Анализ системи безпеки Microsoft Windows 2000 Advanced Server і стратегій її использования
У «тенета з виділеним сервером все комп’ютери у випадку можуть виконувати одночасно ролі й серверу, і клієнта, ця мережа функціонально не симетрична: апаратно і програмно у ній реалізовані два типу комп’ютерів — одні, більшою мірою зорієнтовані виконання серверних функцій і працюючі під керівництвом спеціалізованих серверних ОС, інші — в основному виконують клієнтські функції і що під… Читати ще >
Анализ системи безпеки Microsoft Windows 2000 Advanced Server і стратегій її использования (реферат, курсова, диплом, контрольна)
Тема курсового проекту: «Аналіз системи безпеки Microsoft Windows 2000 Advanced Server і стратегій її использования».
Основные розділи курсового проекта:
1. Мережні операційні системы.
2. Філософія і архітектура Microsoft Windows 2000 з погляду безопасности.
3. Розробка програми визначальною мережне ім'я і ip-адрес компьютера.
(робочої станции).
Рекомендованная література: У. Олифер М. Олифер. Мережні операційні системи — З. Петербург.: Пітер., — 2003.
Мэтью Штребе. Windows 2000: проблеми та розв’язання. Спеціальний довідник — С.Петербург.: Пітер., -2002.
Криста Андерсон. Адміністрування дисків в Windows 2000.-Журнал «Windows 2000 Magazine », -03/2000//по матеріалам сайту http: internet.
Марк Джозеф Едвард, Девід Лебланк. Де NT зберігає паролі. — Журнал «Windows 2000 Magazine », -02/1999 //за матеріалами сайту http: internet.
|Дата видачі завдання |"____"_____________2004 року | |Керівник курсового проекту | |.
Вступление.
Під час створення системи безпеки нової ОС Windows 2000 Advanced Server розробники фірми Microsoft постаралися врахувати як існуючий досвід використання системи безпеки Windows NT 4.0, і реалізувати нові набори механізмів і протоколів безпечної роботи з туристичною інформацією. Windows NT 4.0 обрано невипадково: вона позиціонується як ОС підприємствам, має умонтованими можливостями розмежування доступу до ресурсів і поза 6 років експлуатації добре зарекомендувала свої існуючі режими та потенційні можливості безпеки. Але коли в Windows 2000 Advanced Server, то, очевидно, що, попри дуже багато механізмів безпеки, внесених нову ОС з Windows NT 4.0, усі вони зазнали суттєві зміни у бік збільшення зручності, надійності і функциональности.
Попри те що що, судячи з користувальницькому інтерфейсу, Windows 2000 Advanced Server більше на Windows 98, насправді вона є наступником Windows NT і навіть називалася Windows NT 5 першому етапі роботи над бета-версией. Хоча 2000 і на Windows NT, операційна систему було кардинально вдосконалена і оновлена, був повністю переглянутий інтерфейс адміністрування. NT 4 відрізнялася від NT 3.51 головним чином концепцією користувальницького інтерфейсу як робочого столу, більшість коштів адміністрування залишилися тими самими. У Windows 2000 Advanced Server змінився кожен інструмент адміністрування. Всі кошти адміністрування було уніфіковано шляхом перетворення на «оснастки» (snap-in) псевдоиерархического засоби управління Microsoft Management Console (консоль управління Microsoft, MMC).
Система Windows 2000 Advanced Server компанії Microsoft забезпечує можливість безпечного доступу до ресурсів системи. Якщо вас, самим важливим ресурсом, підлягає захисту, є файли, можна налаштувати систему те щоб матимуть можливість контролювати те, як інші користувачі читають, записують, створюють і змінюють файли і папки вашому компьютере.
Це лише під час використання системи NTFS. Система була створена для Windows NT, попередника Windows 2000 Advanced Server, і є одним із трьох систем, які можна використати в жорсткому диску комп’ютера. 1. Структура мережевий операційній системы.
Мережевий операційна система лежить в основі будь-який обчислювальної мережі. Кожен комп’ютер у мережі значною мірою автономний, тому під мережевий операційній системи у широкому значенні розуміється сукупність операційними системами окремих комп’ютерів, котрі взаємодіють із метою обміну повідомленнями й міжнародного поділу ресурсів за правилами — протоколів. У вузькому сенсі мережна ОС — це операційна система окремого комп’ютера, забезпечує можливість працювати у сети.
[pic].
Рис. 1.1. Структура мережевий ОС У мережевий операційній системі окремої машини можна виокремити декілька частин (малюнок 1.1):
. Засоби управління локальними ресурсами комп’ютера: функції розподілу оперативної пам’яті між процесами, планування і диспетчеризації процесів, управління процесорами в мультипроцессорных машинах, управління периферійними пристроями та інші функцій управління ресурсами локальних ОС.
. Кошти надання власних ресурсів немає і послуг у загальне користування — серверна частина ОС (сервер). Ці цифри забезпечують, наприклад, блокування файлів і записів, що потрібно спільного використання; ведення довідників імен мережевих ресурсів; обробку запитів віддаленого доступу до власного файлової системи та базі даних; управління чергами запитів віддалених користувачів до своїх периферійним устройствам.
. Кошти запиту доступу до віддаленим ресурсів і послугам та його використання — клієнтська частина ОС (редиректор). Ця частина виконує розпізнавання і перенапрямок до мережі запитів до віддаленим ресурсів від додатків і користувачів, у своїй запит йде від докладання в локальної формі, а передається до мережі на другий формі, відповідної вимогам серверу. Клієнтська частина також здійснює прийом відповідей від серверів і перетворення в локальний формат, отож у докладання виконання локальних віддалених запитів неразличимо.
. Комунікаційні кошти ОС, з допомогою яких обмін повідомленнями у мережі. Ця частина забезпечує адресацію і буферизацію повідомлень, вибір маршруту передачі повідомлення через мережу, надійність передачі й т.п., тобто є способом транспортування сообщений.
Залежно від функцій, покладених на конкретний комп’ютер, у його операційній системі може відсутні або клієнтська, або серверна части.
[pic].
Рис. 1.2. Взаємодія компонентів ОС при взаємодії компьютеров.
На малюнку 1.2 показано взаємодія мережевих компонентів. Тут комп’ютер 1 виконує роль «чистого «клієнта, а комп’ютер 2 — роль «чистого «серверу, відповідно на першої машині відсутня серверна частина, але в другий — клієнтська. На малюнку окремо показаний компонент клієнтської частини — редиректор. Саме редиректор перехоплює все запити, які від додатків, і аналізує їх. Якщо видано запит до ресурсу даного комп’ютера, він переадресовується відповідної підсистемі локальної ОС, Якщо ж це запит до віддаленому ресурсу, він переправляється до мережі. У цьому клієнтська частина перетворює запити з локальної форми в мережевий формат і передає його транспортної підсистемі, що відповідає за доставку повідомлень зазначеному серверу. Серверна частина ОС комп’ютера 2 приймає запит, перетворює його й передає до виконання своєї локальної ОС. Потому, як наслідок отримано, сервер звертається до транспортної підсистемі і направляє відповідь клієнту, выдавшему запит. Клієнтська частина перетворює результат в відповідний формат і адресує його додатку, яку видало запрос.
Насправді склалося кілька підходів побудувати мережевих операційними системами (малюнок 1.3).
[pic].
Рис. 1.3. Варіанти побудови мережевих ОС.
Перші мережні ОС виглядали сукупність існуючої локальної ОС і надстроєної з неї мережевий оболонки. Причому у локальну ОС встраивался мінімум мережевих функцій, необхідні роботи мережевий оболонки, яка виконувала основні мережні функції. Прикладом такого підходу використання з кожної машині мережі ОС MS DOS (що має починаючи з її третьої версії з’явилися такі вбудовані функції, як блокування файлів і записів, необхідних спільного доступу до файлам).
1.1. Однорангові мережні ОС і ОС з виділеними серверами.
Залежно від цього, як розподілені функції між комп’ютерами мережі, мережні операційні системи, отже, і мережі діляться на два класу: однорангові і двухранговые (малюнок 1.1.1.). Останні частіше називають мережами з виділеними серверами.
[pic].
(а) Рис. 1.1.1. (а) — Одноранговая сеть.
[pic].
Рис. 1.1.1. (б) — Двухранговая сеть.
Якщо комп’ютер надає свої фінансові ресурси іншим користувачам мережі, він ж виконує функцію серверу. У цьому комп’ютер, яка звертається ресурсів інший машини, є клієнтом. Комп’ютер, працював у мережі, може виконувати функції або клієнта, або серверу, або поєднувати обидві ці функции.
Якщо виконання будь-яких серверних функцій є основним призначенням комп’ютера (наприклад, надання файлів на загальне користування решті користувачам сіті або організація спільного використання факсу, чи надання всім користувачам мережі можливості запуску на даному комп’ютері своїх додатків), такий комп’ютер називається виділеним сервером. Залежно від цього, який ресурс серверу є поділюваним, вона називається файл-сервером, факс-сервером, принт-сервером, сервером додатків і т.д.
У «тенета з виділеним сервером все комп’ютери у випадку можуть виконувати одночасно ролі й серверу, і клієнта, ця мережа функціонально не симетрична: апаратно і програмно у ній реалізовані два типу комп’ютерів — одні, більшою мірою зорієнтовані виконання серверних функцій і працюючі під керівництвом спеціалізованих серверних ОС, інші - в основному виконують клієнтські функції і що під керівництвом відповідного цього призначення варіанта ОС. Функціональна несиметричність, зазвичай, викликає і несиметричність апаратури — для виділених серверів використовуються потужніші комп’ютери з більшими на обсягами оперативної та зовнішньої пам’яті. Отже, функціональна несиметричність у мережах з виділеним сервером супроводжується несимметричностью операційними системами (спеціалізація ОС) і апаратної несимметричностью (спеціалізація компьютеров).
У одноранговых мережах все комп’ютери рівні правах доступу до ресурсів одне одного. Кожен користувач може за власним бажанням оголосити будь-якої ресурс свого комп’ютера поділюваним, після чого інші користувачі можуть його експлуатувати. У цих мережах усім комп’ютерах встановлюється одна й та ОС, що надає всім комп’ютерів у мережі потенційно рівні возможности.
На відміну від мереж з виділеними серверами, в одноранговых мережах відсутня спеціалізація ОС залежно від переважної функціональної спрямованості - клієнта чи серверу. Усі варіації реалізуються засобами конфигурирования однієї й тієї ж варіанта ОС.
Мережні операційні системи мають різні властивості залежно від того, призначені вони для мереж масштабу робочої групи (відділу), для мереж масштабу кампусу або заради мереж масштабу предприятия.
1.2. Серверні системи: історію створення, основні версии.
Серверні системи повинні дозволяти початковий запуск у невеликий конфігурації забезпечуватиме можливість розширення зі зростанням потреб. Електронна торгівля Інтернетом потребує активної та швидкого збільшення розмірів систем. Постачальникам послуг, що об'єднує обробку додатків у великі вузли, також потрібна динамічне зростання систем. Масштаб таких вузлів збільшується як шляхом «зростання вгору» (заміною серверів більш потужні), і шляхом «зростання вшир» (додаванням додаткових серверов).
Сукупність усіх серверів, додатків та об'єктивності даних деякого обчислювального вузла називається також фермою. Ферми мають безліч функціонально спеціалізованих служб, кожна з власними додатками та даними (наприклад, служба каталогів, безпеки, HTTP, пошти, баз даних, і т. п.). Ферма функціонує як підрозділ — має єдиний обслуга, єдине управління, приміщення і сеть.
Задля більшої отказоустойчивости апаратне і встановлюють програмне забезпечення, і навіть дані ферми дублюються в одній чи навіть кількох фізично віддалених фермах. Такий набір ферм називають геоплексом. Геоплекс може мати конфігурацію активный-активный, коли всі ферми несуть частина навантаження, чи активный-пассивный, що один чи кілька ферм перебувають у готовому резерве.
Початок робіт зі створення Windows NT посідає кінець 1988 года.
Спочатку Windows NT розвивалася, як полегшений варіант OS/2 (OS/2 Lite), який через рахунок усечения деяких функцій міг би працювати на менш потужних машинах. Однак згодом, побачивши як успішно приймається споживачами Windows 3.0, Microsoft переорієнтувалася і став розробляти поліпшений варіант Windows 3.1. Нову стратегію Microsoft полягало у створення єдиного сімейства які базуються на Windows операційних систем, які охоплювали б безліч типів комп’ютерів, від найбільш маленьких ноутбуків аж до великих мультипроцессорных робочих станций.
Windows NT, як було зазначено названо наступне покоління Windows-систем, належить до найвищого рівню в ієрархії сімейства Windows. Ця операційна система, спочатку поддерживавшая звичний графічний інтерфейс (GUI) користувача Windows, стала першої повністю 32-разрядной ОС фірми Microsoft. Win32 АПІ - програмний інтерфейс і розробити нових додатків — зробив доступними для додатків поліпшені властивості ОС, такі як многонитевые процеси, кошти синхронізації, безпеки, введеннявиведення, управління объектами.
Перші ОС сімейства NT — Windows NT 3.1 і Windows NT Advanced Server 3.1 з’явилися торік у липні 1993 року. Торішнього серпня 1996 року вийшла чергова вер-сія Windows NT 4.0. Спочатку передбачалося, що ця чергова вер-сія Windows NT отримає номер 3.52, проте їй було присвоєно номер 4.0, який раніше згадувався у комп’ютерній пресі на зв’язки Польщі з інший очікуваної версією Windows NT, має кодову назву Cairo. Нововведення, внесені до Windows NT Server 4.0, пов’язані з поліпшенням інтерфейсу користувача, розширенням підтримки Internet, появою нові й модернізацією існуючих інструментів адміністрування і підвищення продуктивності системы.
2. Системи сімейства Windows NT.
Під час розробки Windows NT 4.0 Microsoft вирішила пожертвувати стабільністю заради продуктивності. Для цього він внесли зміни в архітектуру: бібліотеки менеджера вікон та GDI, і навіть драйвери графічних адаптерів було перенесено з користувальницького режиму на режим ядра.
