Анализ системы безопасности Microsoft Windows 2000 Advanced Server и стратегий ее использования

печати. Если диспетчер печати сконфигурирован так, чтобы буферизовать

документы (как в большинстве случаев), печатаемые данные будут

записываться в файл, который может быть после удаления восстановлен для

доступа к вашим зашифрованным данным.

Не рекомендуется использовать EFS кроме как на однопользовательских

компьютерах, которые нельзя по-другому физически защитить. Ее простота

использования является лишь видимостью безопасности, а не настоящей

безопасностьюEFS имеет смысл применять для компьютеров, подверженных

кражам, таких как портативные компьютеры, которые сконфигурированы с

шифрованием каталога буфера печати, временных папок и каталога My Documents

(Мои документы).

6. Сетевая безопасность Windows 2000 Advanced Server

Сетевая безопасность Windows 2000 основана на нескольких основных

службах:

• Active Directory;

• Group Policy;

• Kerberos;

• Share Security;

• IPSec.

Каждая из этих служб работает вместе с остальными, образуя единое

целое: IPSec определяется групповыми политиками, которые хранятся в Active

Directory и могут быть сконфигурированы для использования Kerberos для

автоматического обмена закрытыми ключами. Share Security основывается на

идентификационных данных пользователя, подтвержденных Kerberos на основе

хэшированных паролей, хранимых в Active Directory. Управление политикой

безопасности через Active Directory позволяет администраторам создавать

политики, которые могут быть автоматически применены ко всей организации.

Active Directory не является службой безопасности, но практически все

встроенные в Windows 2000 механизмы безопасности полагаются на Active

Directory как на механизм хранения информации безопасности, такой как

иерархия доменов, доверительные отношения, ключи криптографии, сертификаты,

политики и основные учетные записи безопасности.

Все механизмы безопасности Windows 2000 интегрированы с Active

Directory.

Хотя Active Directory не является службой безопасности, ее можно

сделать безопасной: контейнеры и объекты Active Directory имеют списки

контроля доступа (ACL), так же как файлы NTFS. Разрешения в Active

Directory можно применять во многом аналогично NTFS. В отличие от

разрешений файловой системы NTFS, можно устанавливать разрешения для полей

внутри конкретных объектов так, чтобы различные пользователи групп

безопасности были ответственны за части данных объекта.

6.1. Аутентификация Kerberos и безопасность домена

Аутентификация Kerberos была разработана Массачусетским

технологическим институтом (Massachusetts Institute of Techology, MIT) для

реализации межкомпьютерной доверительной системы, способной проверять

подлинность принципалов безопасности (таких, как пользователь или

компьютер) через открытую небезопасную сеть. Kerberos не зависит от

аутентификации, осуществляемой участвующими компьютерами, или сохранности

данных при передаче по сети. По этой причине Kerberos идеальна для

аутентификации через Интернет или в больших сетях.

Kerberos действует как надежная служба аутентификации третьей фирмы,

используя общие секретные ключи.. В Windows 2000 общий секретный ключ

генерируется при входе компьютера в домен. Поскольку обе стороны сеанса

Kerberos доверяют KDC, они доверяют друг другу. На практике это доверие

реализовано как безопасный обмен зашифрованными ключами, которые

подтверждают участникам взаимодействия идентификационные данные другой

стороны.

Аутентификация Kerberos работает следующим образом.

1. Клиент запрашивает возможный набор идентификационных данных для

данного сервера у KDC, отправляя запрос в простом текстовом формате,

содержащий имя клиента (идентификатор).

2. KDC ищет секретные ключи, как клиента, так и сервера в своей базе

данных (Active Directory) и создает билет (ticket), содержащий случайный

ключ сеанса, текущее время KDC, заданное политикой время окончания, и, в

зависимости от параметров, любую другую информацию, хранимую в базе данных.

В случае Windows 2000 в билете содержатся идентификаторы SID.

