Средства безопасности Windows Server 2003. Реферат. Информационное обеспечение, программирование.
⚡ 👉🏻👉🏻👉🏻 ИНФОРМАЦИЯ ДОСТУПНА ЗДЕСЬ ЖМИТЕ 👈🏻👈🏻👈🏻
Информационное обеспечение, программирование
Вы можете узнать стоимость помощи в написании студенческой работы.
Помощь в написании работы, которую точно примут!
Похожие работы на - Средства безопасности Windows Server 2003
Скачать Скачать документ
Информация о работе Информация о работе
Скачать Скачать документ
Информация о работе Информация о работе
Скачать Скачать документ
Информация о работе Информация о работе
Скачать Скачать документ
Информация о работе Информация о работе
Скачать Скачать документ
Информация о работе Информация о работе
Скачать Скачать документ
Информация о работе Информация о работе
Скачать Скачать документ
Информация о работе Информация о работе
Нужна качественная работа без плагиата?
Не нашел материал для своей работы?
Поможем написать качественную работу Без плагиата!
Государственное
образовательное учреждение
высшего
профессионального образования
Дальневосточный
государственный технический университет
Кафедра конструирования и производства радиоаппаратуры
Средства
безопасности Windows Server 2003
Обеспечение истинности открытых
ключей
Применение алгоритмов шифрования с
открытым ключом в Windows Server 2003
Компоненты Windows Server 2003,
обеспечивающие шифрование
Аутентификация Kerberos в доменах
Active Directory
Использование сертификатов для
обеспечения безопасности
Использование сертификатов в
Интернете
В данной работе
описываются базовые технологии безопасности, обеспечивающие защиту сетей и
доменов Windows Server 2003. Большое внимание уделяется шифрованию с открытыми
ключами, поскольку оно лежит в основе многих решений, примененных как внутри
самой операционной системы, так и используемых ею в сетевых взаимодействиях. Рассмотрим
сначала некоторые общие понятия и термины, относящиеся к защите данных и
методам шифрования, без которых невозможно описывать средства безопасности
Windows Server 2003.
·
Аутентификация
(проверка подлинности). Это процесс надежного определения подлинности
поддерживающих связь компьютеров. Аутентификация основана на методах
криптографии, и это гарантирует, что нападающий или прослушивающий сеть не
сможет получить информацию, необходимую для рассекречивания пользователя или
другого объекта. Аутентификация позволяет поддерживающему связь объекту
доказать свое тождество другому объекту без пересылки незащищенных данных по
сети. Без "сильной" (strong) аутентификации и поддержания целостности
данных любые данные и компьютер, который их послал, являются подозрительными.
·
Целостность
(integrity). Правильность данных, т. е. их неизменность по сравнению с
первоначально посланными. Службы, поддерживающие целостность, защищают данные
от несанкционированного изменения по пути их следования.
·
Конфиденциальность
(privacy). Гарантия того, что данные будут раскрыты только тем получателем,
которому они были предназначены. Это свойство не является обязательным.
·
Предотвращение
повторного использования (anti-replay). Предотвращение повторного использования
гарантирует, что каждая посланная IP-датаграмма (IP-пакет) отличается от любой
другой, чтобы помочь предотвратить атаки, в которых сообщение прерывается и
сохраняется атакующим, а затем многократно используется им позже для
организации попытки нелегального доступа к информации.
Криптография — это наука
о защите данных. Алгоритмы криптографии с помощью математических методов
комбинируют входной открытый текст и ключ шифрования, в результате чего
получаются зашифрованные данные. Применение криптографии обеспечивает надежную
передачу данных и предотвращение их получение несанкционированной стороной.
Применяя хороший алгоритм шифрования, можно сделать практически невозможным, с
точки зрения необходимых вычислительных и временных ресурсов, взлом защиты и
получение открытого текста подбором ключа. Для быстрого выполнения подобного
преобразования необходим расшифровывающий ключ.
В традиционном шифровании
с секретным ключом (secret key) (симметричное шифрование) зашифровывающий и
расшифровывающий ключи совпадают. Стороны, обменивающиеся зашифрованными
данными, должны знать общий секретный ключ. Процесс обмена информацией о
секретном ключе представляет собой брешь в безопасности вычислительной системы.
Фундаментальное отличие
шифрования с открытым ключом (асимметричное шифрование) заключается в том, что
зашифровывающий и расшифровывающий ключи не совпадают. Шифрование информации
является односторонним процессом: открытые данные шифруются с помощью
зашифровывающего ключа, однако с помощью того же ключа нельзя осуществить
обратное преобразование и получить открытые данные. Для этого необходим
расшифровывающий ключ, который связан с зашифровывающим ключом, но не совпадает
с ним. Подобная технология шифрования предполагает, что каждый пользователь
имеет в своем распоряжении пару ключей — открытый ключ (public key) и личный
или закрытый ключ (private key). Свободно распространяя открытый ключ, вы даете
возможность другим пользователям посылать вам зашифрованные данные, которые
могут быть расшифрованы с помощью известного только вам личного ключа.
