Анализ системы безопасности Microsoft Windows 2000 Advanced Server и стратегий ее использования

которое может только конкретный пользователь. Безопасные шифры с открытым

ключом страдают от одной проблемы — они медленны, гораздо медленнее, чем

симметричные шифры. Работа хорошего шифра с открытым ключом может отнять в

1000 раз больше времени для зашифровки одного и того же количества данных,

чем у хорошего симметричного шифра.

Хотя системы открытого/закрытого ключа гораздо медленнее симметричных

систем, они четко решают проблему, от которой страдали симметричные

криптосистемы. Когда двум людям (или устройствам) нужно установить

безопасный канал для передачи данных, один из них может просто взять

секретный ключ и зашифровать этот секретный ключ при помощи открытого ключа

другой стороны. Зашифрованный ключ затем отправляется другому участнику

коммуникации, и даже если этот ключ будет перехвачен, только другой

участник сможет расшифровать секретный ключ при помощи своего закрытого

ключа. Коммуникация между двумя сторонами затем может продолжаться с

использованием симметричного шифра и этого секретного ключа. Система,

которая использует как симметричное шифрование, так и шифрование с открытым

ключом, называется гибридной криптосистемой (hybrid cryptosystem).

3.2. Применение шифрования

Шифрование можно использовать для защиты следующих типов данных в

сети:

• закрытая передача данных;

• безопасное хранение файлов;

• аутентификация пользователя или компьютера;

• безопасный обмен паролями.

Следует шифровать любые данные, содержащие значимую или частную

информацию, проходящие через небезопасные каналы передачи данных, такие как

радио, телефонная сеть или Интернет. Используйте шифрование файловой

системы для защиты значимых данных, когда возможности операционной системы

не действуют (когда был удален жесткий диск или заменена операционная

система).

3.2.1. Безопасное хранение файлов

Шифрование может быть использовано для защиты данных в устройстве

хранения, например данных на жестком диске. Во всех реализациях UNIX и

Windows NT существует много сложных средств обеспечения безопасности.

Лучший подход к безопасности — предоставить шифрование и расшифровку файлов

операционной системе. Windows 2000 поставляется с Encrypting File System

(шифрованная файловая система, EFS), которая будет шифровать все файлы на

вашем жестком диске, даже временные файлы, созданные используемыми вами

приложениями.

Для того чтобы использовать EFS секретно, необходимо предоставить

криптографический ключ при запуске компьютера или использовать ее со смарт-

картой, иначе же можно считать файлы на жестком диске обычными,

незашифрованными файлами. Это не защитит файлы от доступа во время работы

операционной системы — для чего существуют средства обеспечения

безопасности операционной системы, — но это сохранит данные в безопасности,

даже если кто-нибудь украдет жесткий диск.

3.2.2. Аутентификация пользователя или компьютера

Помимо сохранения секретности (либо при передаче, либо при хранении),

шифрование можно использовать почти в противоположных целях — для проверки

идентичности. Шифрование может провести аутентификацию входящих в систему

компьютера пользователей, гарантировать, что загружаемое из Интернета

программное обеспечение приходит из надежного источника и что лицо,

отправившее сообщение, в действительности то, за которое оно себя выдает.

При входе в операционную систему Microsoft, например Windows 95,

Windows NT или Windows 2000, операционная система не сравнивает введенный

пароль с хранимым паролем. Вместо этого она шифрует пароль при помощи

однонаправленной криптографической функции и затем сравнивает результат с

хранящимся результатом. Другие операционные системы, такие как UNIX и OS/2,

работают точно так же.

Храня только криптографическое хэш-значение пароля пользователя,

операционная система затрудняет хакерам возможность получения всех паролей

системы при получении

3.2.3. Цифровые подписи

Обычно шифрование с открытым ключом используется для передачи

секретных сообщений, зашифрованных при помощи открытого ключа, и

последующей расшифровки их при помощи закрытого ключа.

