Аспекты безопасности при настройке перемещаемых профилей пользователей
Используйте Windows 2000 Server или более новые серверные операционные системы для хранения общего каталога профилей
Перемещаемые профили пользователей содержат личную информацию, которая копируется с клиентского компьютера на сервер и обратно. Поэтому очень важно обеспечить защиту данных, перемещаемых по сети.
Наибольшую потенциальную угрозу для конфиденциальности и целостности данных представляют:
- перехват, осуществляемый во время передачи данных по сети,
- манипуляция данными (tampering), переправляемыми по сети,
- имитация подлинности (spoofing) сервера, хранящего пользовательские данные.
Ряд особенностей Windows 2000 Server поможет обезопасить Ваши данные:
- Kerberos. Протокол защиты данных Kerberos является стандартом во всех изданиях Windows 2000 Server и обеспечивает максимальный уровень безопасности сетевых ресурсов. Kerberos производит проверку подлинности как клиента, так и сервера, в то время как протокол NTLM ограничивается лишь проверкой клиента. При использовании NTLM клиент не может установить подлинность сервера, что является важным аспектом обмена персональными данными между клиентом и сервером, как в случае с перемещаемыми профилями. Протокол Kerberos, недоступный в Windows NT 4.0, обеспечивает более высокий уровень безопасности, чем NTLM.
- IPSec. Протокол безопасности IPSec предоставляет проверку подлинности на уровне сети, а также обеспечивает целостность и шифрование данных. Таким образом, перемещаемые данные:
- Защищены от изменения на пути следования.
- Защищены от перехвата, просмотра или копирования.
- Защищены от неавторизованного доступа со стороны.
- Подписывание SMB. Протокол аутентификации SMB (Server Message Block) поддерживает проверку подлинности сообщений, что предотвращает атаки сообщений, а также атаки типа "man-in-the-middle". Подписывание SMB осуществляет проверку подлинности, помещая цифровую подпись в каждый блок сообщений SMB. Затем цифровая подпись проверяется как клиентом, так и сервером. Чтобы приступить к использованию подписывания SMB, Вам нужно включить или затребовать его на SMB-клиенте и SMB-сервере. Примечание. За преимущества подписывания SMB приходится расплачиваться быстродействием. Несмотря на то, что работа протокола не требует затрат сетевого трафика, процессорам сервера и клиента требуются дополнительные циклы для подписывания SMB.
Всегда используйте файловую систему NTFS на томах, хранящих пользовательские данные
Для обеспечения максимальной безопасности используйте файловую систему NTFS на серверах, задействованных для хранения перемещаемых профилей. В отличие от FAT, NTFS позволяет использовать избирательные списки управления доступом (DACL) и системные списки управления доступом (SACL). При помощи этих списков можно контролировать, кому позволена работа с файлами и какие события вызывают протоколирование действий, произведенных с файлами.