3. Билет зашифровывается с использованием секретного ключа клиента.

4. Создается второй билет, называемый билетом сеанса (session ticket),

содержащий ключ сеанса и необязательные данные аутентификации, которые

зашифровываются с использованием секретного ключа сервера.

5. Соединенные билеты передаются обратно клиенту. Серверу

аутентификации нет необходимости явным образом проверять подлинность

клиента, потому что только обладающий полномочиями клиент может

расшифровать билет.

6. После того как клиент получил в свое распоряжение допустимый билет

и ключ сеанса для сервера, он инициирует взаимодействие непосредственно с

сервером. Для этого клиент конструирует удостоверение (authenticator),

состоящее из текущего времени, имени клиента, по желанию — зависящую от

приложения контрольную сумму и случайным образом сгенерированный начальный

номер последовательности и/или подключ сеанса, используемые для извлечения

уникального идентификатора сеанса для требуемой службы. Удостоверения

действуют только для одной попытки и не могут применяться повторно или

использоваться в атаках воспроизведения, потому что они зависят от текущего

времени. Удостоверение шифруется при помощи ключа сеанса и передается

вместе с билетом сеанса серверу, у которого запрашивается служба.

7. Когда сервер получает билет от клиента, он расшифровывает билет

сеанса при помощи общего секретного ключа сервера (если существует более

одного ключа, нужный ключ указывается в части билета в простой текстовой

форме).

8. Затем сервер извлекает из билета ключ сеанса и использует его для

расшифровки удостоверения. Способность сервера расшифровать билет

подтверждает, что он был зашифрован при помощи секретного ключа сервера,

известного только KDC и самому серверу, таким образом, подлинность клиента

подтверждается. Удостоверение используется для гарантии того, что

взаимодействие недавнее и не является атакой на основе повторного запроса.

Билеты могут повторно использоваться в течение периода, определяемого

политикой безопасности домена, но не превышающего восьми часов. Клиенты

кэшируют свои билеты сеанса в безопасном месте, расположенном в оперативной

памяти, и уничтожают их по истечению срока действия.

Kerberos сокращает предоставление билетов, во время первого контакта с

клиентом предоставляя билет сеанса самому себе так же, как и запрашиваемому

серверу. КОС отвечает на этот первоначальный запрос — сначала предоставляя

билет сеанса для последующих запросов о билетах, называемый Ticket-Granting

Ticket (билет на предоставление билетов, TGT), и затем — билет сеанса для

запрашиваемого сервера. TGT устраняет потребность в дальнейшем проводимом

Active Directory поиске клиента, осуществляя предварительную аутентификацию

последующих запросов о билетах точно таким же способом, каким Kerberos

осуществляет аутентификацию всех остальных запросов. Как и любой билет

сеанса, билет TGT действителен до истечения срока действия, который зависит

от политики безопасности домена.

Kerberos технически делится на две службы: службу TGT (единственную

службу, которая действительно осуществляет аутентификацию в Active

Directory) и службу предоставления билетов, выдающую билеты сеансов по

получении допустимого TGT.

6.1.2. Доверительные отношения между доменами

Kerberos работает через границы домена (домены в терминологии Kerberos

называются сферами (realm), эти термины эквивалентны).

Имя домена, к которому принадлежит принципал безопасности, является

частью имени принципала безопасности. Членство в одном дереве Active

Directory автоматически создаст междоменные ключи Kerberos между

родительским доменоми его дочерними доменами.

Обмен междоменными ключами регистрирует контроллеры домена одного

домена в качестве принципалов безопасности в доверенном домене. Эта простая

концепция дает возможность любому принципалу безопасности в домене получить

билет сеанса в чужом КОС.

1. Когда принципал безопасности в одном домене хочет обратиться к

принципалу безопасности в соседнем домене (один из доменов родительский,

другой дочерний), он отправляет запрос о билете сеанса своему локальному

КОС.

