Операційна система MS Windows

DELETE для доступу до діалогового вікна Windows NT Security. З його

допомогою можна виконати наступні дії:

. Lock Workstation – дозволяє заблокувати комп’ютер без виходу з системи.

Всі програми при цьому продовжують працювати.

. Change Password – дозволяє користувачу змінити пароль свого облікового

запису.

. Logoff – здійснює вихід користувача з системи.

. Task Manager – містить список програм і процесів, які працюють в даний

момент. Його можна використовувати для переключення між програмами і для

завершення програм, що не реагують на події.

. Shut Down – закриває всі файли, зберігає всі дані операційної системи і

готує комп’ютер до виключення живлення.

. Cancel – закриває діалогове вікно Windows NT Security.

Адміністрування Windows NT передбачає виконання як спеціальних операцій

після встановлення системи, так і рутинних повсякденних дій. Функції

адміністрування можна розділити на п’ять категорій:

1. Адміністрування облікових записів користувачів і груп. Планування,

створення і ведення облікових записів і груп для забезпечення кожному

користувачу можливості реєстрації в мережі і доступу до необхідних

ресурсів.

2. Адміністрування захисту. Планування і реалізація стратегії безпеки для

захисту даних і загальних мережевих ресурсів, в тому числі папок, файлів

і принтерів.

3. Адміністрування принтерів. Настройка локальних і мережевих принтерів для

забезпечення користувачам доступу до ресурсів друку. Усунення проблем

друку.

4. Моніторинг подій і ресурсів мережі. Планування і реалізація стратегії

аудиту подій в мережі з метою виявлення порушень захисту. Управління

ресурсами і контроль їх використання.

5. Резервне копіювання і відновлення даних. Планування і виконання

регулярних операцій резервного копіювання для забезпечення швидкого

відновлення важливих даних.

Засоби адміністрування Windows NT Workstation використовуються тільки

для локального комп’ютера. Засоби адміністрування Windows NT Server

використовуються для всіх комп’ютерів домену.

Засоби адміністрування встановлюються на Windows NT при установці самої

операційної системи:

. Administrative Wizards. Інструментальні засоби Windows NT Server для

виконання адміністрування: створення облікових записів користувача,

створення і зміна облікових записів груп, установка прав доступу до папок

і файлів, настройка мережевих принтерів.

. User Manager for Domains. Диспетчер користувачів домену –

інструментальний засіб Windows NT Server, що дозволяє створювати,

знищувати і тимчасово відключати облікові записи користувачів домену.

Крім того, він дозволяє задавати стратегію захисту для груп і добавляти

до них облікові записи користувачів.

. User Manager. Диспетчер користувачів домену – інструментальний засіб

Windows NT Workstation, що дозволяє створювати, знищувати і тимчасово

відключати локальні облікові записи користувачів і груп.

. Server Manager. Диспетчер сервера - інструментальний засіб Windows NT

Server для відслідковування комп’ютерів і доменів та управління ними.

. Event Viewer. Засіб перегляду подій. Містить відомості про помилки,

попередження, а також інформацію про вдалі і невдалі спроби виконання

різних дій.

. Windows NT Diagnostics. Засоби діагностики, призначені для перегляду і

друку інформації про конфігурацію системи.

. Backup. Засоби архівування даних призначені для резервного копіювання

інформації на локальний носій на магнітній стрічці.

Операційна система Windows NT завжди володіла прекрасними і широко

застосовними на практиці можливостями захисту. Однократна реєстрація в

домені Windows NT надає користувачам доступ до ресурсів всієї корпоративної

мережі.

Повноцінний набір інструментів Windows NT Server полегшує

адміністраторам управління системою захисту і її підтримку. Наприклад,

адміністратор може контролювати коло користувачів, що мають права доступу

до мережевих ресурсів: файлам, каталогам, серверам, принтерам і додаткам.

Правами для кожного ресурсу можна управляти централізовано.

Облікові записи користувачів також справляються централізовано. За

допомогою простих графічних інструментів адміністратор задає приналежність

до груп, допустимий час роботи, термін дії і інші параметри облікового

запису. Адміністратор отримує можливість аудиту всіх подій, пов'язаних із

захистом доступу користувачів до файлів, каталогів, принтерів і інших

ресурсів. Система також здатна блокувати обліковий запис користувача, якщо

число невдалих спроб реєстрації перевищує зазделегідь визначене.

