oldi

Обеспечение безопасности данных в Windows 2000

Федор Зубанов

Возможности, предоставляемые пользователям

  Вход пользователя в систему

  Аутентификация Kerberos

  Основы Kerberos

  Интеграция Kerberos

  Pасширения Kerberos для использования смарт-карт

  Вторичная регистрация «Run As»

  Файловая система с шифрованием

  Реализация EFS

  Использование EFS

Функции системы безопасности для администраторов

  Безопасность и Active Directory

  Группы

  Делегирование административных полномочий

  Безопасная передача по протоколу IP

Заключение

 

Система безопасности Windows NT имеет своей целью защитить как данные системы, так и данные пользователя от случайного или преднамеренного уничтожения или искажения, а также от несанкционированного доступа к ним. С самой первой версии Windows NT система безопасности удовлетворяла многим требованиям надежной защиты данных. Развитие системы в целом сопровождалось и совершенствованием системы безопасности. В Windows 2000, являющейся новой версией Windows NT, появилось много новых функций, которые, с одной стороны, позволили еще более надежно защитить информацию в системе, а с другой — упростить обмен информацией в гетерогенных системах за счет использования стандартных протоколов и API.

Условно функции защиты данных можно разделить на функции, приносящие выгоду пользователям, и функции, приносящие выгоду администраторам. К первым относятся новые, упрощенные, но более надежные способы регистрации в сети, шифрование файлов пользователей и использование сертификатов. Ко вторым — служба каталогов Active Directory, содержащая все объекты системы и позволяющая не только разграничивать права и привилегии, но и легко выполнять их делегирование; средства конфигурирования уровня безопасности и управления политикой безопасности; средства аудита системы; средства обеспечения безопасной передачи данных по сети по протоколу IP.

В начало В начало

Возможности, предоставляемые пользователям

Начнем с тех возможностей по обеспечению безопасности данных, которые получили пользователи. К ним относятся новые средства регистрации в системе, аутентификация Kerberos, возможность вторичной регистрации в системе, файловая система с шифрованием и менеджер сертификатов. Рассмотрим их подробнее.

В начало В начало

Вход пользователя в систему

При входе в систему пользователь может задать не только свое короткое имя в системе, но и полное имя в виде «имя@имя_домена». Это позволяет интегрировать систему безопасности с Интернетом. Дополнительно по умолчанию используется иной протокол аутентификации — Kerberos. Для повышения защищенности служит и использование при регистрации смарт-карт. Все это выполнено таким образом, что наряду с серверами, работающими под управлением Windows 2000, в сети могут существовать машины и с предыдущими версиями Windows NT и с иными ОС.

В начало В начало

Аутентификация Kerberos

Протокол Kerberos усиливает существующие функции безопасности Windows NT и добавляет новые.

  • Повышенная скорость аутентификации при установлении начального соединения. Сервер приложений не должен обращаться к контроллеру домена для аутентификации клиента. Это повышает масштабируемость серверов приложений при обработке запросов на подключение от большого числа клиентов.
  • Делегирование аутентификации в многоярусных архитектурах «клиент/сервер». При подключении клиента к серверу последний имперсонирует (олицетворяет) клиента в этой системе. Но если серверу для завершения транзакции необходимо выполнить сетевое подключение к другому серверу, протокол Kerberos позволяет делегировать аутентификацию первого сервера и выполнить подключение ко второму от имени клиента. Делегирование позволяет второму серверу также выполнить имперсонацию клиента.
  • Транзитивные доверительные отношения для междоменной аутентификации. Пользователь может быть аутентифицирован в любом месте дерева доменов, так как сервисы аутентификации (KDC) в каждом домене доверяют билетам, выданным другими KDC в дереве. Транзитивное доверие упрощает управление доменами в больших сетях с несколькими доменами.
В начало В начало

Основы Kerberos

Kerberos является протоколом аутентификации с совместным секретом. Так он называется потому, что и пользователю, и KDC известен пароль (KDC на самом деле известен зашифрованный пароль). Протокол Kerberos определяет серию обменов между клиентами, KDC и серверами для получения билетов Kerberos (рис. 1). Когда клиент начинает регистрацию в Windows 2000, поставщик функций безопасности (ПФБ) Kerberos получает начальный билет Kerberos (Ticket grant ticket — TGT), основанный на зашифрованном представлении пароля. Windows 2000 хранит TGT в кэше билетов на рабочей станции, связанной с контекстом регистрации пользователя. При попытке клиентской программы обратиться к сетевой службе выполняется проверка кэша билетов на наличие в нем верного билета для текущего сеанса работы с сервером. Если такого билета нет, на KDC посылается запрос, содержащий TGT, для получения сеансового билета, разрешающего доступ к серверу.