2. КОС определяет, что сервер назначения не находится в локальном

домене, и отвечает клиенту, отправляя ему билет направления (referral

ticket), который является билетом сеанса, зашифрованный при помощи

междоменного ключа.

3. Клиент использует билет направления для запроса билета сеанса

непосредственно у чужого KDC.

4. Чужой KDC расшифровывает билет направления, потому что обладает

междоменным ключом, подтверждающим, что доверенный контроллер домена

доверяет клиенту (иначе он не предоставил бы ключ направления).

5. Чужой KDC предоставляет билет сеанса, допустимый для чужого сервера

назначения.

Для более удаленных доменов этот процесс просто повторяется. Для

доступа к принципалу безопасности в домене, расположенном на расстоянии

двух узлов в иерархии доменов Active Directory, клиент запрашивает билет

сеанса для сервера назначения в своем KDC, который в ответ пересылает ему

билет направления к следующему домену в пути. Затем клиент запрашивает

билет сеанса, используя только что полученный билет назначения. Этот сервер

просто ответит билетом назначения, допустимым для следующего сервера в

цепочке. Этот процесс будет продолжаться до тех пор, пока не будет

достигнут локальный домен для принципала безопасности назначения. В этот

момент ключ сеанса (технически — TGT и ключ сеанса) предоставляется

запрашивающему клиенту, который затем сможет пройти аутентификацию

непосредственно у принципала безопасности назначения.

Последняя важная концепция в аутентификации Kerberos — делегирование

аутентификации. Делегирование аутентификации (delegation of authentication)

— это механизм, посредством которого принципал безопасности дает

возможность другому принципалу безопасности, с которым у него установлен

сеанс, запрашивать аутентификацию от своего имени у третьего принципала

безопасности. Этот механизм важен в многозвенных приложениях, таких как web-

узел с поддержкой базы данных. При помощи делегирования аутентификации

клиент—web-браузер может пройти аутентификацию у web-cepвера и затем

предоставить web-серверу специальный билет TGT, который сервер сможет

использовать для запроса билетов сеансов от своего имени, web-сервер сможет

затем использовать передаваемые web-клиентом идентификационные данные для

аутентификации на сервере баз данных.

6.1.3. Групповые политики

Групповая политика (Group Policy) — это основной механизм Windows 2000

при управлении конфигурацией клиентских рабочих станций для контроля за

безопасностью и для администрирования. Политики (policy) — это, в общем

случае, просто наборы изменений в установках компьютера по умолчанию.

Политики обычно организуются так, чтобы отдельные политики содержали

изменения, реализующие конкретную цель — например, отключение или включение

шифрования файловой системы или контроль за программами, которые разрешено

запускать пользователю.

Групповые политики (Group Policies) применяются к элементам контейнера

Active Directory (таким, как домен или Organizational Unit

(Подразделение)). Группы безопасности могут быть использованы для

фильтрации групповых политик, но политики нельзя применять к группам

безопасности. Групповая политика Windows 2000 не является только механизмом

безопасности — ее основное предназначение состоит в управлении изменениями

и конфигурацией, — но она позволяет администраторам создавать

дополнительные системы безопасности, ограничивая свободу действий

пользователей. Групповые политики можно применять для управления следующими

элементами политик компьютера (computer policy):

. настройки реестра, связанные с конфигурацией и управлением

безопасности;

. установка программного обеспечения;

. сценарии, выполняющиеся при загрузке-завершении работы и входе-

выходе из системы;

. запуск служб;

. разрешения реестра;

. разрешения NTFS;

. политики открытого ключа;

. политики IPSec;

. настройки системы, сети и компонентов Windows.

Групповые политики можно применять для управления следующими

элементами политик пользователя (user policy):

. установка программного обеспечения;

. настройки Internet Explorer;

. сценарии входа-выхода в систему;

. настройки безопасности;

. Remote Installation Service (служба удаленной установки);

. перенаправление папок;

. компоненты Windows;

. настройки стартового меню, панели задач, рабочего стола и

Control Panel (Панель управления);

. сетевые настройки;

. настройки системы.

