-
Рассмотрим сначала некоторые общие понятия и термины, относящиеся к защите данных и методам шифрования, без которых невозможно описывать средства безопасности Windows 2000. | Характеристики безопасности | Аутентификация (проверка подлинности).
-
Криптография – это наука о защите данных. Алгоритмы криптографии с помощью математических методов комбинируют входной открытый текст и ключ шифрования, в результате чего получаются зашифрованные данные.
-
Наверное, наиболее ярким проявлением всех преимуществ шифрования с открытым ключом является технология цифровых или электронных подписей. Она основана на математическом преобразовании, комбинирующем данные с секретным ключом таким образом, что:
-
Шифрование с открытым ключом применяется для создания надежной службы распределенной аутентификации, гарантирующей, что данные пришли получателю от истинного корреспондента. | Соглашение о секретном ключе, достигаемое с помощью открытого ключа | Шифрование с открытым ключом позволяет двум сторонам, используя открытый ключ в незащищенной сети, договориться о секретном ключе.
-
При шифровании с открытым ключом жизненно важна абсолютно достоверная ассоциация открытого ключа и передавшей его стороны, поскольку в обратном случае возможна подмена открытого ключа и осуществление несанкционированного доступа к передаваемым зашифрованным данным.
-
Получив подписанное сообщение, следует решить: насколько можно доверять данной подписи? Действительно ли подпись была поставлена тем, кого она представляет? Математическую верность подписи можно проверить по получении подписанного сообщения. | Для этого применяется открытый ключ.
-
Операционная система Windows 2000 обладает развитыми средствами шифрования данных с открытым ключом, представляющими собой дальнейшее развитие служб шифрования информации Windows NT.
-
Kerberos представляет собой набор методов идентификации и проверки истинности партнеров по обмену информацией (рабочих станций, пользователей или серверов) в открытой (незащищенной) сети.
-
Протокол Kerberos может работать вне пределов одной компании. Клиент данной организации может быть аутентифицирован на сервере, находящемся в другой организации. Каждое предприятие, желающее применять в своей сети Kerberos, должно установить границы своего владения (realm;
-
Протокол Kerberos налагает несколько требований на рабочее окружение, в котором он может эффективно работать. | Kerberos не противодействует атакам типа "отказ в обслуживании". Особенности протокола Kerberos позволяют злоумышленнику заставить приложение не принимать, участие в процессе аутентификации.
-
Далее описаны протоколы взаимодействия клиента и сервера и используемые при этом типы сообщений. | Протокол службы аутентификации. | Протокол службы аутентификации предназначен для обмена информацией между клиентом и сервером аутентификации (AS) Kerberos.
-
Сервер Kerberos должен иметь доступ к базе данных Kerberos, где хранится информация об идентификаторах партнеров по обмену данными и секретные ключи аутентифицируемых партнеров. Реализация сервера Kerberos не предполагает обязательное расположение сервера и баз данных на одной машине.
-
Модель распределенной безопасности Windows 2000 основана на трех основных концепциях: | Каждая рабочая станция и сервер имеют прямой доверенный путь (trust path) к контроллеру домена, членом которого является данная машина.
-
В Windows 2000 аутентификация Kerberos реализована на уровне доменов, что позволяет выполнять одну регистрацию в системе при доступе ко всем ресурсам сети и поддерживать модель распределенной безопасности Windows 2000.
-
Имперсонализация Windows 2000 требует, чтобы локальный администратор безопасности (LSA) сервера мог безопасно получать SID пользователя и список идентификаторов безопасности членов групп. Идентификаторы безопасности генерируются системой безопасности домена и используются в LSA при создании маркеров доступа для имперсонализации.
-
Аутентификация Kerberos используется многими службами домена Windows 2000. SSPI применяется для аутентификации в большинстве системных служб, поэтому их перевод с аутентификации NTLM на Kerberos требует минимальных усилий.
