виводить отримані дані (ім'я та ip-адресу робочої станції) на екран у стандартному для Windows вікні, вікно фіксованого розміру.

Програма скомпільована з включенням makefile (файлу збірки). makefile вважає що в директорія masm32 знаходиться на тому ж накопичувачі і - в стандартній instalation позиції. Так само є файл що використовуються програмою ресурсів.



Рис. 7.2.1. Зовнішній вигляд вікна програми

Висновки


Безпека - це комплекс заходів, що вживаються для запобігання втрати або розкриття інформації в мережі. Оскільки неможливо абсолютно усунути ймовірність втрати в придатних до роботи системах, певний ступінь ризику неминуча, і безпека системи повинна грунтуватися на фундаменті надання доступу тільки надійним принципалам безпеки (користувачам або комп'ютерів).

Для управління безпекою будь-яка система повинна:

• контролювати доступ;

• ідентифікувати користувачів;

• обмежувати або забороняти доступ;

• записувати діяльність користувачів;

• здійснювати закрите взаємодія між системами;

• мінімізувати ризик неправильної конфігурації.

Шифрування, процес приховування повідомлення за допомогою математичного алгоритму (шифру), і секретне значення (ключ), відоме тільки легітимним сторонам, утворюють основу всієї сучасної комп'ютерної безпеки. Шифрування може бути використано для підтвердження ідентифікаційних даних користувача або комп'ютера, для перевірки допустимості даних або для приховування вмісту даних при зберіганні або в комунікаційному потоці.

Безпека Windows 2000 грунтується на аутентифікації користувачів. Входячи в систему Windows 2000, користувачі підтверджують свою особистість для того, щоб отримати доступ до файлів, програм і загальним даними на серверах. Windows 2000 використовує проникаючу модель безпеки, в якій ідентифікаційні дані користувача перевіряються при всіх діях, що виконуються на комп'ютері, замість того щоб надавати широкий доступ до комп'ютера після того, як стався успішний вхід в систему.

Для того щоб операційна система була надійною, вона повинна бути здатною гарантувати, що не піддавалася несанкціонованим змінам і що інформація може зберігатися в безпеці від користувачів. Windows 2000 використовує дозволу файлової системи NTFS для управління доступом до файлів, включаючи файли, що забезпечують завантаження Windows 2000. Дозволи можуть бути надані користувачам і групам користувачів для кожної функції файлової системи. Файли також можуть бути зашифровані на диску для гарантії того, що до них не буде отриманий доступ, навіть коли комп'ютер вимкнений.

Мережева безпека Windows 2000 управляється за допомогою Active Directory, використовуваної в якості репозитарія хешірованних паролів Kerberos, групових політик і політик IPSec. Active Directory визначає також взаємини між принципалами безпеки.

Windows 2000 використовує Kerberos для перевірки ідентифікаційних даних користувача по мережі. Kerberos є надійною системою безпеки третьої фірми. Оскільки обидві кінцеві точки у взаємодії довіряють і доверяеми сервером Kerberos, вони довіряють один одному. Сервери Kerberos можуть довіряти іншим серверам Kerberos, тому можуть бути створені транзитивні довірчі відносини, що дають можливість кінцевим точкам з розділених великою відстанню мереж встановлювати сеанси взаємодії з перевіркою достовірності. Kerberos інтегрований з Active Directory (всі контролери домену є центрами Kerberos Key Distribution Center (центрами розподілу ключів Kerberos)), і входження в одне дерево домену автоматично створює транзитивні двосторонні довірчі відносини.

Групові політики застосовуються для встановлення вимог безпеки та конфігурації комп'ютерів та облікових записів користувачів у домені, офісі або контейнері OU. Можна застосовувати групові політики для управління практично всіма елементами безпеки комп'ютерів і користувачів. Групові політики керуються з оснащення Active Directory Users and Computers (Користувачі та комп'ютери) або через оснащення Active Directory Sites and Services (Сайти І служби).