У Windows NT 4.0 внесли багато докорінних змін, серед найбільш значними є следующие:
. реалізація інтерфейсу у стилі Windows 95;
. орієнтування убік Internet і intranet;
. архітектурні зміни, які дозволяли різко підвищити продуктивність графічних операций;
. модифікація коштів взаємодії з NetWare — Gateway і клієнт NCP підтримують тепер NDS;
. підтримка многопротокольной маршрутизации;
. появу у Windows NT 4.0 эмулятора Intel «овских процесорів для RISCплатформ.
Крім зовнішніх змін, модернізація графічного інтерфейсу не сильно відбилася на методи управління мережею. Базовий інструментарій адміністратора Windows NT Server залишився незмінним. Програми User Manager for Domains, Server Manager, Disk Administrator, Event Viewer, Performance Monitor, DHCP Manager, WINS Manager, Network Client Administrator, License Manager і Migration Tool for NetWare не зазнав змін. Remote Access Administrator теж змінився, він було перенесено з окремої папки в меню Administrative Tools. Редактор системної політики System Policy Editor, сумісний і з Windows NT, і з Windows 95, замінив редактор профілів користувачів User Profile Editor, знайомий по версіям Windows NT Server 3.x. У версію 4.0 ввійшли чотири доповнення: адміністративні программы-мастера Administrative Wizards, System Policy Editor, і навіть розширене засіб Windows NT Diagnostics і яскрава програма Network Monitor (програма моніторингу роботи мережі, раніше поставлявшаяся тільки у складі продукту Microsoft Systems Management Server).
З іншого боку, у складі Windows NT 4.0 ввійшла Web-ориентированная утиліта адміністрування, відкриває доступом до засобам адміністрування Windows NT із будь-якої Web-броузера.
Windows 2000 — таке втілення Windows NT, яку Microsoft створила з метою безпосередньої конкуренції OS/2, NetWare і UNIX на ринках файлових серверів і вимагає невеликих серверів додатків. У процесі створення бета-версії Windows 2000 називалася Windows NT 5, проте Microsoft змінила ім'я на Windows 2000, аби знизити плутанину серед клієнтів після того, як вони закінчать роботи з продуктами заснованого на MS-DOS треку розробок Windows 9х.
Щоб за умов жорсткій конкуренції Windows 2000 досягла успіху як мережна операційна система, Microsoft спроектувала підтримку деякі важливі обчислювальних технологій. Це такі ключові технології: • многопроцессорная обробка; • многопоточность; • підтримка великих додатків; • платформонезависимость; • всеосяжна безпеку; • зворотна совместимость.
Багато функції Windows 2000, такі як безпеку дисків і можливості мережного взаємодії, насправді є функціями служб і драйверів, працюючих поверх цієї базової архитектуры.
3. Аналіз безпеки Windows 2000 Advanced Server.
3.1. Теорія Безопасности.
Коли Windows NT уперше з’явилася в 1993 р., під безпекою малися на увазі заходи запобігання важливих речей на сервері від перегляду які мають те що прав користувачами і, можливо, використання безпеки зворотного виклику для користувачів віддаленого доступу для контролю над вхідними телефонними підключеннями до системи. Windows NT вважалася безпечної, вона використовувала односпрямовані хэшзначення паролів для аутентифікації користувачів і наслідувані токены безпеки національній безпеці межпроцессного взаимодействия.
Інтернет повністю змінив картину. Windows NT 4 була випущена 1996 р. разом із нове і недопрацьованим стеком TCP/IP, саме коли Інтернет набирав обертів, і операційна система виявилася непідготовленою до хакерским атакам через Інтернет, що тривали протягом усіх чотирьох років життя після випуску. Microsoft випускала дедалі нові латки і пакети відновлення, намагаючись залатати нові проломи, виявлені в службах, протоколах і драйверах Windows NT.
Чимало з подібних дір створили новими компонентами за вибором Windows NT, такі як Internet Information Server і FrontPage Server Extensions. Більша частина проблеми становила саме надання служби Интернета.
Безпека (security) — це сукупність заходів, прийнятих для запобігання будь-якими втрат. Система, що має фундаментальної безпекою, — це такий система, у якій ніякої користувач не має доступом до чого б не пішли. На жаль, такі повністю безпечні системи безкорисними, тож треба прийняти певний ризик у сфері безпеки, щоб забезпечити можливість користування системою. Мета управління безпекою — мінімізувати ризик, що виникає забезпечивши необхідного рівня зручності використання (usability) системы.
Уся сучасна комп’ютерна безпеку полягає в фундаментальної концепції особистості (identity) користувача. Для отримання доступу до системи люди ідентифікують себе у той спосіб, який користується довірою система. Цей процес відбувається називається входом до системи (logging on). Потому як користувач ввійшов у систему, його доступом до даним та програмами може однозначно контролюватися з урахуванням його личности.
Щоб підтримувати надійність системи, доступом до системі будь-коли може бути дозволено без проходження процедури входу до системи. Навіть у системах, відкритих для публічного анонімного доступу, слід застосовувати облікові записи (account) контролю те, які анонімні користувачі мають доступом. Не можна контролювати безпеку, а то й у яких на то права користувачам може бути заборонено доступ.
У системах, заснованих на виключно ідентифікації, кожен користувач повинен мати унікальну дисконтну запис і облікова запис будь-коли може бути використана більш як одним лицом.
Windows 2000 Advanced Server (надалі - Windows 2000) використовує ряд механізмів задля забезпечення безпеки локального комп’ютера від злочинних програм, ідентифікації користувачів і забезпечення безпеки передачі через мережу. Основні механізми безпеки Windows 2000 перераховані нижче. У тому числе:
• тотальний контролю над доступом запобігає підключення ненадійних комп’ютерів до безпечним системам з допомогою фільтрації пакетів і трансляції мережевих адрес, гарантуючи що дозволені сеанси користувачів неможливо знайти сфальсифіковані, вкрадені чи мистифицированы, з допомогою Kerberos і IPSec, і запобігає порушення програмою адресного простору інший програми з допомогою захисту памяти;
• визначення особистості користувача з допомогою методів аутентифікації, як-от Kerberos, Message Digest Authentication, смарткарти, аутентификация RADIUS чи протоколи аутентифікації третіх фірм, приміром, ті, у яких реалізовані біометричні способы;
• заборону або дозвіл доступу з урахуванням особистості користувача, при допомоги списків контролю доступу для об'єктів із керованої безпекою, як-от принтери, служби й збережені на NTFS файли і каталоги; у вигляді шифрування файлів з допомогою Encrypting File System (шифрованою файловою системи, EFS); шляхом обмеження доступу та можливостей операційній системи, які можна використані неправильно, з допомогою груповий політики і шляхом авторизації віддалених користувачів, підключених через Інтернет чи глухе з'єднання, з допомогою політики RRAS;
• запис діяльності користувача у вигляді журналів аудиту особливо значимої інформації та журналів сполук для публічних служб, як-от Web і FTP;
• закрита передача даних між комп’ютерами, з допомогою IPSec, PPTP чи L2TP для шифрування потоку даних між комп’ютерами. РРТР і L2TP дозволяють користувачам ініціювати безпечні потоки передачі даних, тоді як IPSec використовується у тому, аби дозволити двом комп’ютерів безпечно передавати дані через публічний канал передачі даних незалежно від особистості пользователя;
• мінімізація ризику неправильної конфігурації шляхом угруповання схожих механізмів безпеки в політики і наступного застосування цих політик їх до груп схожих користувачів чи комп’ютерів. Кошти управління груповими політиками, політиками RRAS і політиками IPSec в Windows 2000 дозволяють адміністраторам здійснювати наскрізні зміни у великих частинах системи безпеки, не турбуючись про окремих ошибках.
Управління безпекою має здійснюватися з урахуванням усієї системи мережі. Включення індивідуальних коштів забезпечення безпеки це не дає безпеці, оскільки є безліч способів обійти індивідуальні кошти безопасности.
Windows 2000 у своїй стані за умовчанням сконфигурирована як зручна, а чи не безпечна система. Жорсткі диски створюються за умовчанням з повним доступом всім, ніяких групових політик за умовчанням не встановлено, і більшість межкомпьютерных взаємодій небезпечна. По вмовчанням ніякі файли не шифруються, і включені ніякі фільтри пакетов.
До сформування безпечної системи необхідно встановити усі важливі кошти забезпечення безпеки і далі послабляти ці установки для забезпечення доступу у яких цього право користувачам і підвищення производительности.
Попри велике просування у сфері цілісного управління, в Windows 2000, ще багато чого можна б зробити забезпечення безпеки конфігурації за умовчанням. Проте, інструментальні кошти легко знайти й чудово працюють разом, надаючи керований інтерфейс для настройки характеристик безопасности.
3.1.1. Криптография.
Криптографія (cryptography) — це наука про кодах і шифрах. Windows 2000 використовує повсюдно применяющуюся криптографію для засекречування всього, починаючи з збережених файлів і потоків передачі до паролів користувачів і аутентифікації домена.
Криптографія і шифрування відіграють істотне значення безпечно Windows 2000.
Усі нові можливості забезпечення безпеки Windows 2000 засновані на криптографії. На відміну від послуг цього, у першому випуску Windows NT криптографія використовувалася лише хэширования паролів. Протягом періоду використання Windows NT 4 до операційної систему було додано різноманітні елементи крипографии, але вони оброблялися узгоджено і безпечно. Windows 2000 змінює таке стан справ, використовуючи Active Directory як контейнер практично для всієї конфігурації, що з безпекою, застосування политик.
Windows 2000 використовує шифрування (encryption) у трьох життєво важливих целях:
• на утвердження ідентичності принципала безопасности;
• на утвердження достовірності вмісту повідомлення чи файла;
• щоб приховати вміст сховища чи потоку данных.
Шифр (cipher) — це алгоритм шифрування, він захищає повідомлення, переупорядочивая його здійснюючи зміни у кодування, але не сенсовому значенні повідомлення. Код (code) — це узгоджений спосіб збереження таємниці повідомлень між двома чи більше особистостями. Ключ (key) — це невеличка порція інформації, що необхідно для розшифровки повідомлення, зазвичай, у вигляді значення, що у шифрі для зашифровки повідомлення. Ключ повинен триматися у секреті, щоб повідомлення залишалося закрытым.
3.1.2. Алгоритми шифрования.
Одне з алгоритмів, який було розроблено на секреті, а згодом став доступний громадського використання, як і для державного (але для інформації «Unclassified but Sensitive», несекретной, але важливою), — це алгоритм Data Encryption Standard (стандарт) шифрування даних), чи DES. Це симетричний алгоритм, що таке, що хоча б ключ використовують і для шифрування, й у розшифровки; він був призначений від використання 56-разрядно-З го ключа. DES широко використовують у комерційному програмне забезпечення й у пристроях зв’язку, підтримують шифрование.
RSA (під назвою імена своїх творців, Rivest, Shamir і Adleman) — це алгоритм, який розробили урядовим агентством. Його творці скористалися вычислительно-затратной проблемою розкладання на прості числа до створення асиметричного (asymmetric) алгоритму, чи алгоритму відкритого ключа (public key), що може бути використаний і для шифрування, й у цифрових підписів. RSA відтоді стало дуже популярної альтернативою DES. RSA використовується поруч компаній із виробництву програмного забезпечення, чиї продукти мають здійснювати безпечні сполуки через небезпечний Інтернет (такі, як webбраузери), у тому числі Microsoft, Digital, Sun, Netscape і IBM.
Ці шифри не єдино можливі від використання в комп’ютерах і мережах. Уряди різних країн навіть колишнього СРСР активно розробляли коди і шифри, багато приватних осіб (особливо останніми десятьма роками) внесли внесок у розвиток криптографії. GOST (ГОСТ) було розроблено на СРСР, FEAL розробили NTT у Японії, LOKI було розроблено на Австралії та IDEA — у Європі. Більшість цих шифрів використовують запатентовані алгоритми, що їх ліцензованими для комерційного використання, але з все (наприклад, Blowfish). Кожен шифр має чеснотами й недостатками.
Всі ці шифри мають одним слабким місцем: якщо відомий шифр, використовуваний для зашифровки повідомлення, але з відомий ключ, можна скористатися низкою атак у тому, щоб спробувати декодировать повідомлення, в тому однині і метод «грубої сили», намагаючись перепробувати всіх можливих ключи.
Призначення шифрів, зрештою, — приховувати інформацію. Противоположностью приховування інформації є спроби розкрити, що саме було засекречено, і прогрес у сфері зламування (breaking) кодів (чи розшифровки кодів без ключа) іде у ногу з розробками у створення кодів. Діяльність у здійсненні спроб зламування кодів називається криптоанализом (cryptanalysis), а люди, які зламують коди, називаються криптоаналитиками (cryptanalyst). На системи безпеки то, можливо зроблено ряд криптоаналитических атак різних типов.
Атака перебором ключів. Перебір простору ключів (keyspace search) передбачає перевірку всіх можливих ключів, які можуть використовуватися для зашифровки сообщения.
Відомий вихідний текст. Багатьом шифрів криптоаналитик може скоротити кількість які перебираються можливих ключів, коли вже відомий вихідний текст зашифрованого сообщения.
Лінійний і диференціальний криптоанализ. Криптоаналитик може також шукати математичні збіги переважають у всіх зібраних зашифрованих текстах, хто був зашифровані з допомогою одного ключа.
Існує один шифр — одноразова підстановка (one-time pad) — який можна розгадати, якщо ні ключа, навіть маючи у своєму розпорядженні все решту часу існування всесвіту і всі теоретично можливі обчислювальні можливості. На жаль, вимоги цього шифру роблять його непридатним для використанню, крім певних видів комунікацій, які потребують високої пропускної способности.
3.1.3. Симметрические функции.
