Введение
Службы распределенной безопасности операционной системы Windows 2000 Server позволяют организациям идентифицировать пользователей в сети и контролировать их доступ к ресурсам. В модели системы безопасности Windows 2000 используются аутентификация на доверенном контроллере домена, делегирование доверия между службами и контроль доступа на основе объектов. К основным особенностям этой модели относятся интеграция со службой каталогов Active Directory™, поддержка пятой версии протокола аутентификации Kerberos, используемого для проверки подлинности пользователей, аутентификация внешних пользователей по сертификатам открытых ключей, шифрованная файловая система (Encrypting File System, EFS), позволяющая защищать локальные данные, и поддержка IPSec, обеспечивающего безопасность соединений в открытых сетях. Кроме этого, предусмотрена возможность использования элементов системы безопасности Windows 2000 при разработке приложений, а организации могут совмещать работу системы безопасности Windows 2000 с другими операционными системами, использующими способы защиты на основе протокола Kerberos.
Операционная система Microsoft® Windows® 2000 Server помогает организациям не только расширить свои возможности с помощью новых сетевых технологий, но и защитить информацию и сетевые ресурсы, используя усовершенствованные службы безопасности.
Службы распределенной безопасности Windows 2000 ориентированы на соответствие таким ключевым для бизнеса требованиям, как:
- Предоставление пользователям доступа ко всем ресурсам компании после выполнения единственной процедуры входа в систему.
- Надежность методов аутентификации и авторизации пользователей.
- Безопасность соединений между внутренними и внешними ресурсами.
- Возможность применения необходимых политик безопасности и управления ими.
- Автоматизированный аудит безопасности.
- Способность к взаимодействию с другими операционными системами и протоколами безопасности.
- Расширяемая архитектура, что позволяет разрабатывать приложения, использующие возможности системы безопасности Windows 2000.
Перечисленные особенности являются важными элементами системы безопасности Windows 2000. В основе этой системы лежит простая модель аутентификации и авторизации. Аутентификация позволяет идентифицировать пользователя при входе в систему и установлении сетевых соединений со службами. Идентифицированный пользователь получает авторизацию для доступа к определенным сетевым ресурсам в зависимости от заданных разрешений. В процессе авторизации используется механизм управления доступом, проверяющий записи в каталоге Active Directory™, а также списки управления доступом (access control lists, ACL), в которых определяются разрешения на доступ к объектам, таким как локальные и общие принтеры и файлы.
Действие этой модели системы безопасности упрощает авторизованным пользователям работу в расширенной сети, обеспечивая при этом надежную защиту от атак. Модель обеспечения распределенной безопасности Windows 2000 основывается на аутентификации доверенным контроллером домена, делегировании доверия между службами и контроле доступа на основе объектов.
Для каждого клиента в домене во время выполнения защищенной аутентификации на контроллере этого домена устанавливается прямой путь доверия. При этом клиенту не предоставляется непосредственный доступ к сетевым ресурсам; вместо этого сетевые службы создают маркер доступа клиента и действуют от его имени, используя его учетные данные при выполнении запрашиваемых операций. Кроме того, ядро операционной системы Windows 2000 использует идентификаторы безопасности маркера доступа, чтобы проверить, авторизован ли пользователь для доступа к объектам.
В данном документе содержится описание основных элементов служб распределенной безопасности Windows 2000, поддерживающих вышеприведенную модель. Рассматриваются Active Directory, аутентификация и авторизация, даются начальные сведения о протоколе аутентификации Kerberos. В статье приведен обзор использования инфраструктуры открытых ключей и поддержки служб сертификатов в Windows 2000, а также шифрованной файловой системы (Encrypting File System, EFS), используемой для защиты данных на жестких дисках. Наконец, документ дает представление о том, каким образом службы безопасности Windows 2000 могут быть использованы разработчиками приложений, а также о возможностях их взаимодействия со службами безопасности других операционных систем.
Примечание
Более подробную информацию по каждой из тем, представленных в данной статье, можно найти в материалах сайта Технической библиотеки Windows 2000 на веб-узле http://www.microsoft.com/windows2000/techinfo/default.asp, где представлены официальные документы по всем основным технологиям, интерактивная документация по операционной системе и другая информация.