Аналогично, с помощью личного ключа вы можете преобразовать данные так, чтобы
другая сторона убедилась в том, что информация пришла именно от вас. Эта
возможность применяется при работе с цифровыми или электронными подписями.
Шифрование с открытым ключом имеет все возможности шифрования с закрытым
ключом, но может проходить медленнее из-за необходимости генерировать два ключа.
Однако этот метод безопаснее.
Появление пары
"личный ключ/открытый ключ" привело к возникновению нескольких новых
технологий, наиболее важными из которых являются цифровые подписи,
распределенная аутентификация, соглашение о секретном ключе, достигаемое с
применением открытого ключа, и шифрование больших объемов данных без
предварительного соглашения о секретном ключе.
Существует несколько
хорошо известных алгоритмов шифрования с открытым ключом. Некоторые из них,
например RSA (Rivest-Shamir-Adelman) и шифрование с помощью эллиптической
кривой (Elliptic Curve Criptography, ECC), являются алгоритмами общего
употребления в том смысле, что они поддерживают все упомянутые выше операции.
Другие алгоритмы поддерживают только некоторые операции. К ним относятся: алгоритм
цифровой подписи (Digital Signature Algorithm, DSA), используемый только для
работы с цифровыми подписями, и алгоритм Diffie-Hellman (D-H), применяемый
только для соглашений о секретных ключах. Алгоритмы шифрования, используемые
безопасностью IP (IP Security), подробнее описаны в данной главе в разд.
"Безопасность IP".
Ниже кратко рассмотрены
основные области применения шифрования с открытым ключом.
Наверное,
наиболее ярким проявлением всех преимуществ шифрования с открытым ключом
является технология цифровых или электронных подписей. Она основана на
математическом преобразовании, комбинирующем данные с секретным ключом таким
образом, что:
·
только владелец
секретного ключа может создать цифровую подпись;
·
любой
пользователь, обладающий соответствующим открытым ключом, может проверить
истинность цифровой подписи;
·
любая
модификация подписанных данных (даже изменение одного бита) делает неверной
цифровую подпись.
Цифровые
подписи гарантируют целостность (integrity) и подлинность (nonrepudiation)
данных. Когда данные распространяются открытым текстом (без шифрования),
получатели должны иметь возможность проверки, что данные в сообщении не были
изменены. Добавление подписи не изменяет содержания данных: в этом случае
генерируется цифровая подпись, которая может быть связана с данными или
передаваться отдельно. Для выполнения этой операции клиентская программа
создает дайджест, снимок данных, используя метод хэширования (например, MDS).
Программа использует ваш личный ключ для шифрования дайджеста и подписывает
данные или сообщение с помощью вашего сертификата, добавляя ваш открытый ключ.
Соответствующая программа адресата сообщения использует открытый ключ для
расшифровки дайджеста, затем использует тот же алгоритм хэширования для
создания другого дайджеста данных. Данная программа затем сравнивает два
дайджеста сообщений. Если они идентичны, то подтверждаются целостность и
подлинность данных сообщения.
Шифрование с
открытым ключом применяется для создания надежной службы распределенной
аутентификации, гарантирующей, что данные пришли получателю от истинного
корреспондента. Соглашение о секретном ключе, достигаемое с
помощью открытого ключа. Шифрование
с открытым ключом позволяет двум сторонам, используя открытый ключ в
незащищенной сети, договориться о секретном ключе. Обе стороны посылают друг
другу половины секретного ключа, зашифрованного соответствующими открытыми
ключами. Каждая из сторон получает возможность расшифровать полученную половину
секретного ключа и на ее основе, с учетом своей половины ключа, получить весь
секретный ключ.
При шифровании с открытым
ключом жизненно важна абсолютно достоверная ассоциация открытого ключа и
передавшей его стороны, поскольку в обратном случае возможна подмена открытого
ключа и осуществление несанкционированного доступа к передаваемым зашифрованным
данным. Необходим механизм, гарантирующий достоверность корреспондента, например,
применение сертификата, созданного авторизованным генератором сертификатов.
Сертификат —
это средство, позволяющее гарантированно установить связь между переданным
открытым ключом и передавшей его стороной, владеющей соответствующим личным
ключом. Сертификат представляет собой набор данных, зашифрованных с помощью
цифровой, или электронной, подписи. Информация сертификата подтверждает
истинность открытого ключа и владельца соответствующего личного ключа.