Якщо хтось і хоча б ключ можна використовувати для зашифровки чи розшифровки повідомлення, такий шифр використовує симметрическую функцію (symmetric function). Один ключ має бути й у відправника, і в одержувача. Ряд симетричних шифрів використовують і в програмному, й у апаратній забезпеченні. Одержати уявлення про можливі шифрах можна, порівнявши такі три.
• DES. IBM і американський Управління національної стратегії безпеки (National Security Agency, NSA) об'єднало зусилля і розробити цього шифру. Він стійкий до диференціальному криптоанализу, але піддається лінійному криптоанализу. Довжина ключа становить лише 56 біт, що дуже полегшує можливість спробувати всіх можливих ключі методом грубої сили для зашифрованого, тексту. DES широко застосовується у програмному і апаратній забезпеченні шифрування. Це стандарт ANSI. Windows 2000 peaлизует і 40-битный DES, і 168-битный DES1 (triple-DES (потрійний DES) — DES із трьома безперервними ключами).
• IDEA. Цей шифр має ключем довжиною 128 біт — значно більше, ніж використовує DES. Тоді як що має серйозної мотивацією і фінансуванням організація чи велика команда хакерів може зламати закодоване DES-сообщение, великий простір ключів робить нездійсненною атаку" на IDEA методом грубої сили. IDEA розробили як шифр, невразливий для лінійного і диференціального криптоанализа. IDEA запатентовано Європі і США.
Blowfish. Цей шифр може використовувати ключ довжиною від 32 до 448 біт, дозволяючи вибрати ступінь таємності сообщения.
3.1.4. Односпрямовані функции.
Набираючи пароля для входу в Windows 2000, він шифрується і порівнюється зі збереженим зашифрованим значенням пароля. Пароль зберігається з допомогою односпрямованої функції (one-way function), також званої хэш (hash), trap-door, digest чи fingerprint1.
Хэш-функции також можна застосовувати з метою. Наприклад, можна використовувати хэш-функцию, щоб зробити «відбитки пальців» файлів (створити цифрові відбитки пальців, чи хэш-значение, що буде унікально для даного файла). Хэш-функция здатна родити результат, який набагато менше, ніж вхідний текст, хэширование що посідає багато мегабайтів документа текстового процесора, наприклад, може дати 128-разрядное число. Хэш-значение також унікально для файла, який його породив; практично неможливо було створити інший файл, який те ж таки хэш-значение.
Один із особливостей хэш-функций (особливо дають короткі хэшзначення) — те, що це хэш-значения равновероятны. Отже, практично неможливо було створити інший файл хэш-значение котрій співпаде з имеющимся.
Деяким хэш-функциям потрібно ключ, іншим — немає. Хэш-функция з ключем може обчислюватися лише будь-ким (чи чимось), у яких цей ключ.
3.1.5. Шифрування з відкритою ключом.
Тоді як симетричні шифри використовують один ключ для зашифровки і розшифровки повідомлень, шифрування з відкритою ключем (public key encryption), чи шифр з відкритою ключем (public key cipher), використовує для розшифровки ключ, відмінний від використаного при шифруванні. Це порівняно нова розробка в криптографії, і її вирішує багато давні проблеми систем криптографії, такі як засіб передачі секретних ключів в перший раз.
Проблема симетричних шифрів ось у чому: і відправник, і одержувач повинен мати і той ж ключ у тому, щоб обмінюватися зашифрованими повідомленнями через небезпечний канал передачі. Якщо дві сторони вирішать обмінюватися закритими повідомленнями або якщо між двома пристроями у комп’ютерній сіті або двома програмами може бути встановлено безпечний канал, дві сторони комунікації повинні прийняти рішення про спільний ключі. Кожна сторона легко може вибрати ключ, але в цієї боку нічого очікувати жодного способу відправити цей ключ боці, не наражаючись ризику перехоплення ключа по дороге.
З використанням шифру з відкритою ключем один ключ (відкритий ключ, public key) використовується для шифрування повідомлення, а інший ключ (закритий ключ, private key) — це єдиний ключ, котрі можуть розшифрувати повідомлення. Будь-хто, маючи ключ, може зашифрувати повідомлення, розшифрувати що може лише конкретний користувач. Безпечні шифри з відкритою ключем страждають від однієї проблеми — вони повільні, значно повільніше, ніж симетричні шифри. Робота хорошого шифру з відкритою ключем може забрати в 1000 разів більше часу для зашифровки однієї й тієї ж кількості даних, ніж в хорошого симетричного шифра.
Хоча системи открытого/закрытого ключа значно повільніше симетричних систем, чітко вирішують проблеми, від якої страждали симетричні криптосистемы. Коли двом людям (чи пристроям) встановити безпечний канал передачі даних, них може просто взяти секретний ключ і зашифрувати цей секретний ключ з допомогою відкритого ключа з іншого боку. Зашифрований ключ потім вирушає іншому учаснику комунікації, і навіть коли цей ключ буде перехоплений, тільки іншої учасник зможе розшифрувати секретний ключ з допомогою свого закритого ключа. Комунікація між двома сторонами потім може тривати досить з використанням симетричного шифру і їх секретного ключа. Система, що використовує як симетричний шифрування, і шифрування з відкритою ключем, називається гібридної криптосистемой (hybrid cryptosystem).
3.2. Застосування шифрования.
Шифрування можна використовуватиме захисту наступних типів даних в сети:
• закрита передача данных;
• безпечне зберігання файлов;
• аутентификация користувача чи компьютера;
• безпечний обмін паролями.
Слід шифрувати будь-які дані, містять значиму чи приватну інформацію, які відбуваються через небезпечні канали передачі, такі як радіо, телефонна мережа чи Інтернет. Використовуйте шифрування файловій системи за захистом значимих даних, коли можливості ОС не діють (коли було видалено жорсткий диск чи замінена операційна система).
3.2.1. Безпечне зберігання файлов.
Шифрування можна використовувати за захистом даних у пристрої зберігання, наприклад даних на жорсткому диску. В усіх життєвих реалізаціях UNIX і Windows NT є багато складних коштів забезпечення безпеки. Кращий підхід до гарантування безпеки — надати шифрування і розшифровку файлів операційній системі. Windows 2000 поставляється з Encrypting File System (шифрована файлова система, EFS), яка шифрувати все файли на вашому жорсткому диску, навіть тимчасові файли, створені використовуваними вами приложениями.
Щоб використовувати EFS таємно, потрібно надати криптографічний ключ під час запуску комп’ютера або використати бодай її з смарткартою, інакше ж вважатимуться файли на жорсткому диску звичайними, незашифрованными файлами. Не захистить файли від доступу під час роботи ОС — навіщо існують кошти забезпечення безпеки ОС, — але ці збереже дані безпечно, навіть якщо хтось вкраде жорсткий диск.
3.2.2. Аутентификация користувача чи компьютера.
Крім збереження таємності (або за передачі, або за зберіганні), шифрування можна використовувати майже протилежних цілях — для перевірки ідентичності. Шифрування може провести аутентификацию входять до системи комп’ютера користувачів, гарантувати, що загружаемое з Інтернету програмне забезпечення приходить із надійного джерела І що обличчя, отправившее повідомлення, насправді то «за яке воно себе выдает.
При вході у операційну систему Microsoft, наприклад Windows 95, Windows NT чи Windows 2000, операційна система має не порівнює запроваджений пароль з збереженим паролем. Натомість вона шифрує пароль з допомогою односпрямованої криптографічного функції і далі порівнює результат з що зберігається результатом. Інші операційні системи, такі як UNIX і OS/2, працюють точно так же.
Зберігаючи лише криптографічне хэш-значение пароля користувача, операційна система утрудняє хакерам можливість всіх паролів системи при получении.
3.2.3. Цифрові подписи.
Зазвичай шифрування з відкритою ключем використовується передачі секретних повідомлень, зашифрованих з допомогою відкритого ключа, і наступної розшифровки їх з допомогою закритого ключа.
Оскільки призначення цифрового електронного підпису не у цьому, щоб приховати інформацію, суть у тому, яка має підтвердити її, закриті ключі найчастіше йдуть на шифрування хэш-значения початкового документа, і зашифроване хэш-значение приєднується до документа чи вирушає разом із. Цей процес відбувається займає набагато менше обчислювального часу при генерації чи перевірці хэш-значения, ніж шифрування всього документа, і у своїй гарантує, що він підписав власник закритого ключа.
Електронна пошта Інтернету проектувалась не враховуючи безпеки. Повідомлення незахищеними від нелегального перегляду на проміжних хостах Інтернету, немає і гарантії, що насправді прийшло від цього особи, яке у полі From електронної пошти. Повідомлення груп новин Інтернету страждають від тієї ж виникли проблеми: неможливо в дійсності сказати, від когось насправді надійшло повідомлення. Можна зашифрувати тіло повідомлення, щоб довідатися з першого проблемою, а цифрові підписи справляються зі второй.
Цифрові підписи корисні, оскільки перевірити підпис може кожен, а створити його лише обличчя з закритим ключем. Різниця між цифровий підписом і сертифікатом у цьому, які можна перевірити справжність сертифіката у центрі сертификации.
3.2.4. Безпечний обмін паролями.
Більшість мережевих операційними системами (зокрема Windows 2000 і все сучасні версії UNIX) захищають ім'я користувача і пароль біля входу до систему у вигляді їх шифрування перед відправленням його у мережу для аутентификации.
Щоб одні й самі зашифровані дані не передавалися щоразу, клієнт він може включити якусь додаткову інформацію, наприклад час відправки запиту на вхід до системи. За такої способі мережні ідентифікаційні дані будь-коли відправлятимуть через локальну мережу чи телефонні лінії в незахищеному вигляді. Проте Windows 2000 приймає незашифрованные паролі від колишніх мережевих клієнтів LAN Manager.
Мало який протокол аутентифікації зашифровує ім'я користувача і пароль, цього робить SLIP Telnet і FTP. Службу Telnet в Windows 2000 можна сконфигурировать до роботи тільки з хэш-значениями Windows NT, а чи не з паролями як простого тексту. РРР може шифрувати, як і віддалений клієнт, і сервер сконфигурированы в такий спосіб. Windows NT за умовчанням вимагає шифрованою аутентифікації. Windows 2000 використовує безпечну систему аутентифікації Kerberos, засновану на секретних ключах.
3.3. Стеганография.
Стеганография (steganography) — це процес приховування зашифрованих файлів у тому місці, у якому навряд чи хтось зможе їх обнаружить.
Зашифровані файли виглядають як випадкові числа, тому всі, що також виглядає як випадкові числа, може сховати зашифроване повідомлення. Наприклад, в багатобарвних графічних зображеннях біт нижніх розрядів в кожному пикселе зображення теж не надто впливає якість всього зображення. Можна сховати зашифроване повідомлення графічний файл, замінюючи молодші біти бітами свого повідомлення. Молодші біти звукових файлів із високим точністю відтворення — ще одне хороше місце для зашифрованих даних. Можна навіть таємно обмінюватися з кимось зашифрованими повідомленнями, відправляючи графічні і звукові файли з такою спрятанной в них информацией.
3.4. Пароли.
Паролі — це секретні ключі. Вони можна застосовувати для аутентифікації користувачів, шифрування даних, і забезпечення безпеки комунікаційних потоків. Kerberos використовує паролі, як секретні ключі на утвердження ідентифікаційних даних клієнти на Kerberos Key Distribution Center.
Через необхідності випадковості в секретних ключах промовці ролі секретних ключів паролі також мають бути секретными.
Найпоширеніший спосіб розкрити пароль — це вибрати легко вгадуваний пароль, а саме порожній пароль, саме слово пароль (password), жаргонні слова чи імена богів, цих діток або свійських тварин. Для зламування через Інтернет пароля, за який взято будь-яке відоме слово, потребує приблизно дві години времени.
Використання по-справжньому випадкових паролів дає набагато кращі результати. Випадковий вибір пароля тільки з 14 символів набору стандартної ASCII-клавиатуры дає безліч з понад 1025 паролей.
Існує чотири рівні паролей:
• низькоякісний публічний пароль.
• публічний пароль середнього якості — короткий, але цілком випадковий пароль довжина цього пароля сім символів, що дозволяє 40-битный діапазон уникальности;
• високоякісний пароль — пароль приватних мереж де клієнту то, можливо заподіяно серйозної шкоди у разі втратипароль довжиною 12 символів, що дозволяє 70-битный діапазон уникальности;
• надзвичайно високоякісний пароль — пароль для шифрування файлів і збереження секретних даних власних комп’ютерах; довжина 14 символів, що дозволяє 84-битный діапазон уникальности.
4. Локальна безпеку Windows 2000 Advanced Server.
Безпека Windows 2000 полягає в аутентифікації користувачів. Проходячи процедуру входу до системи (забезпечуваний процесом WinLogon), користувач ідентифікує себе комп’ютера, після що їй надається доступом до відкритим і забороняється доступом до закритим вам ресурсам.
У Windows 2000 також реалізовані облікові записи груп. Коли облікова запис користувача входить у дисконтну запис групи, встановлені для облікової записи групи дозволу діють також і облікової записи пользователя.
Облікові записи користувачів і груп діють лише з тому комп’ютері під керівництвом Windows 2000, де вони створюються. Ці облікові записи локальны для комп’ютера. Єдиним виключення з цього правила є комп’ютери, що входять до домен і тому приймаючі облікові записи, створені в Active Directory на контролері домену. На кожному комп’ютері під керівництвом Windows 2000 є своя власний список локальних дисконтних записів користувачів і груп. Коли процесу WinLogon (який реєструє користувача у системі й встановлює його обчислювальну середу) потрібно звернутися до бази даних безпеки, він взаємодіє зі Security Accounts Manager (диспетчер дисконтних записів безпеки, SAM), компонентом ОС Windows 2000, який управляє інформацією щодо локальних дисконтних записах. Якщо інформація зберігається локально за комп’ютером під керівництвом Windows 2000, SAM повернеться базі даних (береженої в реєстрі) і передасть інформацію процесу WinLogon. Якщо інформація зберігається не локально SAM запросить контролер домену і поверне підтверджену інформацію реєстрацію (ідентифікатор безпеки, security identifier) процесу WinLogon.
