Иллюстрированный самоучитель по Microsoft Windows 2000

Средства безопасности Windows 2000

  • Общие понятия и терминология. Характеристики безопасности.

    Рассмотрим сначала некоторые общие понятия и термины, относящиеся к защите данных и методам шифрования, без которых невозможно описывать средства безопасности Windows 2000. | Характеристики безопасности | Аутентификация (проверка подлинности).
  • Шифрование с открытым ключом

    Криптография – это наука о защите данных. Алгоритмы криптографии с помощью математических методов комбинируют входной открытый текст и ключ шифрования, в результате чего получаются зашифрованные данные.
  • Цифровые (электронные) подписи

    Наверное, наиболее ярким проявлением всех преимуществ шифрования с открытым ключом является технология цифровых или электронных подписей. Она основана на математическом преобразовании, комбинирующем данные с секретным ключом таким образом, что:
  • Распределенная аутентификация. Соглашение о секретном ключе, достигаемое с помощью открытого ключа. Шифрование больших объемов данных.

    Шифрование с открытым ключом применяется для создания надежной службы распределенной аутентификации, гарантирующей, что данные пришли получателю от истинного корреспондента. | Соглашение о секретном ключе, достигаемое с помощью открытого ключа | Шифрование с открытым ключом позволяет двум сторонам, используя открытый ключ в незащищенной сети, договориться о секретном ключе.
  • Обеспечение истинности открытых ключей. Что такое сертификат. Центр сертификации.

    При шифровании с открытым ключом жизненно важна абсолютно достоверная ассоциация открытого ключа и передавшей его стороны, поскольку в обратном случае возможна подмена открытого ключа и осуществление несанкционированного доступа к передаваемым зашифрованным данным.
  • Доверие и проверка

    Получив подписанное сообщение, следует решить: насколько можно доверять данной подписи? Действительно ли подпись была поставлена тем, кого она представляет? Математическую верность подписи можно проверить по получении подписанного сообщения. | Для этого применяется открытый ключ.
  • Применение алгоритмов шифрования с открытым ключом. Компоненты Windows 2000, обеспечивающие шифрование. Политики безопасности.

    Операционная система Windows 2000 обладает развитыми средствами шифрования данных с открытым ключом, представляющими собой дальнейшее развитие служб шифрования информации Windows NT.
  • Протокол аутентификации Kerberos. Основы протокола Kerberos.

    Kerberos представляет собой набор методов идентификации и проверки истинности партнеров по обмену информацией (рабочих станций, пользователей или серверов) в открытой (незащищенной) сети.
  • Взаимодействие с удаленными владениями

    Протокол Kerberos может работать вне пределов одной компании. Клиент данной организации может быть аутентифицирован на сервере, находящемся в другой организации. Каждое предприятие, желающее применять в своей сети Kerberos, должно установить границы своего владения (realm;
  • Требования к рабочему окружению. Флаги, используемые в запросах.

    Протокол Kerberos налагает несколько требований на рабочее окружение, в котором он может эффективно работать. | Kerberos не противодействует атакам типа "отказ в обслуживании". Особенности протокола Kerberos позволяют злоумышленнику заставить приложение не принимать, участие в процессе аутентификации.
  • Протоколы обмена сообщениями

    Далее описаны протоколы взаимодействия клиента и сервера и используемые при этом типы сообщений. | Протокол службы аутентификации. | Протокол службы аутентификации предназначен для обмена информацией между клиентом и сервером аутентификации (AS) Kerberos.
  • База данных Kerberos. Аутентификация Kerberos в доменах Windows 2000.

    Сервер Kerberos должен иметь доступ к базе данных Kerberos, где хранится информация об идентификаторах партнеров по обмену данными и секретные ключи аутентифицируемых партнеров. Реализация сервера Kerberos не предполагает обязательное расположение сервера и баз данных на одной машине.
  • Модель распределенной безопасности Windows 2000

    Модель распределенной безопасности Windows 2000 основана на трех основных концепциях: | Каждая рабочая станция и сервер имеют прямой доверенный путь (trust path) к контроллеру домена, членом которого является данная машина.
  • Интегрированная аутентификация Kerberos

    В Windows 2000 аутентификация Kerberos реализована на уровне доменов, что позволяет выполнять одну регистрацию в системе при доступе ко всем ресурсам сети и поддерживать модель распределенной безопасности Windows 2000.
  • Протокол Kerberos и авторизация Windows 2000

    Имперсонализация Windows 2000 требует, чтобы локальный администратор безопасности (LSA) сервера мог безопасно получать SID пользователя и список идентификаторов безопасности членов групп. Идентификаторы безопасности генерируются системой безопасности домена и используются в LSA при создании маркеров доступа для имперсонализации.
  • Применение Kerberos в сетях Windows 2000. Совместная работа средств обеспечения безопасности сети.