Поскольку назначение цифровой подписи состоит не в том, чтобы утаить

информацию, а в том, чтобы подтвердить ее, закрытые ключи зачастую

используются для шифрования хэш-значения первоначального документа, и

зашифрованное хэш-значение присоединяется к документу или отправляется

вместе с ним. Этот процесс занимает гораздо меньше вычислительного времени

при генерации или проверке хэш-значения, чем шифрование всего документа, и

при этом гарантирует, что документ подписал владелец закрытого ключа.

Электронная почта Интернета проектировалась без учета безопасности.

Сообщения не защищены от нелегального просмотра на промежуточных хостах

Интернета, и нет гарантии, что сообщение в действительности пришло от того

лица, которое указано в поле From электронной почты. Сообщения групп

новостей Интернета страдают от той же проблемы: невозможно в

действительности сказать, от кого на самом деле пришло сообщение. Можно

зашифровать тело сообщения, чтобы справиться с первой проблемой, а цифровые

подписи справляются со второй.

Цифровые подписи полезны, потому что проверить подпись может каждый, а

создать ее может только лицо с закрытым ключом. Разница между цифровой

подписью и сертификатом в том, что можно проверить подлинность сертификата

в центре сертификации.

3.2.4. Безопасный обмен паролями

Большинство сетевых операционных систем (в том числе Windows 2000 и

все современные версии UNIX) защищают имя пользователя и пароль при входе в

систему посредством их шифрования перед отправкой в сеть для

аутентификации.

Чтобы одни и те же зашифрованные данные не передавались каждый раз,

клиент также может включить какую-то дополнительную информацию, например

время отправки запроса на вход в систему. При таком способе сетевые

идентификационные данные никогда не будут отправляться через локальную сеть

или телефонные линии в незащищенном виде. Тем не менее Windows 2000

принимает незашифрованные пароли от старых сетевых клиентов LAN Manager.

Не каждый протокол аутентификации зашифровывает имя пользователя и

пароль, этого не делает SLIP Telnet и FTP. Службу Telnet в Windows 2000

можно сконфигурировать для работы только с хэш-значениями Windows NT, а не

с паролями в виде простого текста. РРР может шифровать, если и удаленный

клиент, и сервер сконфигурированы таким образом. Windows NT по умолчанию

требует шифрованной аутентификации. Windows 2000 использует безопасную

систему аутентификации Kerberos, основанную на секретных ключах.

3.3. Стеганография

Стеганография (steganography) — это процесс сокрытия зашифрованных

файлов в таком месте, в котором вряд ли кто-либо сможет их обнаружить.

Зашифрованные файлы выглядят как случайные числа, поэтому все, что

также выглядит как случайные числа, может спрятать зашифрованное сообщение.

Например, в многоцветных графических изображениях бит нижних разрядов в

каждом пикселе изображения не сильно влияет на качество всего изображения.

Можно спрятать зашифрованное сообщение в графический файл, заменяя младшие

биты битами своего сообщения. Младшие биты звуковых файлов с высокой

точностью воспроизведения — еще одно хорошее место для зашифрованных

данных. Можно даже тайно обмениваться с кем-либо зашифрованными

сообщениями, отправляя графические и звуковые файлы с такой спрятанной в

них информацией.

3.4. Пароли

Пароли — это секретные ключи. Они могут применяться для аутентификации

пользователей, шифрования данных и обеспечения безопасности

коммуникационных потоков. Kerberos использует пароли как секретные ключи

для подтверждения идентификационных данных клиента в Kerberos Key

Distribution Center.

Из-за необходимости случайности в секретных ключах выступающие в

качестве секретных ключей пароли также должны быть секретными

Самый распространенный способ раскрыть пароль — это выбрать легко

угадываемый пароль, такой как пустой пароль, само слово пароль (password),

жаргонные слова или имена богов, детей или домашних животных. Для взлома

через Интернет пароля, в качестве которого взято любое известное слово,

потребуется примерно два часа времени.

Использование по-настоящему случайных паролей дает гораздо лучшие

результаты. Случайный выбор пароля только из 14 символов набора стандартной

ASCII-клавиатуры дает множество более чем из 1025 паролей.