Незалежно джерела аутентифікації, доступ дозволено лише у локального комп’ютера у вигляді Local Security Authority (локальні кошти безпеки, LSA) комп’ютера. При обращаении решти комп’ютерів у мережі, LSA локального комп’ютера передає ідентифікаційні дані користувача LS, А іншого комп’ютера, реалізуючи вхід до системи кожного комп’ютера, з яким він контактує. Щоб самому отримати доступом до іншому комп’ютера, цей комп’ютер має взяти ідентифікаційні дані, надані комп’ютером пользователя.
4.1. Ідентифікатори безопасности.
Принципалы безпеки, такі як користувачі і комп’ютери, представлені у системі ідентифікаторами безпеки (security identifier, SID). SID унікально ідентифікує принципала безпеки всім комп’ютерів домену. Під час створення облікової записи з допомогою оснастки Local Users and Groups (Локальні користувачі і групи), завжди створюється новий SID, навіть якщо використовується таку ж ім'я облікової запису і пароль, як і віддаленій облікової записи. SID залишатиметься з облікової записом протягом всієї її існування. Можна поміняти будь-який інший атрибут облікової записи, включаючи ім'я користувача і пароль, але у звичайних обставинах не можна змінити SID, оскільки цьому створюється нова облікова запись.
Групові облікові записи також мають SID, унікальний ідентифікатор, створюваний під час створення групи. Для ідентифікаторів SID, груп діють самі правила, що у SID дисконтних записей.
Процес WinLogon (частина процесу Local Security Authority) перевіряє ім'я користувача і пароль (чи смарт-карту за відповідного конфігурації), щоб визначити, чи можна дозволити доступу до комп’ютера. Якщо вказаний у діалоговому вікні входу до системи домен є ім'ям локального комп’ютера, LSA перевірить дисконтну запис відповідно до локальним SAM, збереженим в реєстрі. У іншому разі LSA встановить зв’язку з контролером домену і скористається для перевірки справжності даних користувача аутентификацией Kerberos (у разі Windows 2000) чи NLTM (в разі решти версій Windows, включаючи Windows 2000 як Mixed Mode), залежно від ОС клиента.
Якщо ім'я облікової запису і пароль правильні, процес WinLogon coздаст токен доступу. Токен доступу (Acess Token) утворюється з SIDучетной записи користувача, SID груп, до яких належить, облікова запис, і Locally Unique Identifier (локально унікальний; ідентифікатор, LUID), який визначає права користувача і конкретний сеанс входу в систему.
Токен доступу створюється при кожному вашому вході у Windows 2000.
Існують особливі ідентифікатори SID. System SID зарезервований для системних служб, містять System SID токены доступу можуть, обходити всі обмеження безпеки, засновані на дисконтних записах. SID дає системним службам дозволу здійснення тих; дій, які звичайна облікова запис користувача (навіть облікова запис Administrator (Адміністратор)) робити неспроможна. Служби ОС запускаються ядром Windows 2000, а чи не процесом WinLogon, й інші служби отримують System SID від ядра при своєму запуске.
4.2. Доступ до ресурсам.
Потоки (thread, окремі галузі виконання процесу) повинні надавати токен доступу за будь-якої спробі доступу до ресурсу. Потоки отримують токены доступу від батьківських процесів при своєму створенні. Користувальницьке додаток, наприклад, зазвичай одержує свій токен доступу від процесу WinLogon. Процес WinLogon запускається від порушеної користувачем переривання (переривання клавіатури Ctrl+Alt+Del) і може створити новий токен доступу, просячи чи локальний диспетчер дисконтних записів безпеки (SAM), чи Directory Services Agent (агент служб каталогу, DSA) на контролері домену Active Directory.
З цього методу кожен потік, запущений після входу користувача до системи, матиме токен доступу, що становить користувача. Оскільки потоки користувальницького режиму повинні завжди надавати цей токен для доступу до ресурсів, у звичайних обставин немає способу обійти безпеку ресурсів Windows 2000.
Основу безпеки Windows 2000 утворює переміщуваний вхід до системи (mandatory logon). На відміну з інших мережевих систем, користувач нічого неспроможна зробити на Windows 2000, не надавши ім'я облікової записи користувача і пароль. Хоча можна вибрати автоматичний вхід до системи з ідентифікаційними даними, наданими реєстром, вхід до системи при допомоги облікової записи користувача однаково происходит.
Windows 2000 вимагає натискання Ctrl+ALT+Del для входу до системи, і це однією причиною, якими Windows 2000 вважається безпечної системою. Оскільки комп’ютер обробляє натискання Ctrl+ALT+Del як апаратне переривання, фактично немає способу, з якого досвідчений програміст міг би змусити цієї комбінації клавіш робити що-небудь ще, не переписуючи операційну систему.
Оскільки токен доступу передається новому потоку під час його створення, то після входу користувача до системи надалі немає необхідності звертатися для аутентифікації до локальної базі даних SAM чи до Active Directory на контролері домена.
При локальному вході користувача до системи Windows 2000 проходить через такі этапы.
1. Користувач натискає Ctrl +A1t+Del, що викликає апаратне переривання, активизирующее процес WinLogon.
2. Процес WinLogon представляє користувачеві запрошення до входу в систему з полями для імені облікової запису і пароля.
3. Процес WinLogon відправляє ім'я облікової запису і зашифрований пароль локальним засобам безпеки (LSA). Якщо облікова запис локальна при цьому комп’ютера Windows 2000, LSA затребувана диспетчер дисконтних записів безпеки (SAM) локального комп’ютера Windows 2000; й інші разі LSA затребувана контролер домену того домену, куди входить компьютер.
4. Якщо користувач представив допустимі ім'я користувача і пароль, LSA створює токен доступу, у якому SID облікової записи користувача і ідентифікатори SID для груп, куди входить користувач. Токен доступу також одержує LUID, який описаний далі у цій главі розділ «Права чи дозволу». Токен доступу потім передається назад процесу WinLogon.
5. Процес WinLogon передає токен доступу підсистемі Win32 разом із запитом створення процесу входу до системи для пользователя.
6. Процес входу до системи встановлює оточення користувача, включаючи запуск Windows Explorer і відображення фону і значків робочого стола.
4.3. Об'єкти і Разрешения.
Windows 2000 підтримує безпеку щодо різноманітних типів об'єктів, включаючи (але з обмежуючись ними) каталоги, файли, принтери, процеси та мережні загальні папки. Кожен об'єкт надає функції, що визначають дії, які можна виконані при цьому об'єкта, наприклад: відкрити, закрити, читати, записувати, видаляти, запускати, зупиняти, друкувати тощо. д.
Інформація безпеки для об'єкта міститься у дескрипторі безпеки (security descriptor) об'єкта. Дескриптор безпеки полягає з чотирьох частин: власник, група, Discretionary Access Control List (список разграничительного контролю доступу, DASL) і System Acess Control List (системний список контролю доступу, SACL). Windows 2000 використовує ці частини дескриптора безпеки у таких целях:
• власник — цю частину містить SID облікової записи користувачавласника об'єкта. Власник об'єкта може змінити настройки DACL (дозволу) объекта;
• група — цю частину використовується підсистемою POSIX Windows 2000. Файли і каталоги в операційні системи UNIX можуть належати груповий облікової записи, як і і окремої облікової записи користувача. Ця частина містить SID групи цього об'єкта з метою сумісності з POSIX, а також і ідентифікації основний групи для дисконтних записів пользователя;
• Discretionary Access Control List — DACL містить список дисконтних записів користувача і дисконтних записів груп, які мають дозволом на доступом до службам об'єкта. У DACL існує стільки записів контролю доступу, скільки існує дисконтних записів користувачів чи груп, для яких доступом до об'єкту поставили специально;
• System Acess Control List — SACL також має записи управління доступом (АСІ, access control entry), але це записи АСІ йдуть на аудиту, а чи не до розв’язання чи заборони доступу функцій об'єкта. SACL містить стільки записів АСІ, скільки існує дисконтних записів користувачів чи груп, котрим спеціально проводиться аудит.
Кожна запис управління доступом в DACL чи SACL складається з ідентифікатора безпеки, супроводжуваного маскою доступу. Маска доступу (access mask) в DACL визначає ті функції об'єкта, для доступу яких у SID є дозвіл. Спеціальний тип записи контролю доступу, званий що забороняє записом АСІ (deny АСІ), вказує, що все доступом до об'єкту буде заборонено для облікової записи, певної ідентифікатором SID. Що Забороняє АСІ перекриває й інші записи АСІ. Дозвіл No Access (немає доступу) в Windows 2000 реалізовано з допомогою що забороняє записи АСЕ.
Доступ дозволено, якщо токен доступу містить будь-який SID, співпадаючий з дозволом в DACL. Наприклад, якщо окремої облікової записи дозволено доступ для читання і облікова запис користувача дійсних членів груповий облікової записи, якої дозволено доступ на запис, тоді токен доступу при цьому що у систему користувача міститиме обидва SID, і DACL дозволить доступом до об'єкту і читання, і запис. Заборонні записи управління доступом однаково перекривають сумарне дію решти разрешений.
Записи управління доступом в SACL утворюються у той спосіб, як і запис у DACL (вони складаються з SID і маски доступу), але маска доступу в цьому випадку визначає ті функції об'єкта, котрим здійснюватиметься аудит в цій облікової записи.
Чи не в кожного об'єкта є списки DACL чи SACL. Файлова система FAT, наприклад, не записує інформацію безпеки, тому в об'єктів файлів і каталогів, збережених на томі FAT, немає списків DACL і SACL. Коли DACL відсутня, будь-яка облікова запис користувача має доступом всім функцій об'єкта. Не рівнозначно ситуації, коли список DACL об'єкта порожній. І тут жодна облікова запис це не матиме доступу до об'єкту. Коли в об'єкта відсутня SACL, аудит об'єкта невозможен.
Процеси не звертаються безпосередньо до таких об'єктах, як файли, каталоги чи принтери. Операційна система Windows 2000 (саме значна її частина Win32) звертається до об'єктів від імені процесів. Основна мета — зробити програми простіше. Програма зобов’язана знати, як безпосередньо маніпулювати кожним типом об'єкта, він просить звідси операційну систему. Ще однією важливим перевагою, особливо з погляду безпеки, і те, що, оскільки операційна система виконує всі дії для процесів, вони можуть примусово відстежувати безпеку объектов.
Коли процес просить підсистему Win32 виконати дію над об'єктом (наприклад, прочитати файл), підсистема Win32 звіряється з Security Reference Monitor (монітор перевірки на безпечність), щоб пересвідчитися, що має дозволом за проведення дії над об'єктом. Security Reference Monitor порівнює токен доступу процесу з списком DACL об'єктів, звіряючи кожен SID в токене доступу з ідентифікаторами SID в списку DACL Якщо існує запис управління доступом (АСІ) з співпадаючим SID, що містить маску доступу, розрізнювальну дію, немає і АСІ з співпадаючим SID, що містить яка забороняє маску на дію над об'єктом, то Security Reference Monitor дозволяє підсистемі Win32 виконати действие.
Security Reference Monitor також перевіряє, здійснюється чи аудит доступу об'єкта і потрібно чи запис до наукового журналу подій Security Log (Безпека) Windows 2000. Аудит перевіряється точно як і, як і перевірка дозволів, — шляхом порівняння кожного SID в токене доступу з SID кожної записи управління доступом. При виявленні збіги монітор перевіряє, чи належить яке виконує дію (чи функція) до переліченим в масці доступу. Якщо можна і якщо результат перевірки на безпечність за списком SACL збігаються з проведених аудитом (стався відмову у доступі й проводиться аудит відмови від доступі, чи доступ був успішний й проводиться аудит успішного доступу, чи сталися обидва цих події), то цьому випадку подія аудиту записується до наукового журналу событий.
Деякі дії застосовуються немає конкретному об'єкту, а до групи об'єктів чи до всієї операційній системі. Завершення роботи з операційній системою, наприклад, стимулюватиме всі об'єкти у системі. Користувач має мати правами користувача (user rights) реалізації таких действий.
Кошти Local Security Authority включають локально унікальний ідентифікатор (LUID) під час створення токена доступу. LUID описує, який із прав користувача має конкретна облікова запис. Local Security Authority створюють LUID з урахуванням інформації про безпеку базі даних диспетчера безпеки дисконтних записів (для облікової записи локального комп’ютера) чи Active Directory (для облікової записи домену). LUID є об'єднанням прав цій конкретній облікової записи користувача і всіх груп, в які входить ця облікова запись.
Права мають більший пріоритет, ніж дозволу (permissions). Ось чому облікова запис адміністратора може стати власником файла, чий власник видалив всі дозволи на доступ; Administrator (Адміністратор) має право Take Ownership of Files or Other Objects (зміна власника файлів чи інших об'єктів). Операційна система Windows 2000 спочатку перевіряє права користувача і далі (якщо ні права користувача, спеціально який дозволить дію) звіряє записи АСІ, збережені в DACL, з ідентифікаторами SID в токене доступа.
Облікові записи користувача мають право для читання і запис для об'єкта, котрій є власником, навіть тоді того що в того що забороняє записи АСІ. Облікова запис користувача може також змінювати дозволу для належить їй объекта.
5.Файловая система NTFS.
Файлова система NTFS — головний бастіон безпеки Windows 2000. Безпечний комп’ютер під керівництвом Windows 2000 дбає про платформі NTFS, котра утворює основу для постійної безопасности.
LSA дає гарантію, що виконуються програми що неспроможні порушити адресне простір пам’яті одне одного й що це звернення до ядру належним чином авторизовані. Але що завадити програмі замінити програмні файли LSA еквівалентній службою, яка не так? Відповіддю на це запитання є NTFS, і це приклад підкреслює, чому безпечна файлова система — обов’язкова вимога для безпечної операційній системи. Без можливості довіряти файловою системі, яке береже системні файли, не можна довіряти системі, робота якої реалізується у вигляді виконання цих файлов.