Сеансовый билет добавляется в кэш и может быть впоследствии использован повторно для доступа к тому же самому серверу в течение времени действия билета. Время действия билета устанавливается доменными правилами и обычно равно восьми часам. Если время действия билета истекает во время сеанса, то поставщик функций безопасности Kerberos возвращает соответствующую ошибку, что позволяет клиенту и серверу обновить билет, создать новый сеансовый ключ и возобновить подключение.

На рис. 2 изображено взаимодействие между клиентом, KDC и сервером приложений, использующим протокол аутентификации Kerberos.

Сеансовый билет Kerberos представляется удаленной службе в сообщении о начале подключения. Части сеансового билета зашифрованы с использованием секретного ключа, используемого совместно службой и KDC. Сервер может быстро аутентифицировать клиента, проверив его сеансовый билет, не обращаясь к сервису аутентификации, так как на сервере имеется копия секретного ключа, хранящаяся в кэше. Установление соединения при такой аутентификации выполняется гораздо быстрее, чем при аутентификации NTLM. В процессе аутентификации последней сервер получает мандаты пользователя, а затем проверяет их, подключившись к контроллеру домена.

Сеансовые билеты Kerberos содержат уникальный сеансовый ключ, созданный KDC для симметричного шифрования информации об аутентификации и данных, передаваемых от клиента к серверу. В модели Kerberos KDC используется в качестве интерактивной доверенной стороны, генерирующей сеансовый ключ.

В начало В начало

Интеграция Kerberos

Протокол Kerberos полностью интегрирован с системой безопасности и контроля доступа Windows 2000. Начальная регистрация в Windows 2000 обеспечивается процедурой WinLogon. Она использует поставщика функций безопасности Kerberos для получения начального билета TGT. Другие компоненты системы, например Redirector, используют интерфейс SSPI к ПФБ Kerberos для получения сеансового билета для удаленного доступа к файлам сервера SMB.

Делегирование аутентификации (рис. 3) поддерживается в протоколе Kerberos v5 путем использования в сеансовых билетах флагов proxy и forwarding. Функция делегирования используется сервером Windows 2000 для получения сеансового билета на доступ от имени клиента к другому серверу.

В начало В начало

Расширения Kerberos для использования смарт-карт

Расширения протокола Kerberos, использующие открытые ключи, являются основой аутентификации в сети с помощью технологии смарт-карточек. В Windows 2000 возможно выполнять вход пользователя по смарт-карте.

В отличие от регистрации с вводом пароля пользователь вставляет в приемное устройство смарт-карту, в которой содержится персональная информация о пользователе и его личный ключ. Для активации смарт-карты пользователь вводит свой PIN-код. Личный ключ и сертификат, хранимые в карточке, аутентифицируют пользователя в KDC, и он получает TGT. Таким образом, для каждого пользователя необходима своя смарт-карта.

В начало В начало

Вторичная регистрация «Run As»

Полезной функцией, встроенной в Windows 2000, является сервис вторичной регистрации, позволяющий выполнять отдельные процессы с разным уровнем привилегий. Для этого в командной строке используется команда runas. Она подобна утилите SU в UNIX. Указывая имя процесса и учетную запись, от имени которой будет запущен процесс, можно изменять привилегии этого процесса.

Для чего это нужно? Предположим, что вы являетесь администратором системы, но в данный момент зарегистрированы под учетной записью, не обладающей административными привилегиями. Вам необходимо срочно выполнить некоторые административные обязанности, например добавить нового пользователя в группу. В таком случае вы можете запустить соответствующую утилиту командой runas, указав в командной строке учетную запись администратора.

Обратный пример: вы обладаете достаточно высокими правами в системе, но вам надо запустить некоторую программу, в безвредности которой вы не уверены. Что ж, запустите ее под гостевой учетной записью, и программа не сможет причинить вреда.