-
Часто возникает вопрос: как Windows 2000 будет работать с существующими серверами Kerberos, функционирующими в ОС UNIX? Windows 2000 взаимодействует с КОС, работающими на MIT Kerberos, двумя способами: | Компьютер с Windows 2000 может быть настроен на применение UNIX КОС.
-
На персональном компьютере операционную систему можно загрузить не с жесткого, а с гибкого диска. Это позволяет обойти проблемы, связанные с отказом жесткого диска и разрушением загрузочных разделов.
-
EFS содержит следующие компоненты операционной системы Windows 2000 (рис. 26.3). | Драйвер EFS. | Драйвер EFS является надстройкой над файловой системой NTFS. Он обменивается данными со службой EFS – запрашивает ключи шифрования, наборы DDF (Data Decryption Field) и DRF (Data Recovery Field), – а также с другими службами управления ключами.
-
EFS основана на шифровании с открытым ключом и использует все возможности архитектуры CryptoAPI в Windows 2000. Каждый файл шифруется с помощью случайно сгенерированного ключа, зависящего от пары открытого (public) и личного, закрытого (private) ключей пользователя.
-
Шифрование данных производится в следующем порядке: | Незашифрованный файл пользователя шифруется с помощью сгенерированного случайным образом ключа шифрования файла, РЕК. | РЕК шифруется с помощью открытой части пары ключей пользователя и помещается в поле дешифрования данных, DDF.
-
EPS тесно взаимодействует с NTFS 5.0. Временные файлы, создаваемые приложениями, наследуют атрибуты оригинальных файлов (если файлы находятся в разделе NTFS). Вместе с файлом шифруются также и его временные копии.
-
Пользователи могут запрашивать, экспортировать, импортировать сертификаты, служащие в EFS для идентификации пользователей, а также управлять ими. Эта возможность предназначена для опытных пользователей, которые хотят иметь средство управления собственными сертификатами.
-
Эта утилита командной строки позволяет шифровать и дешифровать файлы. Ниже приведен ее синтаксис, описание ключей дано в табл. 26.1. | cipher [/Е | D] [t/S:каталог] [/A] [/I] [/F] [/Q] [/Н] [/К] [путь […]] | Таблица 26.1. Ключи утилиты cipher. | Ключ | Описание | /Е
-
Поскольку шифрование и дешифрование выполняется автоматически, пользователь может работать с файлом так же, как и до установки его криптозащиты. Например, можно так же открыть текстовый процессор Word, загрузить документ и отредактировать его, как и прежде.
-
Операции копирования, перемещения, переименования и уничтожения зашифрованных файлов и папок выполняются точно так же, как и с незашифрованными объектами. | Однако следует помнить, что пункт назначения зашифрованной информации должен поддерживать шифрование (должен иметь файловую систему NTFS 5.0).
-
Часто возникает необходимость восстановить зашифрованную информацию не на том компьютере, на котором она была заархивирована. Это можно выполнить с помощью утилиты архивации. Однако необходимо позаботиться о переносе на новый компьютер соответствующего сертификата и личного ключа пользователя с помощью перемещаемого профиля либо вручную.
-
EFS располагает встроенными средствами восстановления зашифрованных данных в условиях, когда неизвестен личный ключ пользователя. Необходимость подобной операции может возникнуть в следующих случаях: | Пользователь был уволен из компании и ушел, не сообщив свой пароль.
-
Средства безопасности протокола IP позволяют управлять защитой всего IP-трафика от источника информации до ее получателя. Возможности Управления безопасностью IP (IP Security Management) в системе Windows 2000 позволяют назначать и применять политику безопасности IP, которая гарантирует защищенный обмен информацией для всей сети.
-
Сетевые атаки могут привести к неработоспособности системы, считыванию конфиденциальных данных и другим дорогостоящим нарушениям. Для защиты информации требуются методы "сильного" шифрования и сертификации, основанные на криптографических алгоритмах.
-
Для защиты данных применяются математические алгоритмы шифрования. Безопасность IP в Windows 2000 использует следующие стандартные криптографические алгоритмы: | Методика Diffie-Hellman (D-H).