Розглянемо випадок проникнення вірусу на комп’ютер з Windows 95. Користувач виконує програму, що містить вірус. Вірус визначає, яка програма запустила поточну програму, і заражає її, в такий спосіб поширюючи себе далі врівень. При наступному запуску цієї програми вірус зробить той самий, і навіть заразить кожну програму, породжену цієї програмою. За кілька циклів вірус пошириться до ключових програм ОС, в такий спосіб заражаючи кожен що здійснюється у ній файл. Розглянемо тепер випадок, коли користувач виконує заражену вірусом програму Windows 2000. Ця програма намагається записати свій вірусний заголовок в explorer. exe, але блокується засобами безпеки файловій системи NTFS, тому що в користувача немає дозволів на запис в explorer.exe. Завдяки NTFS цей тип вірусів моментально зупиняється Windows 2000. Влучаючи до системи деяким вірусам вдається вижити в користувальному режимі (наприклад, макровирусам Word чи хробакам Outlook), але це віруси однаково що неспроможні заразити саму операційну систему — за умови що вірус ні запущено з облікової записом, яка має адміністративним доступом до компьютеру.
NTFS працює, порівнюючи токен доступу користувача з переліком контролю доступу (ACL), що з кожним запрашиваемым файлом, до того, як вирішити користувачеві доступом до цьому файлу. Цей простий механізм не дає несанкціонованим користувачам змінювати операційну систему чи ще щось, чого вони мають спеціального доступа.
За умовчанням Windows 2000 перебуває у стані, предоставляющем повний доступ групі «все» (everyone) для кореня всіх дисків, внаслідок чого всі дозволи, наслідувані створюваними там файлами, також доступні всім. Для отримання будь-якої реальної користь від безпеки файлової системи NTFS для додатків і збережених користувачами файлів необхідно видалити дозвіл, надає повний доступ всім, і замінити його дозволами з певним рівнем безпеки кожної папки на компьютере.
Управління дозволами файлової системи NTFS здійснюється це й працює аналогічна тій; як дозволу встановлювалися попередні роки версіях Windows NT.
У Windows 2000 успадкування обробляється інакше, ніж у Windows NT. У Windows NT успадковані дозволу були просто так само, як в батьківських об'єктів, і були негайно змінені. У Windows 2000, якщо об'єкт успадковує дозволу від що містить об'єкт папки, необхідно зняти прапорець Allow Inheritable Permissions (Переносити наслідувані від батьківського об'єкта врегулювання цей об'єкт), щоб створити копію наслідуваних дозволів і далі змінити існуючі дозволу. Можна створювати нові записи АСІ, не перекриваючи установку безопасности.
5.1. Шифрована файлова система.
Шифрована файлова система (Encrypting File System) — це драйвер файловою системи, який би можливість зашифровувати і розшифровувати файли на льоту. Використовувати службу дуже просто: користувачі встановлюють атрибут шифрування для файла чи каталогу. Служба EFS генерує сертифікат шифрування в фоновому процесі змін і використовує її шифрування заданих файлів. Коли ці файли вимагають драйвером файлової системи NTFS, служба EFS автоматично розшифровує файл надання його драйверу.
Шифрування файлів виглядає як справді чудова можливість, але поточна його реалізація в Windows 2000 має такими дефектами, що EFS здебільшого некорисна, крім, може бути, портативних комп’ютерів. Основна проблема EFS у цьому, що вона працює лише користувачів, що робить її придатної лише для клієнтських комп’ютерів. Сертифікати шифрування для файлів створюються на основі особистості користувача, тому зашифровані файли може бути використані лише тієї облікової записом, що їх створювала. Сертифікати шифрування неможливо знайти призначені груповим об'єктах, тому шифрування неспроможна захистити загальні файли, збережені на сервері. Ця архітектура зажадає обміну закритими ключами через мережу, для такого обміну необхідно встановити зашифрований канал. EFS не дозволить спільне використання зашифрованих файлів, вона розшифровує перед тим, як надавати їх на запит. І це не передбачено. Якби сертифікати шифрування належали групі, зашифрований файл міг бути надано через мережу клієнту у своїй зашифрованому стані перебуває й клієнтський комп’ютер міг би скористатися своєю участю групи, володіючи сертифікатом для розшифровки файла. Kerberos може створювати ключі сеансу для шифрування сертифікатів, щоб зберегти в безпеки під час передачі членам групи. Загальні файли можуть бути досить безпечними, щоб використовувати їх крізь Інтернет без закритого туннеля.
Понад те, втрата сертифіката шифрування — ахіллесова п’ята шифрування — нічого очікувати вельми проблемою. До того часу, поки сертифікат досі існує в будь-якого з п’яти членів групи, цей користувач досі буде мати копією сертифіката для розшифровки файлів. Бо вона реалізована сьогодні, EFS завжди створює ключ для агента відновлення (по вмовчанням це локальний адміністратор), незалежно від цього, хоче користувач чи ні, щоб агент відновлення міг розшифрувати файл.
EFS (як і, як реплікація файлів) — іще одна приклад служби, яка було б по-справжньому чудовою, якби Microsoft реалізувала се належно своїх. У вигляді, у якому вона існує зараз, її зроблено акурат настільки, щоб Microsoft могла стверджувати про наявність в неї шифрування файлової системы.
Поза тим факту, що EFS працює лише окремих користувачів, вона має низку інші проблеми:. сертифікати шифрування за умовчанням зберігаються у реєстрі локального комп’ютера, де можна поновити і використовуватиме розшифровки файлів за комп’ютером. Щоб EFS функціонувала коректно як безпечна служба шифрування, сертифікати мали бути зацікавленими віддалені з локального комп’ютера на фізично безпечний сервер сертифікатів чи експортовано на зйомний носій, який залишається разом із компьютером.
Єдиний спосіб дбати про безпеку локальних сертифікатів EFS — це використовувати аутентификацию з допомогою смарт-карти чискористатися SysKey, хэш-значения, використовуваного для шифрування локальної бази даних дисконтних записів SAM, що містить сертифікат розшифровки EFS, на гнучкий диск або використати бодай його як пароля у час початковій завантаження — і це пароль чи гнучкий диск би мало бути доступні всім, кому потрібно завантажувати комп’ютер;. операції переміщення шляхом перетягування мишею в шифровану папку не приведуть до автоматичному шифруванню файла, оскільки операції переміщення не змінюють атрибутів файла. Операції «вирізати і вставити» змінюють, тому що ви явно видаляєте старий файл і створюєте новий.. зашифровані файли будуть розшифровані, якщо вони переміщені на томи з чудовою від NTFS файловій системою, не підтримує шифрування.. зашифровані файли неможливо знайти зроблено загальними шляхом приміщення у загальну папку. Це обмеження призначено задля збереження файлів в зашифрованому вигляді, загальні файли вирушають через мережу у простій дії текстовому форматі і хто завгодно може їх розшифрувати, маючи у своєму наявності мережевий аналізатор.. багато програм (більшість програм Microsoft Office) під час редагування файлів створюють тимчасові файли або у локальному, або під часовому каталозі. Шифрування для тимчасових файлів слід звичайним правилам: якщо файл створюється в папці, що має встановлено прапор шифрування, тимчасовий файл буде зашифрований. У іншому випадку він нічого очікувати зашифрований і порушить таємність шифрування. печатку утворює ще один певний напрямок випадкової розшифровки: коли друкується зашифрований документ, файл розшифровується вихідним додатком і вирушає до вигляді простого тексту диспетчеру черги друку. Якщо диспетчер друку сконфигурирован те щоб котушка документи (як у більшості випадків), надруковані дані будуть записуватися в файл, що може бути після видалення відновлено для доступу до вашим зашифрованим данным.
Не рекомендується використовувати EFS крім однопользовательских комп’ютерах, які можна інакше фізично захистити. Її простота використання є лише видимістю безпеки, а чи не справжньої безопасностьюEFS можна буде застосовувати для комп’ютерів, схильні до крадіжкам, як-от портативні комп’ютери, які сконфигурированы з шифруванням каталогу буфера друку, тимчасових папок і каталогу My Documents (Мої документы).
6. Мережевий безпеку Windows 2000 Advanced Server.
Мережевий безпеку Windows 2000 полягає в кількох основних службах:
• Active Directory;
• Group Policy;
• Kerberos;
• Share Security;
• IPSec.
Кожна з вони мають працює разом з іншими, створюючи єдине ціле: IPSec визначається груповими політиками, які у Active Directory і може бути сконфигурированы від використання Kerberos для автоматичного обміну закритими ключами. Share Security полягає в ідентифікаційних даних користувача, підтверджених Kerberos з урахуванням хэшированных паролів, які зберігаються Active Directory. Управління політикою безпеки через Active Directory дозволяє адміністраторам створювати політики, які можна автоматично застосовані до всієї организации.
Active Directory перестав бути службою безпеки, а практично всі вбудовані в Windows 2000 механізми безпеки покладаються на Active Directory як у механізм зберігання інформації безпеки, а саме ієрархія доменів, довірчі відносини, ключі криптографії, сертифікати, політики реалізувати основні облікові записи безопасности.
Усі механізми безпеки Windows 2000 інтегровані з Active Directory.
Хоча Active Directory перестав бути службою безпеки, яку можна зробити безпечної: контейнери і об'єкти Active Directory мають списки контролю доступу (ACL), як і файли NTFS. Дозвіл в Active Directory можна використовувати багато в чому аналогічно NTFS. На відміну від дозволів файловій системи NTFS, можна встановлювати дозволу для полів всередині конкретних об'єктів те щоб різні користувачі груп безпеки відчували відповідальність за частини даних объекта.
6.1. Аутентификация Kerberos і безпека домена.
Аутентификация Kerberos розробили Массачусетським технологічним інститутом (Massachusetts Institute of Techology, MIT) для реалізації межкомпьютерной довірчій системи, здатної перевіряти справжність принципалів безпеки (як-от користувач чи комп’ютер) через відкриту небезопасную мережу. Kerberos залежить від аутентифікації, здійснюваної які беруть участь комп’ютерами, чи схоронності даних під час передачі через мережу. Через це Kerberos ідеальна для аутентифікації через Інтернет чи великих сетях.
Kerberos діє і як надійна служба аутентифікації третьої фірми, використовуючи загальні секретні ключі. У Windows 2000 загальний секретний ключ генерується перед входом комп’ютера в домен. Оскільки обидві сторони сеансу Kerberos довіряють KDC, вони довіряють одна одній. Насправді цю довіру реалізовано як безпечний обмін зашифрованими ключами, які підтверджують учасникам взаємодії ідентифікаційні дані інший стороны.
Аутентификация Kerberos працює наступним образом.
1. Клієнт затребувана можливий набір ідентифікаційних даних для даного серверу у KDC, відправляючи запит у простій дії текстовому форматі, у якому ім'я клієнта (идентификатор).
2. KDC шукає секретні ключі, як клієнта, і серверу у своїй базі даних (Active Directory) і це створює квиток (ticket), у якому випадковий ключ сеансу, час KDC, заданий політикою час закінчення, й у залежність від параметрів, будь-яку іншу інформацію, збережену базі даних. Що стосується Windows 2000 у квитку містяться ідентифікатори SID.
3. Квиток зашифровується з допомогою секретного ключа клиента.
4. Складається другий квиток, званий квитком сеансу (session ticket), у якому ключ сеансу і необов’язкові дані аутентифікації, які зашифровуються, так з допомогою секретного ключа сервера.
5. Сполучені квитки передаються назад клієнту. Серверу аутентифікації не потрібно явно перевіряти справжність клієнта, бо лише у якого повноваженнями клієнт може розшифрувати билет.
6. Коли клієнт одержав у своє розпорядження припустимий квиток і ключ сеансу для серверу, він ініціює взаємодія безпосередньо з сервером. І тому клієнт конструює посвідчення (authenticator), що складається з поточного часу, імені клієнта, за бажання — яка від докладання контрольну суму і випадково сгенерированный початковий номер послідовності і/або подключ сеансу, використовувані для вилучення унікального ідентифікатора сеансу для необхідної служби. Посвідчення діють лише однієї спроби не можуть застосовуватися вдруге або використовуватися в атаках відтворення, оскільки вони залежить від поточного часу. Посвідчення шифрується з допомогою ключа сеансу і передається разом із квитком сеансу серверу, яка має запитує служба.
7. Коли сервер отримує квиток від клієнта, він розшифровує квиток сеансу з допомогою загального секретного ключа серверу (якщо є більш одного ключа, потрібний ключ вказується у частині білети у простий текстовій форме).
8. Потім сервер витягує зі квитка ключ сеансу і вдається до її розшифровки посвідчення. Здатність серверу розшифрувати квиток підтверджує, що він був зашифрований з допомогою секретного ключа серверу, відомого лише KDC і наодинці серверу, в такий спосіб, справжність клієнта підтверджується. Посвідчення використовується для гарантії те, що взаємодія недавнє не є атакою з урахуванням повторного запроса.
Квитки можуть повторно використовуватися протягом періоду, що визначається політикою безпеки домену, але з перевищує восьмої години. Клієнти кэшируют свої квитки сеансу в безпечному місці, що у оперативної пам’яті, і знищують їх за завершені терміну действия.
Kerberos скорочує надання квитків, під час першого контакту з клієнтом надаючи квиток сеансу себе як і, як і запрашиваемому серверу. КІС відповідає цей початковий запит — спочатку надаючи квиток сеансу для наступних запитів про квитках, званий Ticket-Granting Ticket (квиток про надання квитків, TGT), і далі — квиток сеансу для цього серверу. TGT усуває потреба у подальшому проведеному Active Directory пошуку клієнта, здійснюючи попередню аутентификацию наступних запитів про квитках точно так само, яким Kerberos здійснює аутентификацию решти запитів. Як людина квиток сеансу, квиток TGT дійсний до закінчення термін дії, який залежить від політики безпеки домена.