В начало В начало

Файловая система с шифрованием

Одной из стандартных мер предосторожности в персональных компьютерах является возможность загрузки с гибкого диска. Это выручает в случае сбоев на жестком диске или повреждений загрузочного сектора, так как позволяет осуществить доступ к данным. К сожалению, эта же возможность позволяет загрузить на компьютере операционную систему, отличную от той, что на нем установлена. Потенциально любой, имеющий физический доступ к компьютеру, сможет обойти систему разграничения доступа файловой системы Windows 2000, используя появившиеся в последнее время утилиты чтения NTFS.

Файловая система с шифрованием (Encrypting File System — EFS) призвана решать эту проблему.

В начало В начало

Реализация EFS

Файловая система с шифрацией (рис. 4) является частью послойной модели Windows 2000 и состоит из следующих компонентов:

  • Драйвер EFS. Этот драйвер располагается непосредственно над NTFS и взаимодействует с сервисом EFS для запроса ключей шифрования файлов, полей дешифрования файлов, полей восстановления файлов и других сервисов, связанных с управлением ключами.
  • EFS FSRTL. Этот модуль драйвера EFS реализует различные вызовы NTFS для выполнения таких операций файловой системы, как чтение, запись и открытие зашифрованных файлов и каталогов, а также операции шифрования, дешифрования и восстановления данных при записи на диск или считывании с диска.
  • Сервис EFS. Этот сервис является частью подсистемы защиты.
  • Интерфейсы Win32 API. Обеспечивают программные интерфейсы для шифрования текстовых файлов, дешифрации или восстановления закодированных текстов, а также импорта или экспорта зашифрованных файлов без их предварительного дешифрования.

Шифрование выполняется для пользователя, зарегистрированного в данный момент. Однако в API имеется поддержка шифрования для нескольких пользователей. Каждый файл шифруется своим уникальным ключом.

Также имеется возможность восстановления файлов в случае потери личного ключа пользователя.

В начало В начало

Использование EFS

Шифрование выполняется на уровне файлов и папок. Если папка зашифрована, то любой файл, положенный в нее, также будет зашифрован. Шифрование можно выполнять на отдельно стоящей рабочей станции, на машине, входящей в домен, и удаленно: на сервере — члене домена. При этом следует помнить, что шифруются только хранимые данные. Передача по сети не шифруется. Кроме того, шифруются только данные пользователя. Системные данные не шифруются. Шифрование возможно только на NTFS 5.0.

В начало В начало

Функции системы безопасности для администраторов

В первую очередь к функциям системы безопасности, предоставляющим новые возможности администраторам, безусловно, следует отнести службу каталогов Active Directory. Помимо этого имеются Delegation Wizard — инструмент для упрощения делегирования административных полномочий, Enterprise Certificate Services — средство выдачи сертификатов, а также средства управления локальным компьютером и политикой безопасности.

В начало В начало

Безопасность и Active Directory

Во всех предыдущих версиях Windows NT информация об учетных записях хранилась в защищенных ветвях реестра на контроллерах домена. Использование доверия между доменами и сквозной аутентификацией в двухуровневых иерархиях доменов позволяло обеспечивать некоторую гибкость в управлении учетными записями и серверами ресурсов. Однако внутри каждого домена пространство имен было плоским и не имело никакой внутренней организации.

В Windows 2000 распределенные службы безопасности используют Active Directory в качестве хранилища учетной информации. Active Directory значительно превосходит реестр в плане производительности и масштабируемости, а также предлагает исчерпывающие административные возможности.

Учетные записи пользователей, групп и машин могут быть организованы в виде контейнеров каталога, называемых организационными единицами (OU). В домене может быть произвольное число OU, организованных в виде древовидного пространства имен. Это пространство имен может быть организовано в соответствии с подразделениями и отделами в организации. Так же как и OU, учетные записи пользователей являются объектами каталога и могут быть легко переименованы внутри дерева доменов при перемещении пользователей из одного отдела в другой.

Хранение учетной информации в Active Directory означает, что пользователи и группы представлены в виде объектов каталога. Права на чтение и запись могут быть предоставлены как по отношению ко всему объекту в целом, так и по отношению к отдельным его свойствам. Администраторы способны точно определять, кто именно может модифицировать информацию о пользователях и какую именно.