Адміністратори мають право встановлювати термін дії паролів, примушувати

користувачів до періодичної зміни паролів і вибору паролів, що утрудняють

несанкціонований доступ.

З точки зору користувача система захисту Windows NT Server повноцінна і

нескладна в звертанні. Проста процедура реєстрації забезпечує доступ до

відповідних ресурсів. Для користувача невидимі такі процеси, як шифрування

пароля на системному рівні. (Шифрування пароля потрібне, щоб виключити

передачу пароля у відкритому вигляді по мережі і перешкодити його виявленню

при несанкціонованому перегляді мережевих пакетів.) Користувач сам визначає

права доступу до тих ресурсів, якими володіє. Наприклад, щоб дозволити

спільне використання свого документа, він вказує, хто і як може з ним

працювати. Зрозуміло, доступ до ресурсів підприємства контролюється тільки

адміністраторами з відповідними повноваженнями.

Більш глибокий рівень безпеки — те, як Windows NT Server захищає дані,

що знаходяться в фізичній пам'яті комп'ютера. Доступ до них надається

тільки маючим на це право програмам. Так само, якщо дані більше не

містяться на диску, система запобігає несанкціонованому доступу до тієї

області диска, де вони містилися. При такій системі захисту ніяка програма

не «підгляне» у віртуальній пам'яті машини інформацію, з якою оперує в

даний момент інший додаток.

Однак інтрамережі швидко стають найбільш ефективним способом спільного

використання інформації бізнес-партнерами. Сьогодні доступ до закритої

ділової інформації керується створенням облікових записів для нових

зовнішніх членів ділової «сім'ї». Це допомагає встановлювати довірчі

відносини не тільки з співробітниками корпорації, але і з множиною

партнерів.

Віддалений доступ через відкриті мережі і зв'язок підприємств через

Інтернет стимулюють постійний і швидкий розвиток технологій безпеки. Як

приклад можна виділити сертифікати відкритих ключів і динамічні паролі. Але

архітектура безпеки Windows NT однозначно оцінюється як перевершуюча і ці,

і інші майбутні технології. Право на таке твердження дають нові можливості

і удосконалення, що з'явилися в Windows NT 5.0. Частина цих змін відображає

вимоги до захисту великих організацій, інша - дозволяє використати переваги

гнучкої архітектури безпеки Windows NT, об'єднаної з сертифікатами

відкритих ключів Інтернету.

Перерахуємо нові функції безпеки Windows NT.

• Інформація про доменні правила безпеки і облікова інформація

зберігаються в каталозі Active Directory. Служба каталогів Active Directory

забезпечує тиражування і доступність облікової інформації на багатьох

контроллерах домена, а також дозволяє видалене адміністрування.

• У Active Directory підтримується ієрархічний простір імен

користувачів, груп і облікових записів машин. Облікові записи можуть бути

згруповані по організаційних одиницях (що істотно відрізняється від плоскої

структури імен в попередніх версіях Windows NT).

• Адміністративні права на створення і управління групами облікових

записів користувачів можуть бути делеговані на рівень організаційних

одиниць. При цьому встановлюються диференційовані права доступу до окремих

властивостей призначених для користувача об'єктів. Наприклад, група

користувачів може змінювати параметри пароля, але не має доступу до іншої

облікової інформації.

• Тиражування Active Directory дозволяє змінювати облікову інформацію

на будь-якому контроллері домена, а не тільки на первинному. Численні копії

Active Directory, що зберігаються на інших (в попередніх версіях,

резервних) контроллерах домена, оновлюються і синхронізуються автоматично.

• Доменна модель змінена і використовує Active Directory для підтримки

багаторівневого дерева доменів. Управління довірчими відносинами між

доменами спрощене за рахунок транзитивності в межах всього дерева доменів.

• У систему безпеки включені нові механізми аутентификації, такі як

Kerberos v5 і TLS (Transport Layer Security), що базуються на стандартах

безпеки Інтернету,

• Протоколи захищених каналів (SSL 3.0/TLS) забезпечують підтримку

надійної аутентификація клієнта. Вона досягається шляхом зіставлення

мандатів користувачів в формі сертифікатів відкритих ключів з існуючими

обліковими записами Windows NT. Для управління обліковою інформацією і

контролю за доступом застосовуються одні і ті ж засоби адміністрування,

незалежно від того, чи використовується захист з відкритим ключем або із

загальним секретом.

