ВУЗ:
Составители:
нистраторы вправе устанавливать срок действия паролей, принуждать пользователей к периодической смене паролей и вы-
бору паролей, затрудняющих несанкционированный доступ.
С точки зрения пользователя система защиты Windows NT Server полноценна и несложна в обращении. Простая проце-
дура регистрации обеспечивает доступ к соответствующим ресурсам. Для пользователя невидимы такие процессы, как шиф-
рование пароля на системном уровне. Пользователь сам определяет права доступа к тем ресурсам, которыми владеет. На-
пример, чтобы разрешить совместное использование своего документа, он указывает, кто и как может с ним работать. Разу-
меется, доступ к ресурсам предприятия контролируется только администраторами с соответствующими полномочиями.
Более глубокий уровень безопасности – то, как Windows NT Server защищает данные, находящиеся в физической памя-
ти компьютера. Доступ к ним предоставляется только имеющим на это право программам. Если данные больше не содер-
жатся на диске, система предотвращает несанкционированный доступ к той области диска, где они содержались. При такой
системе защиты никакая программа не "подсмотрит" в виртуальной памяти машины информацию, с которой оперирует в
данный момент другое приложение.
Удаленный доступ через открытые сети и связь предприятий через Интернет стимулируют постоянное и быстрое разви-
тие технологий безопасности. В качестве примера можно выделить сертификаты открытых ключей и динамические пароли.
Архитектура безопасности Windows NT однозначно оценивается как превосходящая и эти, и многие будущие технологии. Пе-
речислим функции безопасности Windows NT:
1.
Информация о доменных правилах безопасности и учетная информация хранятся в каталоге Active Directory (служба
каталогов Active Directory обеспечивает тиражирование и доступность учетной информации на многих контроллерах доме-
на, а также позволяет удаленное администрирование).
2.
В Active Directory поддерживается иерархичное пространство имен пользователей, групп и учетных записей машин
(учетные записи могут быть сгруппированы по организационным единицам).
3.
Административные права на создание и управление группами учетных записей пользователей могут быть делегиро-
ваны на уровень организационных единиц (возможно установление дифференцированных прав доступа к отдельным свойст-
вам пользовательских объектов).
4.
Тиражирование Active Directory позволяет изменять учетную информацию на любом контроллере домена, а не толь-
ко на первичном (копии Active Directory, хранящиеся на других контроллерах домена, обновляются и синхронизируются
автоматически).
5.
Доменная модель изменена и использует Active Directory для поддержки многоуровневого дерева доменов (управле-
ние доверительными отношениями между доменами упрощено в пределах всего дерева доменов).
6.
В систему безопасности включены новые механизмы аутентификации, такие как Kerberos v5 и TLS (Transport Layer
Security), базирующиеся на стандартах безопасности Интернета.
7.
Протоколы защищенных каналов (SSL 3.0/TLS) обеспечивают поддержку надежной аутентификации клиента (осу-
ществляется сопоставление мандатов пользователей в форме сертификатов открытых ключей с существующими учетными
записями Windows NT).
8.
Дополнительно к регистрации посредством ввода пароля может поддерживаться аутентификация с использованием
смарт-карт.
В состав Windows NT входит Microsoft Certificate Server, позволяющий выдавать сотрудникам и партнерам сертификаты
Х.509 версии 3. Системные администраторы могут указывать, сертификаты каких уполномоченных являются доверяемыми в
системе и, таким образом, контролировать аутентификацию доступа к ресурсам.
Внешние пользователи, не имеющие учетных записей Windows NT, могут быть аутентифицированы с помощью серти-
фикатов открытых ключей и соотнесены с существующей учетной записью. Права доступа, назначенные для этой учетной
записи, определяют права внешних пользователей на доступ к ресурсам.
В распоряжении пользователей находятся простые средства управления парами закрытых (открытых) ключей и серти-
фикатами, используемые для доступа к ресурсам системы.
Технология шифрования встроена в операционную систему и позволяет использовать цифровые подписи для иденти-
фикации потоков.
9.3.1. СЕРВЕР АУТЕНТИФИКАЦИИ KERBEROS
Kerberos – это программный продукт, разработанный в середине 1980-х гг. в Массачусетском технологическом инсти-
туте и претерпевший с тех пор ряд принципиальных изменений. Клиентские компоненты Kerberos присутствуют в большин-
стве современных операционных систем.
Kerberos предназначен для решения следующей задачи. Имеется открытая (незащищенная) сеть, в узлах которой сосре-
доточены
субъекты – пользователи, а также клиентские и серверные программные системы. Каждый субъект обладает сек-
ретным ключом. Чтобы субъект C мог доказать свою подлинность субъекту S (без этого S не станет обслуживать C), он дол-
жен не только назвать себя, но и продемонстрировать знание секретного ключа. C не может просто послать S свой секрет-
ный ключ, во-первых, потому, что сеть открыта (доступна для пассивного и активного прослушивания), а, во-вторых, пото-
му, что S не знает (и не должен знать) секретный ключ C. Требуется менее прямолинейный способ демонстрации знания
секретного ключа.
Система Kerberos представляет собой
доверенную третью сторону (т.е. сторону, которой доверяют все), владеющую
секретными ключами обслуживаемых субъектов и помогающую им в попарной проверке подлинности.
Чтобы с помощью Kerberos получить доступ к S (обычно это сервер), C (как правило – клиент) посылает Kerberos за-
прос, содержащий сведения о нем (клиенте) и о запрашиваемой услуге. В ответ Kerberos возвращает так называемый
билет,
зашифрованный секретным ключом сервера, и копию части информации из билета, зашифрованную секретным ключом кли-
ента. Клиент должен расшифровать вторую порцию данных и переслать ее вместе с билетом серверу. Сервер, расшифровав
билет, может сравнить его содержимое с дополнительной информацией, присланной клиентом. Совпадение свидетельствует
Страницы
- « первая
- ‹ предыдущая
- …
- 89
- 90
- 91
- 92
- 93
- …
- следующая ›
- последняя »