Объекты групповой политики (Group Policy Objects) по существу являются

настраиваемыми файлами реестра (и файлами поддержки, такими, как пакеты

.msi и сценарии), определяемыми настройками политики, которые загружаются и

применяются к входящим в домен клиентским компьютерам при начальной

загрузке компьютера (конфигурация компьютера) и при входе пользователя в

систему (конфигурация пользователя). Объекты групповой политики и все файлы

поддержки, требуемые для групповой политики, хранятся на контроллерах

домена в общей папке SysVol. К одному компьютеру могут применяться

несколько групповых политик, при этом каждая политика будет перезаписывать

настройки предыдущей политики в соответствии со сценарием «действует

последняя примененная» — если только определенная политика не

сконфигурирована так, чтобы ее нельзя было перезаписать.

Каждый объект групповой политики состоит из двух частей: конфигурации

компьютера и конфигурации пользователя. Можно сконфигурировать настройки и

пользователя, и компьютера в одном объекте групповой политики, а в окне

свойств политики можно отключить часть объекта, относящуюся к пользователю

или компьютеру.

Политики компьютера применяются во время начальной стадии работы

системы перед входом пользователя в систему (и во время периодических

восстановлений). Политики компьютера регулируют операционную систему,

приложения (включая Windows Explorer) и сценарии, выполняющиеся при

загрузке-завершении работы. В случае конфликта политики компьютера обычно

имеют преимущества над политиками пользователя.

Политики пользователя применяются после того, как пользователь вошел в

систему, но перед тем, как ему будет разрешено работать на компьютере, а

также во время цикла периодических обновлений. Политики пользователя

регулируют поведение операционной системы, настройки рабочего стола,

настройки приложений, перенаправление папок и пользовательские сценарии

входа-выхода в систему.

Групповые политики называются групповыми политиками потому, что они

применяются к группам пользователей, а именно к членам контейнеров Active

Directory, таких как домены или контейнеры OU. Групповые политики

иерархичны по своей природе: многие политики могут быть применены к одному

компьютеру или пользователю, они применяются в порядке иерархии. Кроме

того, последующие политики могут перекрыть настройки предыдущих политик.

Это означает, что отдельные элементы политики можно детализировать при

переходе от применяемых к большим группам, таким как домены, политик

широкого действия, к узконаправленным политикам, применяемым к меньшим

группам, таким как контейнеры OU.

Групповые политики конфигурируются на следующих уровнях в следующем

порядке.

Локальный компьютер. Групповая политика применяется первой, поэтому

она может быть перекрыта политикой домена. У каждого компьютера существует

одна применяемая к нему локальная групповая политика. Нелокальные групповые

политики загружаются из Active Directory в зависимости от месторасположения

пользователя и компьютера в Active Directory.

Офис. Эти групповые политики уникальны тем, что они управляются из

оснастки Active Directory Sites and Services (Сайты и службы). Политики

офисов применяются к офисам, поэтому их следует применять для вопросов,

связанных с физическим расположением пользователей и компьютеров, а не с

участием в безопасности домена.

Домен. Групповые политики применяются ко всем пользователям и

компьютерам в домене, и именно здесь следует реализовывать глобальные

политики организации.

Контейнер OU (Organizational Unit). Групповые политики применяются к

входящим в них пользователям и компьютерам. Групповые политики применяются

сверху вниз (родитель, затем потомок) иерархии OU.

Группа безопасности. Группы безопасности функционируют по-другому, чем

настоящие контейнеры доменов. В этом случае не определяются групповые

политики, применяемые к группе безопасности, а фильтруются (разрешаются или

запрещаются) применяемые к пользователю групповые политики на основе

вхождения пользователя в группы безопасности.

Страницы: 1, 2, 3, 4, 5, 6, 7