Аспекты безопасности при настройке перенаправления папок
Используйте Windows 2000 Server или более новые серверные операционные системы для хранения общего каталога перенаправленных папок
Перенаправляемые папки пользователей содержат личную информацию, которая копируется с клиентского компьютера на сервер и обратно. Поэтому очень важно обеспечить защиту данных, перемещаемых по сети.
Наибольшую потенциальную угрозу для конфиденциальности и целостности данных представляют:
- перехват, осуществляемый во время передачи данных по сети,
- манипулирование данными (tampering), переправляемыми по сети,
- имитация подлинности (spoofing) сервера, хранящего пользовательские данные.
Ряд особенностей Windows 2000 Server поможет обезопасить Ваши данные:
- Kerberos. Протокол защиты данных Kerberos является стандартом во всех изданиях Windows 2000 Server и обеспечивает максимальный уровень безопасности сетевых ресурсов. Kerberos производит проверку подлинности как клиента, так и сервера, в то время как протокол NTLM ограничивается лишь проверкой клиента. При использовании NTLM клиент не может установить подлинность сервера, что является важным аспектом обмена персональными данными между клиентом и сервером, как в случае с перенаправляемыми папками. Протокол Kerberos, недоступный в Windows NT 4.0, обеспечивает более высокий уровень безопасности, чем NTLM.
- IPSec. Протокол безопасности IPSec предоставляет проверку подлинности на уровне сети, а также целостность и шифрование данных. Таким образом, перемещаемые данные:
- Защищены от изменения на пути следования.
- Защищены от перехвата, просмотра или копирования.
- Защищены от неавторизованного доступа со стороны.
- Подписывание SMB.Протокол аутентификации SMB (Server Message Block) поддерживает проверку подлинности сообщений, что предотвращает атаки сообщений, а также атаки типа "man-in-the-middle". Подписывание SMB осуществляет проверку подлинности, помещая цифровую подпись в каждый блок сообщений SMB. Затем цифровая подпись проверяется как клиентом, так и сервером. Чтобы приступить к использованию подписывания SMB, Вам нужно включить или затребовать его на SMB-клиенте и SMB-сервере. Примечание. За преимущества подписывания SMB приходится расплачиваться быстродействием. Несмотря на то, что работа протокола не требует затрат сетевого трафика, процессорам сервера и клиента требуются дополнительные циклы для подписывания SMB.
Всегда используйте файловую систему NTFS на томах, хранящих пользовательские данные
Для обеспечения максимальной безопасности используйте файловую систему NTFS на серверах, задействованных для хранения перенаправленных папок. В отличие от FAT, в NTFS можно использовать избирательные списки управления доступом (DACL) и системные списки управления доступом (SACL). При помощи этих списков можно контролировать, кому позволена работа с файлами и какие события вызывают протоколирование действий, произведенных с файлами.
Не рассчитывайте на EFS для шифрования пользовательских файлов во время их перемещения по сети
Шифрование файлов на удаленном сервере при помощи шифрованной файловой системы (EFS) распространяется только на файлы, хранящиеся на диске. На данные, передаваемые по сети, шифрование EFS не распространяется.
Исключением являются случаи, когда Ваша система использует протокол безопасности IPSec или протокол WebDAV (Web Distributed Authoring and Versioning). Например, IPSec шифрует данные, переправляемые по протоколу TCP/IP. В случае с WebDAV, если файл зашифрован до копирования или перемещения в папку или на сервер WebDAV, он остается зашифрованным во время перемещения и хранения на сервере.