IPSec є стандартом Інтернету для забезпечення автентичності IP-пакетів і для шифрування даних, вкладених в IP-пакети. IPSec працює з багатьма різними алгоритмами безпеки і може працювати в звичайному транспортному режимі або тунельному режимі для емуляції закритого каналу у відкритій мережі, такий як Інтернет.

Безпека в еру Інтернету означає активну блокування сеансів від невідомих комп'ютерів, авторизацію користувачів на основі сертифікатів публічних ключів шифрування, аудиту використання файлів і каталогів, шифрування передачі даних і запобігання ненавмисної активізації вірусів і троянських коней легітимними користувачами.

Винісши уроки з погано підготовленою Windows NT 4, Windows 2000 надає складний набір засобів аутентифікації користувачів, шифрування даних, забезпечення безпечних з'єднань, блокування несанкціонованого доступу та цілісного управління безпекою. За допомогою набору служб за замовчуванням Windows 2000 можна зробити більш безпечною, ніж будь-яку іншу операційну систему для масового ринку - у тому числі всі версії UNIX або Linux, - і нею набагато простіше керувати і використовувати у безпечному стані.

Windows 2000 не може, тим не менш, передбачити все, тому що Microsoft і постачальники програмного забезпечення третіх фірм поки ще на перше місце ставлять простоту використання, а не безпеку в споживчих продуктах, таких як Internet Explorer, Outlook і Office. У всіх цих програмах існують серйозні вади в безпеці через їх вбудованих сценарних процесорів, які вимагають від адміністраторів мереж неустанної пильності. Windows 2000 також може допомогти у виправленні цих проблем, але поки Microsoft в своїх продуктах для кінцевих користувачів не стане приділяти основну увагу безпеці, єдиним способом запобігти проблемам безпеки у вашій мережі, викликані цими програмами,-це взагалі їх не використовувати.


Список літератури:


  1. В. Оліфер Н. Оліфер. Мережеві операційні системи - С. Петербург.: Пітер., - 2003.

  2. Марк Джозеф Едвард, Девід Лебланк. Де NT зберігає паролі. - Журнал "Windows 2000 Magazine", -02/1999

  3. Метью Штребе. Windows 2000: проблеми та рішення. Спеціальний довідник - С. Петербург.: Пітер., -2002.

  4. Андрєєв А. Г. та ін Microsoft Windows 2000: Server і Professional. Російські версії. - BHV, -2001.

  5. Грег Тодд. Windows 2000 Datacenter Server / / за матеріалами сайту http:www. Citforum. Ru

  6. Кріста Андерсон. Адміністрування дисків в Windows 2000 .- Журнал "Windows 2000 Magazine", -03/2000 / / за матеріалами сайту http:www.citforum.ru

  7. Джеффрі Р. Шапіро. Windows 2000 Server. Біблія користувача - Вільямс, - 2001.

  8. Гаррі М. Брелсфорд. Секрети Windows 2000 Server - Вільямс, -2000.

  9. Гусєва. Мережі та міжмережеві комунікації. Windows 2000 - Діалог Міфи, - 2002.

Додаток А

Вихідний текст програми


.386

. Model flat, stdcall

option casemap: none


include / masm32/include/windows.inc

include / masm32/include/user32.inc

include / masm32/include/kernel32.inc

include / masm32/include/wsock32.inc

include / masm32/include/gdi32.inc

includelib / masm32/lib/wsock32.lib

includelib / masm32/lib/user32.lib

includelib / masm32/lib/kernel32.lib

includelib / masm32/lib/gdi32.lib


WndProc PROTO: DWORD,: DWORD,: DWORD,: DWORD


. Data

dlgname db "WINSOCK", 0

szTitle db "Ip Dialog", 0

wsaError db "Error initializing winsock!", 13,10

szName db "Computer Name:% s", 0

szFont db "MS Sans Serif", 0


. Data?

wsa WSADATA

hStatic dd?

hFont dd?

hInstance dd?

buffer db 24 dup (?)

buffer2 db 128 dup (?)