-
Для обеспечения безопасности данных в криптографии совместно с алгоритмами используются ключи. Ключ – это некоторое значение, применяемое для шифрования или дешифрования информации. Для шифрования в системах безопасности могут использоваться как закрытые, так и открытые ключи.
-
Механизм безопасности IP в Windows 2000 разработан для защиты любого сквозного соединения между двумя компьютерами (рис. 26.7). При сквозном соединении два осуществляющих связь компьютера (системы) поддерживают IP-безопасность на каждом конце соединения.
-
Перед тем как реализовать безопасность IP в Windows 2000, полезно разработать и задокументировать план безопасности, охватывающий всю корпоративную сеть. Необходимо: | Оценить тип данных, посылаемых по сети.
-
Управление безопасностью IP в Windows 2000 позволяет администраторам создавать настраиваемую политику безопасности с уникальной политикой переговоров и IP-фильтрами. Не требуются никакие изменения приклад ных программ.
-
Если сетевое взаимодействие с использованием безопасности IP не функционирует должным образом или невозможно создавать и конфигурировать политики: | Убедитесь, что агент политики (Policy Agent) запущен на компьютере.
-
Сертификаты с открытым ключом (public key certificate) представляют собой средство идентификации пользователей в незащищенных сетях (таких как Интернет), а также предоставляют информацию, необходимую для проведения защищенных частных коммуникаций.
-
Аутентификация является необходимым условием обеспечения секретности обмена данными. Пользователи должны иметь возможность подтвердить свою подлинность и проверить идентификацию других Пользователей, с которым они общаются. Цифровой сертификат является распространенным средством идентификации.
-
Центр сертификации (также встречается термин поставщик сертификатов) (Certification Authority, CA) представляет собой службу, которой доверен выпуск сертификатов, если индивидуальный пользователь или организация, которые запрашивают сертификат, удовлетворяют условиям установленной политики.
-
При работе в Интернете браузер Internet Explorer использует два типа сертификатов: персональный сертификат (personal certificate) и сертификат веб-узла (Web site certificate). Персональный сертификат удостоверяет личность пользователя.
-
Windows 2000 сохраняет сертификаты локально на том компьютере, с которого запрашивался сертификат для данного компьютера или для пользователя, работающего за данным компьютером. Место хранения сертификатов называется хранилищем сертификатов (certificate store).
-
Если ваш администратор создал политику открытого ключа для автоматизации запросов на получение сертификатов, то вам, возможно, никогда не придется запрашивать сертификаты самостоятельно, если только вы не работаете со смарт-картами. Пользователи смарт-карт должны запрашивать свои сертификаты.
-
С помощью оснастки Сертификаты можно просматривать информацию о выпущенных сертификатах. Для этого дважды щелкните на названии сертификата. | Откроется диалоговое окно Сертификат (Certificate) с тремя вкладками: Общие (General), Состав (Details) и Путь сертификации (Certification Path).
-
При импорте или экспорте сертификатов сертификат копируется в хранилище или из хранилища. Импорт или экспорт сертификата проводится при выполнении следующих задач: | Инсталляция сертификата, полученного вами от другого пользователя (импорт).
-
Каждый выпущенный сертификат имеет определенный срок действия, по истечении которого сертификат становится недействительным. В общем случае вы можете обновить сертификат с истекшим сроком действия. | Если ваш администратор создал политику открытых ключей для автоматических запросов на получение сертификатов, то сертификаты будут обновляться автоматически.
-
Центр сертификации (ЦС, СА) – важный элемент в системе безопасности организации, поэтому в большинстве организаций имеется собственный ЦС. | В системе Windows 2000 есть два модуля политик, которые обеспечивают следующие два класса ЦС: ЦС предприятия (Enterprise СА) и изолированный ЦС (Stand-alone СА). Внутри каждого класса могут быть два типа ЦС: корневой (root) и подчиненный (subordinate).
-
После инсталляции центра сертификации выберите команду Пуск › Программы › Администрирование › Центр сертификации (Start › Programs › Administrative Tools › Certification Authority). | Откроется окно оснастки (рис.