Kerberos технічно ділиться на дві служби: службу TGT (єдину службу, що справді здійснює аутентификацию в Active Directory) і службу надання квитків, выдающую квитки сеансів по отриманні припустимого TGT.
6.1.2. Дружні стосунки між доменами.
Kerberos працює через кордону домену (домени в термінології Kerberos називаються сферами (realm), ці терміни эквивалентны).
Ім'я домену, до якого належить принципал безпеки, є частиною імені принципала безпеки. Членство щодо одного дереві Active Directory автоматично створить междоменные ключі Kerberos між батьківським доменоми його дочірніми доменами.
Обмін междоменными ключами реєструє контролери домену одного домену як принципалів безпеки в довіреному домені. Ця проста концепція дає можливість кожному принципалу безпеки в домені отримати квиток сеансу у «чужому КОС.
1. Коли принципал безпеки щодо одного домені хоче звернутися до принципалу безпеки у сусідній домені (одне із доменів батьківський, інший дочірній), він надсилає запит про квитку сеансу своєму локального КОС.
2. КІС визначає, що сервер призначення не в локальному домені, й відповідає клієнту, відправляючи йому квиток напрями (referral ticket), що є квитком сеансу, зашифрований з допомогою междоменного ключа.
3. Клієнт використовує квиток напрями для запиту квитка сеансу безпосередньо в чужого KDC.
4. Чужий KDC розшифровує квиток напрями, оскільки має междоменным ключем, які б, що довірений контролер домену довіряє клієнту (він не надав б ключ направления).
5. Чужий KDC надає квиток сеансу, припустимий для чужого серверу назначения.
Для віддалених доменів той процес просто повторюється. Для доступу до принципалу безпеки в домені, розташованому з відривом двох вузлів в ієрархії доменів Active Directory, клієнт затребувана квиток сеансу для серверу призначення до своєму KDC, що у відповідь пересилає йому квиток напрями ось до чого домену їсти дорогою. Потім клієнт затребувана квиток сеансу, використовуючи хіба що отриманий квиток призначення. Цей сервер просто відповість квитком призначення, допустимим наступного серверу в ланцюжку. Цей процес відбувається триватиме до того часу, поки що не досягнуть локальний домен для принципала безпеки призначення. У цілому цей момент ключ сеансу (технічно — TGT і ключ сеансу) надається запрашивающему клієнту, і потім зможе пройти аутентификацию безпосередньо в принципала безпеки назначения.
Остання важлива концепція в аутентифікації Kerberos — делегування аутентифікації. Делегування аутентифікації (delegation of authentication) — це механізм, з якого принципал безпеки дає можливість іншому принципалу безпеки, з яким має встановлено сеанс, вимагати аутентификацию від імені у третього принципала безпеки. Цей механізм важливий в многозвенных додатках, як-от webвузол із підтримкою бази даних. З допомогою делегування аутентифікації клиент—web-браузер може пройти аутентификацию у web-cepвера і далі надати web-серверу спеціальний квиток TGT, який сервер зможе використовуватиме запиту квитків сеансів від імені, web-сервер зможе потім використовувати передані web-клиентом ідентифікаційні дані для аутентифікації на сервері баз данных.
6.1.3. Групові политики.
Групова політика (Group Policy) — це основний механізм Windows 2000 при управлінні конфігурацією клієнтських робочих станцій контролю за безпекою й у адміністрування. Політики (policy) — це, загалом разі, просто набори змін — у установках комп’ютера за умовчанням. Політики зазвичай організуються те щоб окремі політики містили зміни, реалізують конкретну мету — наприклад, відключення чи включення шифрування файловою системи чи контролю над програмами, які дозволено запускати пользователю.
Групові політики (Group Policies) застосовуються до елементам контейнера Active Directory (таких як домен чи Organizational Unit (Підрозділ)). Групи безпеки можна використовувати для фільтрації групових політик, але політики не можна застосовувати їх до груп безпеки. Групова політика Windows 2000 перестав бути лише механізмом безпеки — її основним призначенням полягає у управлінні змінами і конфігурацією, — але він дозволяє адміністраторам створювати додаткові системи безпеки, обмежуючи свободу дій користувачів. Групові політики можна застосовувати щодо управління такими елементами політик комп’ютера (computer policy):
. настройки реєстру, пов’язані з конфігурацією і що безопасности;
. установка програмного обеспечения;
. сценарії, виконуються при загрузке-завершении праці та входівиході з системы;
. запуск служб;
. дозволу реестра;
. дозволу NTFS;
. політики відкритого ключа;
. політики IPSec;
. настройки системи, сіті й компонентів Windows.
Групові політики можна застосовувати щодо управління такими елементами політик користувача (user policy):
. установка програмного обеспечения;
. настройки Internet Explorer;
. сценарії входу-виходу в систему;
. настройки безопасности;
. Remote Installation Service (служба віддаленій установки);
. перенапрямок папок;
. компоненти Windows;
. настройки стартового меню, панелі завдань, робочого столу и.
Control Panel (Панель управления);
. мережні настройки;
. настройки системы.
Об'єкти груповий політики (Group Policy Objects) сутнісно є настраиваемыми файлами реєстру (і файлами підтримки, такі як пакети .msi і сценарії), определяемыми настройками політики, які завантажуються і застосовуються до які входять у домен клієнтським комп’ютерів при початковій завантаженні комп’ютера (конфігурація комп’ютера) і за вході користувача в систему (конфігурація користувача). Об'єкти груповий політики і всі файли підтримки, необхідні для груповий політики, зберігаються на контроллерах домену у спільній папці SysVol. До одного комп’ютера можна застосовувати кілька групових політик, у своїй кожна політика буде перезаписувати настройки попередньої політики у відповідності зі сценарієм «діє остання застосована» — за умови що певна політика не сконфигурирована те щоб її було перезаписать.
Кожен об'єкт груповий політики із двох галузей: конфігурації комп’ютера та конфігурації користувача. Можна сконфигурировать настроювання й користувача, і комп’ютера щодо одного об'єкті груповий політики, а вікні властивостей політики можна відключити частина об'єкта, що стосується користувачеві чи компьютеру.
Політики комп’ютера застосовують у час стадії роботи системи перед входом користувача до системи (і під час періодичних поновлень). Політики комп’ютера регулюють операційну систему, докладання (включаючи Windows Explorer) і сценарії, виконуються при загрузке-завершении роботи. Що стосується конфлікту політики комп’ютера зазвичай мають переваги з політиків пользователя.
Політики користувача застосовуються по тому, як користувач ввійшов у систему, але до того, як йому дозволять працювати за комп’ютером, а також під час циклу періодичних оновлень. Політики користувача регулюють поведінка ОС, настройки робочого столу, настройки додатків, перенапрямок папок і користувальні сценарії входу-виходу в систему.
Групові політики називаються груповими політиками оскільки вони застосовуються їх до груп користувачів, саме до членів контейнерів Active Directory, як-от домени чи контейнери OU. Групові політики иерархичны за своєю природою: чимало політиків можна буде застосувати одного комп’ютера чи користувачеві, їх застосовують гаразд ієрархії. Крім того, наступні політики можуть перекрити настройки попередніх політик. Це означає, що окремі елементи політики можна деталізувати при переході від застосовуваних до великим групам, таких як домени, політик широкого дії, до узконаправленным політикам, застосовуваним до меншим групам, таких як контейнери OU.
Групові політики конфигурируются наступних рівнях наступного порядке.
Локальний комп’ютер. Групова політика застосовується першої, тому може бути перекрита політикою домену. Кожен комп’ютера існує одна застосовується щодо нього локальна групова політика. Нелокальные групові політики завантажуються з Active Directory залежно від розташування користувача і комп’ютера в Active Directory.
Офіс. Ці групові політики унікальні тим, що вони управляються з оснастки Active Directory Sites and Services (Сайти і). Політики офісів застосовуються до офісах, тому вони мають застосовувати для питань, що з фізичним розташуванням користувачів і комп’ютерів, а чи не з через участь у безпеки домена.
Домен. Групові політики застосовуються всіх користувачів і комп’ютерів в домені, що саме тут слід реалізовувати глобальні політики организации.
Контейнер OU (Organizational Unit). Групові політики застосовуються до які входять у них користувачам і комп’ютерів. Групові політики застосовуються згори донизу (батько, потім нащадок) ієрархії OU.
Група безпеки. Групи безпеки функціонують інакше, ніж справжні контейнери доменів. І тут не визначаються групові політики, застосовувані до групи безпеки, а фільтруються (дозволяються чи забороняються) застосовувані до користувача групові політики з урахуванням входження користувача до груп безопасности.
Групові політики застосовуються лише повністю, не можна вказати, щоб застосовувалася тільки п’яту частину политики.
Одна групова політика можна застосовувати більш як одного контейнера в Active Directory, оскільки групові політики не зберігаються у Active Directory місці їхнього застосування. Зберігається лише посилання об'єкт груповий політики, самі об'єкти насправді зберігаються у реплицируемой загальної папці SysVol на контроллерах домену в домене.
Групова політика домену управляється через оснастку Active Directory Sites and Services для групових політик офісів чи оснастку Active Directory Users and Computers (Користувачі і комп’ютери) всім інших нелокальных групових политик.
Одна політика можна застосовувати до кількох контейнерах Active Directory, хоча ні необхідності явно застосовувати політику про дітей контейнера, якого вже застосована політика, тому що політика буде вже застосована до принципалу безопасности.
6.4. Безпека загальних папок.
Загальні папки (shares) — це каталоги чи томи на робочої станції чи сервері, яких мають доступ інші комп’ютери у мережі. Доступ до загальним теках може або відкритим, або контролюватися дозволами. Загальні папки використовують безпеку рівня загальних папок (share-level security), який управляє дозволами загальних папок, але з конкретних об'єктів всередині папки. Безпека рівня файлів переважає над безпекою рівня загальних папок, а може застосовуватися лише з томах NTFS.
Хоча за допомоги загальних папок можна встановити прийнятну безпеку маленькій мережі, техніка безпеки загальних папок насправді погано масштабується задля забезпечення безпеки великих мереж, і окружений.
Основною причиною для установки мережі — це спільного використання файлів. Будь-який каталог про всяк робочої станції чи сервері у мережі може бути визначений загальний каталог. Хоча загальні папки що немає тим самим рівнем безпеки, як каталоги NTFS на виділеному сервері, Windows 2000 надає простий набір можливостей безпеки для загальних каталогов.
Доступ до загальним теках. На сервері то, можливо сконфигурировано кілька загальних папок — томи повністю, каталоги більш глибоких рівнях, — усі вони бачаться користувачам як список під назвою серверу. Користувачі можуть одержати доступом до папці безпосередньо з ім'ям серверу через значок My Network Places (Моє мережне оточення) і далі відчинити їх, аби прищепити список загальних папок.
Загальні папки за умовчанням. У Shared Folder Manager (диспетчер загальних папок), кілька загальних течок із іменами, що закінчуються знаком долара: З$, ADMIN$ тощо. п. Це адміністративні загальні папки (administrative shares) — загальні папки, автоматично конфигурируемые Windows 2000 і пропонує доступні лише адміністраторів і найбільш ОС. Ці загальні папки йдуть на віддаленого адміністрування і взаємодії між системами.
Адміністративні загальні папки представляють певний ризик, із точки зору безпеки. Хакер, який одержав доступом до облікової записи Administrator в одній робочої станції у робітничій групі, зможе отримати доступом до системним дискам інших робочих станцій, легко одержуючи доступ рівня адміністратора до всієї робочої группе.
Можна підвищити безпеку, відключивши автоматичні адміністративні загальні папки, створені для кореневих каталогів дисків жорсткого диска (З$, 0 $ тощо. д.).
Безпека рівня загальних папок аналогічна безпеки файловою системи, проте негаразд різноманітна (чи безпечна), оскільки записи управління доступом загальних папок можна застосовувати лише у загальної папці як єдиного цілого. Безпека не можна налаштувати всередині загальної папки.
У безпеки рівня загальних папок є одне суттєву енергетичну перевагу: вона із кожним загальним каталогом, перебуває він на томі NTFS чи FAT. Безпека рівня загальних папок — єдиний спосіб забезпечити безпеку каталогів FAT. Проте встановлені дозволу задля спільної папки впливають лише з віддалених користувачів. Користувачі, локально ввійшли до систему комп’ютера, мають доступ всім теках на томі FAT, незалежно від того, загальні чи ні. Безпека рівня загальних папок теж застосовна до користувачам, ввійшов у систему локально, чи клієнтам Terminal Services (служби терминала).
Дозвіл загальних папок. Для загальних папок можливі такі дозволу, кожна з яких то, можливо дозволено чи запрещено:
• Read (Читання) — дозволяє користувачам переглядати вміст каталогу, відкривати й читати файли і запускати программы;
• Change (Зміна) — дозволяє усе, що і дозвіл Read (Читання). Плюс до цього користувачі можуть створювати, видаляти змінювати файлы;
• Full Control (Повний доступ) — дозволяє усе, що та ліквідації Read (Читання) і Change (Зміна). Плюс до цього користувачі можуть змінювати вирішення і змінювати власника файлов.
6.5. Шифрування мережного уровня.
Віртуальні приватні мережі (virtual private network, VPN) це высокозатратный спосіб розширити локальну мережу через Інтернет до віддалених мереж, і віддалених клієнтських комп’ютерів. Мережі VPN користуються Інтернетом для передачі трафіку локальної мережі з однієї приватної мережі до іншої, инкапсулируя трафік локальної мережі в IP-пакеты. Зашифровані пакети не може бути прочитані проміжними комп’ютерами Інтернету й можуть утримувати будь-який вид взаємодій локальної мережі, зокрема доступу до файлам і принтерам, електронної пошти локальної мережі, виклики віддалених процедур і клиент-серверный доступом до баз данных.
Віртуальні приватні мережі між локальними мережами можна встановлювати з допомогою компьютеров-серверов, брандмауэров чи маршрутизаторів. Доступ клієнтів до VPN може здійснюватися з допомогою програмного забезпечення VPN на клієнтських комп’ютерах чи шляхом віддаленого телефонного підключення до постачальникам Інтернетпослуг (ISP), які підтримують протокол VPN. При другому методі, проте, ISP стає вашим партнером безпечно сети.