    Аутентификация Kerberos используется многими службами домена Windows 2000. SSPI применяется для аутентификации в большинстве системных служб, поэтому их перевод с аутентификации NTLM на Kerberos требует минимальных усилий.
  • Взаимодействие Windows 2000 КDС и UNIX

    Часто возникает вопрос: как Windows 2000 будет работать с существующими серверами Kerberos, функционирующими в ОС UNIX? Windows 2000 взаимодействует с КОС, работающими на MIT Kerberos, двумя способами: | Компьютер с Windows 2000 может быть настроен на применение UNIX КОС.
  • Шифрующая файловая система EPS

    На персональном компьютере операционную систему можно загрузить не с жесткого, а с гибкого диска. Это позволяет обойти проблемы, связанные с отказом жесткого диска и разрушением загрузочных разделов.
  • Архитектура EFS

    EFS содержит следующие компоненты операционной системы Windows 2000 (рис. 26.3). | Драйвер EFS. | Драйвер EFS является надстройкой над файловой системой NTFS. Он обменивается данными со службой EFS – запрашивает ключи шифрования, наборы DDF (Data Decryption Field) и DRF (Data Recovery Field), – а также с другими службами управления ключами.
  • Технологии шифрования EFS. Принципы шифрования.

    EFS основана на шифровании с открытым ключом и использует все возможности архитектуры CryptoAPI в Windows 2000. Каждый файл шифруется с помощью случайно сгенерированного ключа, зависящего от пары открытого (public) и личного, закрытого (private) ключей пользователя.
  • Операция шифрования. Операция дешифрования. Процесс восстановления файла после утраты секретной части ключа.

    Шифрование данных производится в следующем порядке: | Незашифрованный файл пользователя шифруется с помощью сгенерированного случайным образом ключа шифрования файла, РЕК. | РЕК шифруется с помощью открытой части пары ключей пользователя и помещается в поле дешифрования данных, DDF.
  • Место EFS в Windows 2000

    EPS тесно взаимодействует с NTFS 5.0. Временные файлы, создаваемые приложениями, наследуют атрибуты оригинальных файлов (если файлы находятся в разделе NTFS). Вместе с файлом шифруются также и его временные копии.
  • Работа с EFS. Управление сертификатами пользователей.

    Пользователи могут запрашивать, экспортировать, импортировать сертификаты, служащие в EFS для идентификации пользователей, а также управлять ими. Эта возможность предназначена для опытных пользователей, которые хотят иметь средство управления собственными сертификатами.
  • Утилита cipher

    Эта утилита командной строки позволяет шифровать и дешифровать файлы. Ниже приведен ее синтаксис, описание ключей дано в табл. 26.1. | cipher [/Е | D] [t/S:каталог] [/A] [/I] [/F] [/Q] [/Н] [/К] [путь […]] | Таблица 26.1. Ключи утилиты cipher. | Ключ | Описание | /Е
  • Шифрование файлов и каталогов. Дешифрование файлов и каталогов.

    Поскольку шифрование и дешифрование выполняется автоматически, пользователь может работать с файлом так же, как и до установки его криптозащиты. Например, можно так же открыть текстовый процессор Word, загрузить документ и отредактировать его, как и прежде.
  • Копирование, перемещение, переименование и уничтожение зашифрованных файлов и папок. Архивация зашифрованных файлов.

    Операции копирования, перемещения, переименования и уничтожения зашифрованных файлов и папок выполняются точно так же, как и с незашифрованными объектами. | Однако следует помнить, что пункт назначения зашифрованной информации должен поддерживать шифрование (должен иметь файловую систему NTFS 5.0).
  • Восстановление зашифрованных файлов на другом компьютере

    Часто возникает необходимость восстановить зашифрованную информацию не на том компьютере, на котором она была заархивирована. Это можно выполнить с помощью утилиты архивации. Однако необходимо позаботиться о переносе на новый компьютер соответствующего сертификата и личного ключа пользователя с помощью перемещаемого профиля либо вручную.
  • Восстановление данных, зашифрованных с помощью неизвестного личного ключа

    EFS располагает встроенными средствами восстановления зашифрованных данных в условиях, когда неизвестен личный ключ пользователя. Необходимость подобной операции может возникнуть в следующих случаях: | Пользователь был уволен из компании и ушел, не сообщив свой пароль.
  • Безопасность IP

    Средства безопасности протокола IP позволяют управлять защитой всего IP-трафика от источника информации до ее получателя. Возможности Управления безопасностью IP (IP Security Management) в системе Windows 2000 позволяют назначать и применять политику безопасности IP, которая гарантирует защищенный обмен информацией для всей сети.
  • Достоинства безопасности IP

    Сетевые атаки могут привести к неработоспособности системы, считыванию конфиденциальных данных и другим дорогостоящим нарушениям. Для защиты информации требуются методы "сильного" шифрования и сертификации, основанные на криптографических алгоритмах.
  • Базовые механизмы и концепции. Алгоритмы шифрования.