. Code


start:


invoke GetModuleHandle, NULL

mov hInstance, eax

invoke WSAStartup, 101h, addr wsa

. If eax == NULL

invoke DialogBoxParam, hInstance, ADDR dlgname, 0, ADDR WndProc, 0

invoke ExitProcess, 0

. Endif

invoke MessageBox, NULL, offset wsaError, offset szTitle, MB_OK + MB_ICONSTOP

invoke ExitProcess, 1


WndProc proc hWin: DWORD, uMsg: DWORD, wParam: DWORD, lParam: DWORD

. If uMsg == WM_INITDIALOG

invoke LoadIcon, hInstance, 101

invoke SendMessage, hWin, WM_SETICON, TRUE, eax

invoke GetDlgItem, hWin, 2000

mov hStatic, eax

invoke gethostname, offset buffer, sizeof buffer

invoke wsprintf, addr buffer2, addr szName, addr buffer

invoke SetDlgItemText, hWin, 3000, addr buffer2

invoke gethostbyname, addr buffer

mov eax, [eax +12]

mov eax, [eax]

mov eax, [eax]

invoke inet_ntoa, eax

invoke SetDlgItemText, hWin, 2000, eax

invoke WSACleanup

xor eax, eax

ret

. Elseif uMsg == WM_CTLCOLORSTATIC

mov eax, lParam

. If eax == hStatic

invoke CreateFont, 16,16,0,0,400,0,0,0, OEM_CHARSET, \

OUT_TT_PRECIS, CLIP_DEFAULT_PRECIS, \

DEFAULT_QUALITY, DEFAULT_PITCH or FF_SWISS, \

ADDR szFont

mov hFont, eax

invoke SelectObject, wParam, hFont

invoke GetSysColor, COLOR_MENU

invoke SetBkColor, wParam, eax

invoke SetTextColor, wParam, Blue

invoke GetStockObject, HOLLOW_BRUSH

ret

. Endif

. Elseif uMsg == WM_CLOSE

invoke DeleteObject, hFont

invoke EndDialog, hWin, 0

xor eax, eax

ret

. Endif

xor eax, eax

ret


WndProc endp

end start


Додаток Б

Файл збірки

makefile


NAME = ip

$ (NAME). Exe: $ (NAME). Obj $ (NAME). Res

\ Masm32 \ bin \ Link / SUBSYSTEM: WINDOWS / LIBPATH: \ masm32 \ lib $ (NAME). Obj $ (NAME). Res

$ (NAME). Res: $ (NAME). Rc

\ Masm32 \ bin \ rc $ (NAME). Rc

$ (NAME). Obj: $ (NAME). Asm

\ Masm32 \ bin \ ml / c / coff / Cp $ (NAME). Asm

Додаток В

Файл використовуваних ресурсів


ip. rs


# Include "\ masm32 \ include \ resource.h"


WINSOCK DIALOG DISCARDABLE 0, 0, 135, 25

STYLE WS_POPUP | WS_CAPTION | WS_SYSMENU

CAPTION "Ip Dialog"

FONT 8, "MS Sans Serif"

BEGIN

GROUPBOX "& Main", 3000,0,0,135,25

CTEXT "Static", 2000,4,9,127,12, SS_CENTERIMAGE | SS_SUNKEN

END


101 ICON DISCARDABLE "ico101.ico"

Додати в блог або на сайт

Цей текст може містити помилки.

Програмування, комп'ютери, інформатика і кібернетика | Реферат
231.9кб. | скачати

Схожі роботи:
Операційна система Windows 2000 Server
SQL Server 2000
Аналіз криптостійкості методів захисту інформації в операційних системах Microsoft Windows 9x
Windows Microsoft Word і Microsoft Excel
Система баз даних MS SQL Server 2000
Windows NT 40 Server
Забезпечення безпеки системи і захист даних в Windows 2003
Операційна система Windows Server 2008
Ваш власний сервер установка Windows Server 2003
© Усі права захищені
написати до нас