Существует четыре уровня паролей:

• низкокачественный публичный пароль

• публичный пароль среднего качества — короткий, но полностью

случайный пароль длина этого пароля семь символов, что дает 40-битный

диапазон уникальности;

• высококачественный пароль — пароль для частных сетей где клиенту

может быть причинен серьезный ущерб в случае его утери -пароль длиной 12

символов, что дает 70-битный диапазон уникальности;

• чрезвычайно высококачественный пароль — пароль для шифрования

файлов и хранения секретных данных на личных компьютерах; длина 14

символов, что дает 84-битный диапазон уникальности.

4. Локальная безопасность Windows 2000 Advanced Server

Безопасность Windows 2000 основана на аутентификации пользователей.

Проходя процедуру входа в систему (обеспечиваемую процессом WinLogon),

пользователь идентифицирует себя компьютеру, после чего ему предоставляется

доступ к открытым и запрещается доступ к закрытым для вас ресурсам.

В Windows 2000 также реализованы учетные записи групп. Когда учетная

запись пользователя входит в учетную запись группы, установленные для

учетной записи группы разрешения действуют также и для учетной записи

пользователя.

Учетные записи пользователей и групп действуют только на том

компьютере под управлением Windows 2000, на котором они создаются. Эти

учетные записи локальны для компьютера. Единственным исключением из этого

правила являются компьютеры, входящие в домен и поэтому принимающие учетные

записи, созданные в Active Directory на контроллере домена. На каждом

компьютере под управлением Windows 2000 существует свой собственный список

локальных учетных записей пользователей и групп. Когда процессу WinLogon

(который регистрирует пользователя в системе и устанавливает его

вычислительную среду) требуется обратиться к базе данных безопасности, он

взаимодействует с Security Accounts Manager (диспетчер учетных записей

безопасности, SAM), компонентом операционной системы Windows 2000, который

управляет информацией о локальных учетных записях. Если информация хранится

локально на компьютере под управлением Windows 2000, SAM обратится к базе

данных (хранимой в реестре) и передаст информацию процессу WinLogon. Если

информация хранится не локально SAM запросит контроллер домена и вернет

подтвержденную информацию о регистрации (идентификатор безопасности,

security identifier) процессу WinLogon.

Независимо от источника аутентификации, доступ разрешен только к

локальному компьютеру посредством Local Security Authority (локальные

средства безопасности, LSA) компьютера. При обращаении к другим компьютерам

в сети, LSA локального компьютера передает идентификационные данные

пользователя LS А другого компьютера, реализуя вход в систему каждого

компьютера, с которым он контактирует. Чтобы получить доступ к другому

компьютеру, этот компьютер должен принять идентификационные данные,

предоставленные компьютером пользователя.

4.1. Идентификаторы безопасности

Принципалы безопасности, такие как пользователи и компьютеры,

представлены в системе идентификаторами безопасности (security identifier,

SID). SID уникально идентифицирует принципала безопасности для всех

компьютеров домена. При создании учетной записи при помощи оснастки Local

Users and Groups (Локальные пользователи и группы), всегда создается новый

SID, даже если используется такие же имя учетной записи и пароль, как в

удаленной учетной записи. SID будет оставаться с учетной записью в течение

всего времени ее существования. Можно поменять любой другой атрибут учетной

записи, включая имя пользователя и пароль, но в обычных обстоятельствах

нельзя изменить SID, поскольку при этом создается новая учетная запись.

Групповые учетные записи также имеют SID, уникальный идентификатор,

создающийся при создании группы. Для идентификаторов SID, групп действуют

те же правила, что и для SID учетных записей.

Процесс WinLogon (часть процесса Local Security Authority) проверяет

имя пользователя и пароль (или смарт-карту при соответствующей

конфигурации), чтобы определить, можно ли разрешить доступ к компьютеру.

Если указанный в диалоговом окне входа в систему домен является именем

локального компьютера, LSA проверит учетную запись в соответствии с

локальным SAM, хранимым в реестре. В ином случае LSA установит связь с

контроллером домена и воспользуется для проверки подлинности данных

пользователя аутентификацией Kerberos (в случае Windows 2000) или NLTM (в

случае всех остальных версий Windows, включая Windows 2000 в режиме Mixed

Mode), в зависимости от операционной системы клиента.