• Додатково до реєстрації за допомогою введення пароля може

підтримуватися аутентификація з використанням смарт-карт. Останні

забезпечують шифрування і надійне зберігання закритих ключів і

сертифікатів, що особливо важливо для надійної аутентификація при вході в

домен з робочої станції.

• До складу нової версії входить Microsoft Certificate Server.

Цей сервер призначений для організацій і дозволяє видавати

співробітникам і партнерам сертифікати Х.509 версії 3. В CryptoAPI включені

інтерфейси і модулі управління сертифікатами відкритих ключів, включаючи

видані комерційним ВУС (Уповноваженим сертифікації), стороннім ВУС або

Microsoft Certificate Server. Системні адміністратори можуть вказувати,

сертифікати яких уповноважених є довіреними в системі і, таким чином,

контролювати аутентификація доступу до ресурсів.

• Зовнішні користувачі, що не мають облікових записів Windows NT,

можуть бути аутентифіковані за допомогою сертифікатів відкритих ключів і

співвіднесені з існуючим обліковим записом. Права доступу, призначені для

цього облікового запису, визначають права зовнішніх користувачів на доступ

до ресурсів.

• У розпорядженні користувачів засоби управління парами закритих

(відкритих) ключів і сертифікатами, що використовуються для доступу до

ресурсів Інтернету.

• Технологія шифрування вбудована в операційну систему і дозволяє

використати цифрові підписи для ідентифікації потоків.

У Windows NT 5.0 вбудований сервер сертифікатів Certificate Server,

який може видавати сертифікати в стандартних форматах (Х.509 версій 1 і 3),

а також додавати розширення по мірі потреби.

Протокол аутентификації Kerberos

Протокол аутентификації Kerberos визначає взаємодію між клієнтом і

мережевим сервісом аутентификації, відомим як KDC (Key Distribution

Center). У Windows NT KDC використовується як сервіс аутентификація на всіх

контроллерах домена. Домен Windows NT еквівалентний області Kerberos, але

до неї звертаються як до домену. Реалізація протоколу Kerberos в Windows NT

заснована на визначенні Kerberos в RFC1510, Клієнт Kerberos реалізований у

вигляді ПФБ (постачальника функцій безпеки) Windows NT, заснованому на

SSPI. Початкова аутентификація Kerberos інтегрована з процедурою WinLogon.

Сервер Kerberos (KDC) інтегрований з існуючими службами безпеки Windows NT,

що виконуються на контроллері домена. Для зберігання інформації про

користувачів і групи він використовує службу каталогів Active Directory.

Протокол Kerberos посилює існуючі функції безпеки Windows NT і додає

нові. Розглянемо останні детальніше.

• Підвищена швидкість аутентификації при встановленні початкового

з'єднання. Сервер додатків не повинен звертатися до контроллера домена для

аутентификація клієнта. Така конфігурація підвищує масштабованість серверів

додатків при обробці запитів на підключення від великого числа клієнтів.

• Делегування аутентификації в багатоярусній архітектурі клієнт-сервер.

При підключенні клієнта до сервера, останньому імперсонує (втілює) клієнта

в цій системі. Але якщо серверу для завершення транзакції треба виконати

мережеве підключення до іншого сервера, протокол Kerberos дозволяє

делегувати аутентификації першого сервера і підключитися до другого від

імені клієнта. При цьому другий сервер також виконує імперсонацію клієнта.

• Транзитивні довірчі відносини для міждоменної аутентификації.

Користувач може бути аутентифікований в будь-якому місці дерева доменів,

оскільки сервіси аутентификації (KDC) в кожному домені довіряють квиткам,

виданим іншими KDC в дереві. Транзитивне довір'я спрощує управління

доменами у великих мережах з декількома доменами.

Аутентификація NTLM

Перед тим, як розглянути процес аутентификації Kerberos, пригадаємо

механізм, діючий в попередніх версіях Windows NT.