Лише системи VPN не забезпечують достатньої захисту мережі також знадобиться брандмауэр та інші служби безпеки Інтернету для забезпечення безпеки мережі. Проблеми з безпекою особливо властиві протоколу РРТР.
Використання Інтернету для зв’язку локальних мереж, і надання віддаленим комп’ютерів доступу до локальної мережі тягне у себе проблеми безпеки, продуктивності, надійності і керованості. Клієнти і сервери локальної мережі повинні прагнути бути захищені від Інтернету з допомогою трансляції мережевих адрес, здійснюваної брандмауэром, і/або проксисерверами те щоб (в ідеалі) зловмисники у мережі було неможливо навіть дізнатися про їхнє існування, що знижує їх схильність індивідуальним атакам. Щоб утруднити хакерам можливість захоплення закритою інформації фірми, більшість брандмауэров конфигурируются те щоб не пропускати типові службові протоколи локальної мережі, такі як SMB, NetBIOS, NetWare Core Protocol чи NFS.
SMB працює добре в чистому вигляді через Інтернет. Маючи високошвидкісної канал, можна просто використовувати спільного використання файлів через Інтернет без брандмауэров чи сконфигурировать ваш брандмауэр передачі трафіку 8MB і Kerberos чи NetBIOS і розв’язати віддалений доступом до службам файлів і преси. Це дозволить хакерам вдатися до спроб одержати доступ вашим даним, просто надавши дозволене ім'я облікової запису і пароль чи здійснивши атаку" на протокол й скориставшися його ошибкой.
6.5.1. Технології VPN.
Віртуальні приватні мережі (VPN) вирішують проблеми прямого доступу до серверам через Інтернет з допомогою об'єднання наступних фундаментальних компонентів безопасности:
• IP-инкапсуляция;
• захищена аутентификация;
• шифрування вкладених данных.
Протокол Secure Socket Layer здійснює шифрування вкладених даних без захищеної аутентифікації віддаленого користувача, a Kerberos здійснює захищену аутентификацию без шифрування вкладених данных.
IP-инкапсуляция. У ідеалі, комп’ютери у кожному локальної мережі не мають нічого підозрювати у тому, що з взаємодії з комп’ютерами з інших локальних мереж є щось особливе. Комп’ютери, які входять у вашу віртуальну мережу, нічого не винні матимуть можливість підслуховувати трафік між локальними мережами чи вставляти в комунікаційний потік свої власні данные.
IP-пакет може містити будь-який вид інформації: файли програм, дані електронних таблиць, звукові дані і навіть інші IP-пакеты. Коли IPпакет містить інший IP-пакет, це й називається IP-инкапсуляцией (IP encapsulation), IP поверх IP (IP on IP) чи IP/IP. Можна инкапсулировать один IP-пакет на другий кількома способами; Microsoft робить це двома різними, але пов’язаними способами, певними в протоколах Point-toPoint Tunneling Protocol (РРТР) і Layer 2 Tunneling Protocol (L2TP). Microsoft також підтримує IPSec, якому обов’язково використовувати инкапсуляцию.
IP-инкапсуляция змусить дві віддалені друг від друга мережі виглядати для комп’ютерів мережі сусідніми, відокремленими друг від друга лише одним маршрутизатором, хоча насправді вони розділені багатьма шлюзами і маршрутизаторами Інтернету, які можуть опинитися навіть використовувати одного адресного простору, позаяк обидві внутрішні мережі застосовують трансляцію адресов.
Кінцева точка тунелю, чи це маршрутизатор, пристрій VPN, чи сервер, у якому працює протокол тунелювання, отримає внутрішній пакет, розшифрує його і тоді відправить вкладений пакет його шляхом призначення у внутрішній мережі відповідно до своїми правилами маршрутизации.
Передача даних в з'єднаних за протоколом РРТР локальних мережах починається і закінчується точно як і, як в локальних мережах, з'єднаних через маршрутизатор. IP-пакетам, проте, доводиться проходити більш далеку дорогу, у середині виконується велика робота. З погляду двох клієнтських комп’ютерів у мережі немає значення, як пакет було отримано однієї IP-подсетью одної. Для втягнутих у з'єднання мережевих клієнтських комп’ютерів маршрутизатор означає той самий, як і два RRAS-сервера і РРТР-соединение.
Захищена аутентификация. Захищена аутентификация (cryptographic authentication) використовується для безпечного підтвердження особистості віддаленого користувача, щоб система змогла визначити відповідний цьому користувачеві рівень безпеки. Мережі VPN застосовують захищену аутентификацию у тому, щоб визначити, чи може користувач брати участь у зашифрованому тунелі чи ні, і навіть можуть застосовувати її для обміну секретними чи відкритими ключами, використовуваними для шифрування вкладених данных.
Є багато різних видів захищеної аутентифікації у двох загальних категориях.
• Шифрування з секретним ключем. Також називається шифруванням з загальним секретним ключем (shared secret encryption) чи симетричним шифруванням (symmetric encryption), потрібно було на секретне значення, відоме обом сторонам.
• Шифрування з відкритою ключем. Потрібно Було на обмін односпрямованими ключами (unidirectional keys) — ключами, з допомогою яких можна тільки зашифрувати дані. Оконечные системи тунелю можуть обмінюватися парами відкритих ключів для освіти двунаправленного каналу, чи одержувач під час передачі з відкритою ключем може зашифрувати загальний секретний ключ і переслати його відправнику від використання в майбутніх комунікаціях (оскільки шифрування з секретним ключем швидше, ніж шифрування з відкритою ключом).
Якщо хакер перехопить відкритий ключ (чи ключ для зашифровки), він зможе лише зашифрувати дані і їх одержувачу, але з зможе розшифрувати зміст перехоплених данных.
Шифрування вкладених даних. Шифрування вкладених даних (data payload encryption) використовується приховування змісту инкапсулированных даних при шифруванні инкапсулированных IP-пакетов і передачею даних, й внутрішня соціальність структура приватних мереж зберігається у секреті. Шифрування вкладених даних може здійснюватися з допомогою однієї з криптографічних методів забезпечення безпеки, які різняться залежно від вашого рішення VPN.
6.5.2. IPSec.
IPSec (Internet Protocol Security) це система стандартів IETF для безпечних IP-коммуникаций, покладається на шифрування задля забезпечення справжності й закритості IP-коммуникаций. IPSec забезпечує механізм, з якого можна реалізувати следующее:
• перевіряти справжність окремих IP-пакетов і гарантувати, що не були изменены;
• шифрувати вкладені дані окремих IP-пакетов між двома оконечными системами;
• инкапсулировать TCP чи UDP сокет між двома оконечными системами (хостами) всередині захищеного IP-канала (тунелю), встановленого між проміжними системами (маршрутизаторами) задля забезпечення функціонування віртуальної приватної сети.
IPSec реалізує ці три функції з двох незалежних механізмів: протокол Authentication Headers «(АН) для аутентифікації і протокол Encapsulation Security Payload (ESP) для шифрування частини даних IP-пакета. Ці дві механізму можна застосовувати разом чи з отдельности.
Механізм АН працює, вираховуючи контрольну суму всієї необхідної інформації заголовка TCP/IP і зашифровывая контрольну суму з допомогою секретного ключа одержувача. Одержувач розшифровує контрольну суму з допомогою свого секретного ключа і далі звіряє заголовок з розшифрованої контрольної сумою. Якщо розрахований контрольна сума відрізняється від контрольної суми заголовка, то цьому випадку або вдалася розшифровка через неправильне ключа, або заголовок змінили під час передачі. У кожному разі пакет отбрасывается.
IPSec може діяти у одному з цих двох режимів: транспортному режимі (transport mode), який працює у точності як звичайний IP, за винятком те, що проводиться аутентификация заголовків (АН) і вміст шифрується (ESP), чи туннельном режимі (tunnel mode), в якому IP-пакеты повністю инкапсулируются всередину пакетів АН чи ESP для забезпечення безпечного тунелю. Транспортний режим використовується для забезпечення безпечного чи автентичного взаємодії через відкриті області IP між з'єднаними через Інтернет хостами у різноманітних цілях, у те час як тунельний режим використовується до створення безпечних каналів передачі між маршрутизаторами чи іншими кінцевими точками мережі в цілях зв’язування двох приватних сетей.
Тунельний режим. При звичайному маршрутизируемом поєднанні хост передає IP-пакет своєму шлюзу за умовчанням, який просуває пакет до того часу, що він не досягне шлюзу за умовчанням одержувача, і потім передає його кінцевому хосту. Усі комп’ютери у поєднанні повинні прагнути бути в одному відкритому адресному пространстве.
У IP поверх IP, чи IP/IP, шлюз за умовчанням (або інший маршрутизатор дорогою) отримує пакет і зауважує, що його маршрут при цьому пакета задає тунель IP/IP, й тому він встановлює TCP/IP-соединение з віддаленим шлюзом. З цього сполуки шлюз передає весь IP-трафік хоста-инициатора всередині цього сполуки, замість просувати его.
IPSec реалізує і IP/IP, і IPSec/IP. IP/IP забезпечує незашифрований віртуальний тунель між двома оконечными системами a IPSec/IP застосовує ESP для шифрування вкладених даних несе IP, таким чином зашифровывая весь інкапсульованний IP-пакет.
Internet Key Exchange. IPSec використовує криптографію відкритого ключа для шифрування даних між оконечными системами. Щоб встановити IPSec-соединение з хостом-получателем, передавальний хост повинен знати відкритий ключ цього хоста. Технічно відправник може просто запросити у хоста відкритий ключ, але ці е забезпечить аутентифікації — будь-який хост може запросити ключ і її. Отже працює SSL, справжність комп’ютер; має значення, і SSL потрібно було на якась інша протокол для аутентифікації користувача після установки туннеля.
IPSec використовує концепцію Security Association (безпечна асоціація, SA) до створення поіменованих комбінацій ключів та політики, що використовуються захисту для певної функції. Політика може вказувати певного користувача, IP-адрес хоста або сітьової адресу, аутентификация яких має бути проведена, чи ставити маршрут, де можна було б мати таку информацию.
Internet Key Exchange (IKE) усуває необхідність вручну вводити ключі в системи. IKE використовує безпеку з секретним ключем для своїх повноважень до створення IPSec-соединения й у секретного обміну відкритими ключами. Протокол IKE також здатний погоджувати сумісний набір протоколів шифрування з чужою хостом, так що адміністраторам непотрібно знати, які саме протоколи шифрування підтримуються на хосте з іншого боку. Обмінявшись відкритими ключами і узгодження протоколів шифрування безпечні асоціації автоматично створюються обох хостах і може бути встановлене звичайне IPSecвзаємодія. З використанням IKE у кожний комп’ютер, якій потрібно взаємодія через IPSec, повинен бути запроваджений лише одне секретний ключ. Цей ключ можна використовувати до створення сполуки IPSec із кожним іншим IPSec-хостом, які мають цим самим секретним ключом.
У Windows 2000 можна сконфигурировать політики IPSec від використання Kerberos для автоматичного обміну секретними ключами для IKE Це усуває потреба у ручному введення ключів і дозволяє реалізувати повністю автоматичне безпечне шифрування між членами однієї Active Directory у мережах Windows 2000.
Ініціатор IKE починає IKE-запрос, відправляючи віддаленому хосту запит на з'єднання як простого тексту. Віддалений хост генерує випадкове число, зберігає його копію і відправляє копію назад ініціатору. Ініціатор шифрує свій секретний ключ з допомогою випадкового числа і відправляє його віддаленому хосту. Віддалений хост розшифровує секретний ключ, використовуючи збережене випадкове число, і порівнює закритий ключ зі своїм секретним ключем (чи списком ключів, званому зв’язкою ключів (keyring)). Якщо секретний ключ не збігається ні з однією ключем зі списку, віддалений хост розірве з'єднання. Якщо співпаде, віддалений хост зашифрует свій відкритий ключ з допомогою секретного ключа і доправить його назад ініціатору. Ініціатор потім скористається відкритим ключем для установки сеансу IPSec з віддаленим хостом.
Рис. 6.5.2.1. Приклад роботи Internet Key Exchange.
Реалізація Microsoft IPSec не завершено повністю, оскільки стандарти IPSec досі з’являються. Практичним наслідком цього є те, що реалізація IPSec в Windows 2000 за умовчанням несумісна з реализациями більшості постачальників брандмауэров.
6.5.3. L2TP.
Layer 2 Tunneling Protocol є розширенням протоколу Point-toPoint Protocol (протокол точка-точка, РРР) і дає змогу розподілити кінцеву точку каналу передачі й ставлячи крапку доступу до неї. У традиційному РРР користувач (зазвичай віддалений користувач) встановлює РРР-соединение з сервером віддаленого доступу. Цей сервер відповідає на з'єднання канального рівня (дзвінок через модем) і працює як точка доступу до неї, отримуючи дані, инкапсулированные в РРР-сообщение, і передаючи в мережу призначення. Инкапсулированные дані може бути кадром AppleTalk, IPпакетом, IPX-пакетом, пакетом NetBIOS чи будь-якою іншою пакетом мережного уровня.
У Windows 2000 цю службу називається RRAS.
L2TP відокремлює відповіді дзвінки і маршрутизируемый доступ через мережу При роботу з протоколу L2TP звонящая сторона може додзвонюватися до модемному пулу (чи DSL Access Module, або чомусь ще) й інші устрою можуть просто инкапсулировать отримані пакети L2TP в пакети Frame Relay, ATM чи TCP/IP для подальшої передачі серверу віддаленого доступу. Після досягнення серверу віддаленого доступу вміст пакетів L2TP витягається і вкладені дані передаються в локальну сеть.