Если имя учетной записи и пароль правильны, процесс WinLogon coздаст

токен доступа. Токен доступа (Acess Token) образуется из SIDучетной записи

пользователя, SID групп, к которым принадлежит, учетная запись, и Locally

Unique Identifier (локально уникальный; идентификатор, LUID), который

определяет права пользователя и конкретный сеанс входа в систему.

Токен доступа создается при каждом вашем входе в Windows 2000.

Существуют особые идентификаторы SID. System SID зарезервирован для

системных служб, содержащие System SID токены доступа могут, обходить все

ограничения безопасности, основанные на учетных записях. SID дает системным

службам разрешение на осуществление тех; действий, которые обычная учетная

запись пользователя (даже учетная запись Administrator (Администратор))

делать не может. Службы операционной системы запускаются ядром Windows

2000, а не процессом WinLogon, и эти службы получают System SID от ядра при

своем запуске.

4.2. Доступ к ресурсам

Потоки (thread, отдельные ветви выполнения процесса) должны

предоставлять токен доступа при каждой попытке доступа к ресурсу. Потоки

получают токены доступа от родительских процессов при своем создании.

Пользовательское приложение, например, обычно получает свой токен доступа

от процесса WinLogon. Процесс WinLogon запускается от возбужденного

пользователем прерывания (прерывания клавиатуры Ctrl+Alt+Del) и может

создать новый токен доступа, запрашивая или локальный диспетчер учетных

записей безопасности (SAM), или Directory Services Agent (агент служб

каталога, DSA) на контроллере домена Active Directory.

При помощи этого метода каждый поток, запущенный после входа

пользователя в систему, будет иметь токен доступа, представляющий

пользователя. Поскольку потоки пользовательского режима должны всегда

предоставлять этот токен для доступа к ресурсам, в обычных обстоятельствах

не существует способа обойти безопасность ресурсов Windows 2000.

Основу безопасности Windows 2000 образует перемещаемый вход в систему

(mandatory logon). В отличие от других сетевых систем, пользователь ничего

не может сделать в Windows 2000, не предоставив имя учетной записи

пользователя и пароль. Хотя можно выбрать автоматический вход в систему с

идентификационными данными, предоставляемыми реестром, вход в систему при

помощи учетной записи пользователя все равно происходит.

Windows 2000 требует нажатия Ctrl+ALT+Del для входа в систему, и это

одна из причин, по которым Windows 2000 считается безопасной системой.

Поскольку компьютер обрабатывает нажатие Ctrl+ALT+Del как аппаратное

прерывание, фактически не существует способа, при помощи которого опытный

программист мог бы заставить эту комбинацию клавиш делать что-либо еще, не

переписывая операционную систему.

Поскольку токен доступа передается новому потоку во время его

создания, то после входа пользователя в систему в дальнейшем нет

необходимости обращаться для аутентификации к локальной базе данных SAM или

к Active Directory на контроллере домена.

При локальном входе пользователя в систему Windows 2000 проходит через

следующие этапы.

1. Пользователь нажимает Ctrl +A1t+Del, что вызывает аппаратное

прерывание, активизирующее процесс WinLogon.

2. Процесс WinLogon представляет пользователю приглашение ко входу в

систему с полями для имени учетной записи и пароля.

3. Процесс WinLogon отправляет имя учетной записи и зашифрованный

пароль локальным средствам безопасности (LSA). Если учетная запись локальна

для этого компьютера Windows 2000, LSA запрашивает диспетчер учетных

записей безопасности (SAM) локального компьютера Windows 2000; в другом

случае LSA запрашивает контроллер домена того домена, в который входит

компьютер.

4. Если пользователь представил допустимые имя пользователя и пароль,

LSA создает токен доступа, содержащий SID учетной записи пользователя и

идентификаторы SID для групп, в которые входит пользователь. Токен доступа

Страницы: 1, 2, 3, 4, 5, 6, 7