Отже, після того, як користувач вводить своє ім'я і пароль, система

аутентифікує його шляхом передачі параметрів, заданих у ввідному

діалоговому вікні, менеджеру захисту облікових записів SAM (Security

Account Manager). SAM порівнює ім'я користувача і зашифрований пароль з

тими, що зберігаються в базі користувачів домена або, при локальній

реєстрації, робочій станції. Якщо ім'я і пароль співпадають, сервер

повідомляє робочу станцію про підтвердження доступу. Крім того, сервер

завантажує і таку інформацію про користувача, як привілей облікового

запису, положення домашнього каталога і т. п. Якщо для користувача

визначений сценарій реєстрації, цей сценарій також завантажується на робочу

станцію для виконання.

Якщо користувач має обліковий запис і привілеї доступу в систему, а

введений ним пароль вірний, підсистема захисту створює об'єкт маркер

доступу, що представляє користувача. Він порівняємо з ключем, що містить

«посвідчення особи» користувача. Маркер доступу зберігає таку інформацію,

як ідентифікатор захисту SID (Security ID), ім'я користувача і імена груп,

до яких він належить.

Маркер доступу або його копія асоціюються з будь-яким процесом, що

виконується користувачем (наприклад, відкриття або друк файла). Комбінація

процес-маркер називається суб'єктом. Суб'єкти оперують над об'єктами

Windows NT шляхом виклику системних сервісів. Коли суб'єкт здійснює доступ

до захищеного об'єкта, (наприклад, файлу або каталогу), вміст маркера

порівнюється з вмістом списку контролю доступу до об'єкта ACL (Access

Control List) шляхом стандартної перевірки. При цьому визначається, чи

можна надати суб'єкту право на виконання операції, що запитується. Ця ж

процедура може при необхідності згенерувати повідомлення аудиту, що

відображають результати спроб доступу.

Створений маркер передається процесу Win32 WinLogon. WinLogon наказує

підсистемі Win32 створити процес для користувача, і маркер доступу

приєднується до цього процесу. Після цього підсистема Win32 ініціює Windows

NT Explorer, і на екрані з'являється відповідне вікно.

Основи Kerberos

Kerberos є протоколом аутентификації з спільним секретом - і

користувачеві, і KDC відомий пароль (KDC зашифрований пароль). Протокол

Kerberos визначає серію обмінів між клієнтами, KDC і серверами для

отримання квитків Kerberos. Коли клієнт починає реєстрацію в Windows NT,

постачальник функцій безпеки Kerberos отримує початковий квиток Kerberos

TGT (Ticket grant ticket), заснований на зашифрованому представленні

пароля. Windows NT зберігає TGT в кеші квитків на робочій станції,

пов'язаній з контекстом реєстрації користувача. При спробі клієнтської

програми звернутися до мережевої служби перевіряється кеш квитків: чи є в

ньому вірний квиток для поточного сеансу роботи з сервером. Якщо такого

квитка немає, на KDC посилається запит з TGT для отримання сеансового

квитка, що дозволяє доступ до сервера.

Сеансовий квиток додається в кеш і може згодом бути використаний

повторно для доступу до того ж самому серверу протягом часу дії квитка. Час

дії квитка встановлюється доменними правилами і звичайно дорівнює восьми

годинам. Якщо час дії квитка закінчується у процесі сеансу, то постачальник

функцій безпеки Kerberos повертає відповідну помилку, що дозволяє клієнту і

серверу оновити квиток, створити новий сеансовий ключ і відновити

підключення.

Сеансовий квиток Kerberos пред'являється видаленій службі в

повідомленні про початок підключення. Частини сеансового квитка зашифровані

секретним ключем, що використовується спільно службою і KDC. Сервер може

швидко аутентифікувати клієнта, перевіривши його сеансовий квиток і не

звертаючись до сервісу аутентификації, оскільки на сервері в кеші

зберігається копія секретного ключа. З'єднання при цьому відбувається

набагато швидше, ніж при аутентификації NTLM, де сервер отримує мандати

користувача, а потім перевіряє їх, підключившись до контроллера домена.

Сеансові квитки Kerberos містять унікальний сеансовий ключ, створений

KDC для симетричного шифрування інформації про аутентификацію, а також

даних, що передається від клієнта до сервера. У моделі Kerberos KDC

використовується як інтерактивна довірена сторона, що генерує сеансовий

Страницы: 1, 2, 3, 4