Между Active Directory и Службами безопасности Windows 2000 существуют фундаментальные отношения. В Active Directory хранятся правила безопасности домена, определяющие использование системы, — ограничения паролей, ограничения доступа к системе. Объекты каталога, относящиеся к безопасности, должны быть защищены от несанкционированного доступа. В Windows 2000 реализована объектная модель безопасности и контроля доступа ко всем объектам в каталоге Active Directory. У каждого объекта имеется свой уникальный дескриптор защиты, определяющий разрешения, необходимые для чтения или обновления свойств объектов.

В начало В начало

Группы

Понятие групп в Windows 2000 расширено по сравнению с предыдущими версиями Windows NT. Существуют четыре вида групп: универсальные, глобальные, локальные в домене и почтовые. Последние не относятся к системе безопасности.

Универсальные группы характерны тем, что членство в них публикуется в Глобальном каталоге. Глобальные группы включают в себя пользователей или группы того же самого домена, в котором определены глобальные группы. Членство в этих группах не публикуется в Глобальном каталоге.

Локальные группы домена включают в себя как пользователей, так и группы из доверяемых доменов. Членство в этих группах также не публикуется в Глобальном каталоге.

В начало В начало

Делегирование административных полномочий

Делегирование административных полномочий является гибким инструментом ограничения администраторов в рамках части домена организации. Это позволяет предоставить им возможность управления пользователями или группами в пределах их области администрирования и в то же время не дает прав на управление учетными записями в других частях организации.

Делегирование права создания новых пользователей или групп определяется на уровне организационной единицы (OU) или контейнера, в котором создана учетная запись. Администраторы групп в одной организационной единице не обязательно имеют возможность создавать или управлять учетными записями в другой организационной единице того же самого домена. Однако доменные правила и права доступа, определенные на более высоких уровнях в каталоге, могут быть применены ко всему дереву путем использования наследования прав доступа.

Для делегирования полномочий применяется Delegation Wizard.

В начало В начало

Безопасная передача по протоколу IP

В RFC 1825-1829 определены спецификации протокола IPSec. Этот протокол является обязательным для IPv6 и опционным для IPv4, тем не менее он реализован в Windows 2000. IPSec защищает трафик IP по двум протоколам: Authentication Header (AH) и Encapsulating Security Payload (ESP).

AH обеспечивает целостность и неизменность как заголовка пакета IP, так и его содержимого. Если хакер внес изменения в пакет, то AH позволяет узнать об этом на приемной стороне.

ESP обеспечивает конфиденциальность передаваемых данных путем шифрования пакетов IP. ESP не шифрует заголовки пакетов, что позволяет использовать его при трансляции сетевых адресов.

IPSec работает в двух режимах: транспортном и туннельном. В транспортном режиме AH или ESP располагается в оригинальном пакете IP между IP-заголовком и верхним слоем расширений заголовка. Этот режим используется для защиты соединений точка-точка, например между рабочей станцией и сервером.

В туннельном режиме оригинальный пакет IP помещается внутри нового пакета, а AH или ESP — между заголовком IP нового пакета и оригинальным пакетом. Новый заголовок пакета IP указывает на конечную точку туннеля, в то время как в старом заголовке хранится точное место назначения. Туннельный режим используется для создания туннеля между двумя системами, например между двумя конечными точками, между конечной точкой и защищенным шлюзом или между двумя защищенными шлюзами. Под защищенным шлюзом можно рассматривать туннельный сервер, маршрутизатор, межсетевой экран или виртуальную частную сеть.

Ядром реализации IPSec в Windows 2000 является политика безопасности IP. В рамках этой политики можно задать параметры для фильтров IP, политики переговоров, метода аутентификации, туннеля IPSec, а также выбрать тип соединения — локальной сети или удаленного доступа. Политика безопасности может храниться как на отдельных машинах, так и в Active Directory, что позволяет распространить ее на всю организацию в целом.

В начало В начало

Заключение

Итак, в новой версии Windows NT появились новые возможности, позволяющие надежно защитить данные, — причем защитить их не только от уничтожения или искажения, но и от несанкционированного доступа. Защита данных выполняется как при хранении, так и при передаче по сети, как на отдельно взятом компьютере, так и на машине, входящей в сеть. И все это делается сравнительно просто, без колдовства и шаманства, за счет использования мощных и удобных инструментов.

КомпьютерПресс 8'1999