    Для защиты данных применяются математические алгоритмы шифрования. Безопасность IP в Windows 2000 использует следующие стандартные криптографические алгоритмы: | Методика Diffie-Hellman (D-H).
  • Ключи. Протоколы безопасности.

    Для обеспечения безопасности данных в криптографии совместно с алгоритмами используются ключи. Ключ – это некоторое значение, применяемое для шифрования или дешифрования информации. Для шифрования в системах безопасности могут использоваться как закрытые, так и открытые ключи.
  • Архитектура безопасности IP

    Механизм безопасности IP в Windows 2000 разработан для защиты любого сквозного соединения между двумя компьютерами (рис. 26.7). При сквозном соединении два осуществляющих связь компьютера (системы) поддерживают IP-безопасность на каждом конце соединения.
  • Разработка плана безопасности

    Перед тем как реализовать безопасность IP в Windows 2000, полезно разработать и задокументировать план безопасности, охватывающий всю корпоративную сеть. Необходимо: | Оценить тип данных, посылаемых по сети.
  • Администрирование безопасности IP

    Управление безопасностью IP в Windows 2000 позволяет администраторам создавать настраиваемую политику безопасности с уникальной политикой переговоров и IP-фильтрами. Не требуются никакие изменения приклад ных программ.
  • Поиск неисправностей. Взаимодействие безопасности IP с различными программными продуктами.

    Если сетевое взаимодействие с использованием безопасности IP не функционирует должным образом или невозможно создавать и конфигурировать политики: | Убедитесь, что агент политики (Policy Agent) запущен на компьютере.
  • Сертификаты. Использование сертификатов для обеспечения безопасности.

    Сертификаты с открытым ключом (public key certificate) представляют собой средство идентификации пользователей в незащищенных сетях (таких как Интернет), а также предоставляют информацию, необходимую для проведения защищенных частных коммуникаций.
  • Аутентификация. Конфиденциальность.

    Аутентификация является необходимым условием обеспечения секретности обмена данными. Пользователи должны иметь возможность подтвердить свою подлинность и проверить идентификацию других Пользователей, с которым они общаются. Цифровой сертификат является распространенным средством идентификации.
  • Центры сертификации

    Центр сертификации (также встречается термин поставщик сертификатов) (Certification Authority, CA) представляет собой службу, которой доверен выпуск сертификатов, если индивидуальный пользователь или организация, которые запрашивают сертификат, удовлетворяют условиям установленной политики.
  • Использование сертификатов в Интернете

    При работе в Интернете браузер Internet Explorer использует два типа сертификатов: персональный сертификат (personal certificate) и сертификат веб-узла (Web site certificate). Персональный сертификат удостоверяет личность пользователя.
  • Хранилища сертификатов

    Windows 2000 сохраняет сертификаты локально на том компьютере, с которого запрашивался сертификат для данного компьютера или для пользователя, работающего за данным компьютером. Место хранения сертификатов называется хранилищем сертификатов (certificate store).
  • Запрос сертификата

    Если ваш администратор создал политику открытого ключа для автоматизации запросов на получение сертификатов, то вам, возможно, никогда не придется запрашивать сертификаты самостоятельно, если только вы не работаете со смарт-картами. Пользователи смарт-карт должны запрашивать свои сертификаты.
  • Просмотр сертификатов

    С помощью оснастки Сертификаты можно просматривать информацию о выпущенных сертификатах. Для этого дважды щелкните на названии сертификата. | Откроется диалоговое окно Сертификат (Certificate) с тремя вкладками: Общие (General), Состав (Details) и Путь сертификации (Certification Path).
  • Импорт и экспорт сертификатов

    При импорте или экспорте сертификатов сертификат копируется в хранилище или из хранилища. Импорт или экспорт сертификата проводится при выполнении следующих задач: | Инсталляция сертификата, полученного вами от другого пользователя (импорт).
  • Обновление сертификатов

    Каждый выпущенный сертификат имеет определенный срок действия, по истечении которого сертификат становится недействительным. В общем случае вы можете обновить сертификат с истекшим сроком действия. | Если ваш администратор создал политику открытых ключей для автоматических запросов на получение сертификатов, то сертификаты будут обновляться автоматически.
  • Установка центра сертификации

    Центр сертификации (ЦС, СА) – важный элемент в системе безопасности организации, поэтому в большинстве организаций имеется собственный ЦС. | В системе Windows 2000 есть два модуля политик, которые обеспечивают следующие два класса ЦС: ЦС предприятия (Enterprise СА) и изолированный ЦС (Stand-alone СА). Внутри каждого класса могут быть два типа ЦС: корневой (root) и подчиненный (subordinate).
  • Запуск оснастки Центр сертификации (Certification Authority)

    После инсталляции центра сертификации выберите команду Пуск › Программы › Администрирование › Центр сертификации (Start › Programs › Administrative Tools › Certification Authority). | Откроется окно оснастки (рис.
Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.