L2TP призначений у тому, щоб дати можливість постачальникам послуг Інтернету використовувати менш дороге устаткування, поділяючи функції серверу віддаленого доступу на апаратну функцик (фізичний прийом даних через з'єднання) і програмну функцію (отримання инкапсулированных даних РР-Р), може бути реалізовано різними комп’ютерах. Це дає ряд важливих преимуществ:
• користувачі можуть додзвонюватися до локального модемного пулу який передавати L2TP що знаходиться з великої відстані серверу віддаленого доступу, в такий спосіб уникаючи витрат за дзвінки на велике відстань при такого далекого доступі з прямим дозвоном;
• вкладені дані в L2TP може бути зашифровані з допомогою IPSec задля забезпечення віддаленого доступу з захищеної аутентификацией;
• многоканальные сеанси L2TP можуть фізично оброблятися різними приймачами і коректно зв’язуватися з сервером віддаленого доступу. У нинішній реалізації багатоканальних РРР-соединений все канали би мало бути з'єднані у тому ж сервером віддаленого доступа.
L2TP може використовувати IPSec для шифрування кадрів РРР, такт чином надаючи віддаленим користувачам можливість без небезпечного РРР-сеанса. L2TP спеціально розроблявся надання віддаленому користувачеві можливостей аутентифікації і підключення до віддаленим мереж. Оскільки L2TP є розширенням РРР, будь-який протокол мережного рівня (наприклад, IPX, NetBEUI чи AppleTalk) то, можливо вмонтований всередину L2TP. На противагу цьому, обидва протоколу РРТР і IPSec призначені від використання в IPмережах і працюють із іншими протоколами. Застосування РРР також забезпечує підтримку всіх стандартних протоколів аутентифікації користувача, включаючи CHAP, MS-CHAP і ЕАР.
L2TP використовують у якості своєї транспорту UDP, а чи не TCP/IP, тому що вмонтований протокол РРР може забезпечити необхідну гарантію надійності для потоку L2TP працює через порт 1701 UDP.
6.5.4. РРТР.
РРТР був першою спробою Microsoft надати безпечний віддалений доступ користувачам мережі. Фактично, РРТР створює зашифрований сеанс РРР між хостами TCP/IP. На відміну від L2TP, РРТР діють лише поверх TCP/IP; L2TP може працювати поверх будь-якого транспорту пакетів, включаючи Frame Relay і ATM. РРТР не використовує IPSec для шифрування пакетів, натомість він використовує хэшированный пароль користувача Windows 2000 до створення закритого ключа між клієнтом і віддаленим сервером, який (в версії з 128-битным шифруванням) задіяла випадкове число підвищення стійкості шифрования.
7. Розробка програми визначальною ім'я комп’ютера та його ip-адрес.
1. Постановка завдання й визначення основні цілі программы.
Поставлено завдання скласти програму яка б отримувати ім'я комп’ютера (робочої станції), визначати його ip-адрес у мережі і виводити ці дані на екран. Програма повинна працювати у середовищі Win32, використовувати мінімум ресурсів, вистачити компактній і написаної мовою вищого уровня.
2. Принцип роботи программы.
Для написання програми, був використаний мову програмування макро Асемблер (MASM).
Використовувалися такі бібліотеки: wsock32. lib, user32. lib, kernel32. lib, gdi32.lib.
Після запуску програми (exe файла) вона звертається через АР-функции до динамічним бібліотекам Windows і він здобуває їх необхідні дані, далі через АР-функции виводить отримані дані (ім'я і ip-адрес робочої станції) на екран в стандартному для Windows вікні, вікно фіксованого размера.
Програма скомпільована із включенням makefile (файла складання). makefile вважає, що директорія masm32 перебуває в тому самому накопичувачі і - у кімнаті стандартного instalation позиції. Також є файл використовуваних програмою ресурсов.
Рис. 7.2.1. Зовнішній вид вікна программы.
Выводы.
Безпека — це комплекс заходів, прийнятих запобігання втрати чи розкриття інформацією мережі. Оскільки неможливо абсолютно усунути ймовірність втрати у придатних на роботу системах, певна ступінь ризику неминуча, і безпека системи має базуватися на фундаменті надання доступу лише міцною принципалам безпеки (користувачам чи компьютерам).
Для управління безпекою будь-яку систему должна:
• контролювати доступ;
• ідентифікувати пользователей;
• обмежувати чи вирішувати доступ;
• записувати діяльність пользователей;
• здійснювати закрите взаємодія між системами;
• мінімізувати ризик неправильної конфигурации.
Шифрування, процес приховування повідомлення з допомогою математичного алгоритму (шифру), і найсекретніше значення (ключ), відоме лише легітимним сторонам, утворюють основу всім сучасним комп’ютерної безпеки. Шифрування можна використовувати на утвердження ідентифікаційних даних користувача чи комп’ютера, для перевірки допустимості даних чи приховування вмісту даних при зберіганні чи комунікаційному потоке.
Безпека Windows 2000 полягає в аутентифікації користувачів. Входячи до системи Windows 2000, користувачі підтверджують свою постать здобуття права одержати доступ файлам, програмам й загальним дані серверах. Windows 2000 використовує проникаючу модель безпеки, у якій ідентифікаційні дані користувача перевіряються попри всі діях, виконуваних користувачем за комп’ютером, натомість щоб надавати широкого доступу до комп’ютера по тому, як стався успішний вхід в систему.
Щоб операційна систему було надійної, повинна бути здатної гарантувати, що ні піддавалася несанкціонованим змін І що інформація може зберігатися безпечно від користувачів. Windows 2000 використовує дозволу файлової системи NTFS керувати доступом до файлам, включаючи файли, щоб забезпечити завантаження Windows 2000. Дозвіл можуть бути надані користувачам і групам користувачів кожної функції файловій системи. Файли також може бути зашифровані на диску для гарантії те, що до них нічого очікувати отримано доступ, коли комп’ютер выключен.
Мережевий безпеку Windows 2000 управляється з допомогою Active Directory, яка у ролі репозитария хэшированных паролів Kerberos, групових політик і політик IPSec. Active Directory визначає також стосунки між принципалами безопасности.
Windows 2000 використовує Kerberos для перевірки ідентифікаційних даних користувача через мережу. Kerberos є надійної системою безпеки третьої фірми. Оскільки обидві кінцеві точки у взаємодії довіряють і доверяемы сервером Kerberos, вони довіряють одна одній. Сервери Kerberos можуть довіряти іншим серверам Kerberos, тому можна створити транзитивные довірчі відносини, що дозволяє кінцевим точкам з розділених великим відстанню мереж встановлювати сеанси взаємодії з перевіркою дійсності. Kerberos інтегрований з Active Directory (все контролери домену є центрами Kerberos Key Distribution Center (центрами розподілу ключів Kerberos)), і входження у одне дерево домену автоматично створює транзитивные двосторонні довірчі отношения.
Групові політики застосовуються для установки вимог безпеки і конфігурації комп’ютерів, і дисконтних записів користувачів в домені, офісі чи контейнері OU. Можна застосовувати групові політики керувати практично всі елементами безпеки комп’ютерів, і користувачів. Групові політики управляються з оснастки Active Directory Users and Computers (Користувачі і комп’ютери) чи через оснастку Active Directory Sites and Services (Сайти І службы).
IPSec є стандартом Інтернету задля забезпечення автентичності IPпакетів й у шифрування даних, вкладених у IP-пакеты. IPSec працює зі багатьма різними алгоритмами безпеки і може працювати у звичайному транспортному режимі чи туннельном режимі для эмуляции закритого каналу в відкритої мережі, а саме Интернет.
Безпека в еру Інтернету означає активну блокування сеансів від невідомих комп’ютерів, авторизацію користувачів з урахуванням сертифікатів публічних ключів шифрування, аудиту використання файлів і каталогів, шифрування передачі і запобігання ненавмисного активізації вірусів і троянських коней легітимними пользователями.
Винісши уроки з погано підготовленої Windows NT4, Windows 2000 надає складний набір коштів аутентифікації користувачів, шифрування даних, забезпечення безпечних сполук, блокування несанкціонованого доступу і цілісного управління безпекою. При допомоги набору служб за умовчанням Windows 2000 можна зробити більш безпечної, ніж будь-яку іншу операційну систему масової ринку — в тому числі все версії UNIX чи Linux, — і нею набагато простіше керувати й залучити до безпечному состоянии.
Windows 2000 неспроможна, тим щонайменше, передбачити річ у тому що Microsoft і постачальники програмного забезпечення третіх фірм поки що у центр ставлять простоту використання, а чи не безпеку споживчих продуктах, як-от Internet Explorer, Outlook і Office. В усіх цих програмах є серйозні вади безпечно через їх вбудованих сценарних процесорів, які від адміністраторів мереж неустанної пильності. Windows 2000 може допомогти в виправленні цих проблем, але ще Microsoft у продуктах для кінцевих користувачів не стане приділяти основну увагу безпеки, єдиний засіб запобігти проблеми безпеки у вашому мережі, викликані тими програмами, —це взагалі, їхня не использовать.
В. Олифер М. Олифер. Мережні операційні системи — З. Петербург.: Пітер., — 2003. Марк Джозеф Едвард, Девід Лебланк. Де NT зберігає паролі. — Журнал «Windows 2000 Magazine », -02/1999 Метью Штребе. Windows 2000: проблеми та розв’язання. Спеціальний довідник — С.Петербург.: Пітер., -2002. Андрєєв А. Р. та інших. Microsoft Windows 2000: Server і Professional. Росіяни версії. — BHV, -2001. Грег Тодд. Windows 2000 Datacenter Server //за матеріалами сайту http: internet Кріста Андерсон. Адміністрування дисків в Windows 2000.-Журнал «Windows 2000 Magazine », -03/2000 //за матеріалами сайту http: internet Джеффрі Р. Шапіро. Windows 2000 Server. Біблія користувача — Вільямс, — 2001. Гаррі М. Брелсфорд. Секрети Windows 2000 Server — Вільямс, -2000. Гусєва. Мережі і міжмережеві комунікації. Windows 2000 — Діалог Міфі, — 2002.
Додаток, А Вихідний текст программы.
.386 .model flat, stdcall option casemap: none.
include /masm32/include/windows.inc include /masm32/include/user32.inc include /masm32/include/kernel32.inc include /masm32/include/wsock32.inc include /masm32/include/gdi32.inc includelib /masm32/lib/wsock32.lib includelib /masm32/lib/user32.lib includelib /masm32/lib/kernel32.lib includelib /masm32/lib/gdi32.lib.
WndProc PROTO: DWORD:DWORD:DWORD:DWORD.
.data dlgname db «WINSOCK », 0 szTitle db «Ip Dialog », 0 wsaError db «Error initializing winsock! », 13,10 szName db «Computer Name: %p.s », 0 szFont db «MS Sans Serif », 0.
.data? wsa WSADATA hStatic dd? hFont dd? hInstance dd? buffer db 24 dup (?) buffer2 db 128 dup (?).
.code.
start:
invoke GetModuleHandle, NULL mov hInstance, eax invoke WSAStartup, 101h, addr wsa.
.if eax == NULL invoke DialogBoxParam, hInstance, ADDR dlgname, 0, ADDR WndProc, 0 invoke ExitProcess, 0.
.endif invoke MessageBox, NULL, offset wsaError, offset szTitle, MB_OK + MB_ICONSTOP invoke ExitProcess, 1.
WndProc proc hWin: DWORD, uMsg: DWORD, wParam: DWORD, lParam: DWORD.
.if uMsg == WM_INITDIALOG invoke LoadIcon, hInstance, 101 invoke SendMessage, hWin, WM_SETICON, TRUE, eax invoke GetDlgItem, hWin, 2000 mov hStatic, eax invoke gethostname, offset buffer, sizeof buffer invoke wsprintf, addr buffer2, addr szName, addr buffer invoke SetDlgItemText, hWin, 3000, addr buffer2 invoke gethostbyname, addr buffer mov eax,[eax+12] mov eax,[eax] mov eax,[eax] invoke inet_ntoa, eax invoke SetDlgItemText, hWin, 2000, eax invoke WSACleanup xor eax, eax ret.
.elseif uMsg == WM_CTLCOLORSTATIC mov eax, lParam.
.if eax == hStatic invoke CreateFont, 16,16,0,0,400,0,0,0,OEM_CHARSET,.
OUT_TT_PRECIS, CLIP_DEFAULT_PRECIS,.
DEFAULT_QUALITY, DEFAULT_PITCH or FF_SWISS,.
ADDR szFont mov hFont, eax invoke SelectObject, wParam, hFont invoke GetSysColor, COLOR_MENU invoke SetBkColor, wParam, eax invoke SetTextColor, wParam, Blue invoke GetStockObject, HOLLOW_BRUSH ret.
.endif.
.elseif uMsg == WM_CLOSE invoke DeleteObject, hFont invoke EndDialog, hWin, 0 xor eax, eax ret.
.endif xor eax, eax ret.
WndProc endp end start.
Додаток Б.
Файл складання makefile.
NAME=ip $(NAME).exe: $(NAME).obj $(NAME).res.
masm32binLink /SUBSYSTEM:WINDOWS /LIBPATH:masm32lib $(NAME).obj $(NAME).res $(NAME).res: $(NAME).rc.
masm32binrc $(NAME).rc $(NAME).obj: $(NAME).asm.
masm32binml /з /coff /Cp $(NAME).asm.
Додаток В.
Файл використовуваних ресурсов.
ip.rs.
#include «masm32includeresource.h «.
WINSOCK DIALOG DISCARDABLE 0, 0, 135, 25 STYLE WS_POPUP | WS_CAPTION | WS_SYSMENU CAPTION «Ip Dialog «FONT 8, «MS Sans Serif «BEGIN.
GROUPBOX «&Main », 3000,0,0,135,25.
CTEXT «Static », 2000,4,9,127,12,SS_CENTERIMAGE | SS_SUNKEN END.
101 ICON DISCARDABLE «ico101.ico «.
———————————- Шифрований відкритий ключ.
Випадковий ключ.
Зашифрований секретний ключ Инициирование процедури обміну ключами (IКЕ).