Обычно
сертификаты содержат дополнительную информацию, позволяющую идентифицировать
владельца личного ключа, соответствующего данному открытому ключу. Сертификат
должен быть подписан авторизованным генератором сертификатов.
Наиболее
распространенным на данный момент стандартом сертификатов является ITU-T X.509.
Эта фундаментальная технология применяется в Windows 2000 и Windows Server
2003. Однако это не единственная форма сертификатов.
Центр
сертификации (ЦС), или поставщик сертификатов (Certificate Authority, CA), —
это организация или служба, создающая сертификаты. ЦС выступает в качестве
гаранта истинности связи между открытым ключом субъекта и идентифицирующей этот
субъект информацией, содержащейся в сертификате. Различные ЦС могут применять
для проверки связи различные средства, поэтому перед выбором достойного доверия
ЦС важно хорошо понять политику данного ЦС и применяемые им процедуры проверки.
Операционные системы
Windows 2000 и Windows Server 2003 обладают развитыми средствами шифрования
данных с открытым ключом. На данный момент эти системы располагают
интегрированным набором служб и инструментов администрирования, предназначенных
для создания, реализации и управления приложениями, использующими алгоритмы
шифрования с открытым ключом. Это позволит независимым разработчикам
программного обеспечения интенсивно применять в своих продуктах технологию
общего ключа (shared key).
На рис. 1 схематично
показана логическая взаимосвязь средств Windows 2000, позволяющих применять
шифрование с открытым ключом.
Изображенные на рис. 1
средства необязательно должны размещаться на отдельных компьютерах. Несколько
служб могут эффективно работать на одном компьютере. Ключевое звено схемы —
службы сертификатов Microsoft (Microsoft Certificate Services). Они позволяют
создать один или несколько ЦС предприятия, поддерживающих создание и отзыв
сертификатов. Они интегрированы в Active Directory, где хранится информация о
политике ЦС и их местоположении. Кроме того, с помощью Active Directory
выполняется публикация информации о сертификатах и их отзыве. Средства работы с
открытым ключом не заменяют существующих механизмов доверительных отношений
между доменами и аутентификации, реализованных с помощью контроллеров доменов и
центров распространения ключей Kerberos (Key Distribution Center, KDC).
Напротив, данные средства взаимодействуют с этими службами, что позволяет
приложениям безопасно передавать конфиденциальную информацию через Интернет и
корпоративным глобальным каналам.
Рисунок.1. Взаимосвязь средств Windows 2000 и Windows Server 2003,
предназначенных для работы с открытым ключом
Поддержка
прикладных средств шифрования информации с открытым ключом включена в состав
программного обеспечения всех операционных систем Windows. Основой архитектуры
поддержки прикладных программ шифрования информации с открытым ключом является
библиотека CryptoAPI. Она позволяет работать со всеми устанавливаемыми
поставщиками услуг шифрования (Cryptographic Service Providers, CSP) через
стандартный интерфейс. CSP могут быть реализованы на программном уровне или с
помощью специального оборудования. Они поддерживают различные длины ключей и
алгоритмы шифрования. Один из CSP поддерживает смарт-карты. Услугами служб
шифрования пользуются службы управления сертификатами. Они соответствуют
стандарту Х.509 v3 и позволяют организовывать принудительное хранение, службы
подсчета и дешифрования. Кроме того, эти службы предназначены для работы с
различными отраслевыми стандартами сообщений. В основном они поддерживают
стандарты PKCS и разработанный в IETF (Internet Engineering Task Force) набор
предварительных стандартов PKIX (Public Key Infrastructure, X.509). Остальные службы
используют CryptoAPI для придания дополнительной функциональности прикладным
программам. Защищенный канал (Secure Channel) поддерживает сетевую
аутентификацию и шифрование в соответствии со стандартными протоколами TLS и
SSL, обращение к которым может быть выполнено с помощью интерфейсов Microsoft
Winlnet и SSPI. Служба Authenticode предназначена для проверки и подписи
объектов и в основном используется при получении информации через Интернет.
·
процесс
регистрации и обновления сертификатов;
·
регистрация в
системе с помощью смарт-карты.
Протокол аутентификации
Kerberos является основным механизмом аутентификации, используемым в среде
Windows 2000/Server 2003. Этот протокол был разработан в Массачусетском технологическом
институте (Massachusetts Institute of Technology, MIT) в начале 1980-х гг.
Существует несколько версий протокола Kerberos. В среде Windows 2000/Server
2003 применяется пятая версия протокола Kerberos, спецификация которого
определена в стандарте RFC 1510.
Проблема аутентификации
пользователя заключается в необходимости проверки того факта, что он является
тем, за кого себя выдает. Наука знает множество различных способов проверки
подлинности личности, которые упрощенно можно разделить на две группы:
·
проверка
личности на факт соответствия некоторым индивидуальным характеристикам человека
(проверка отпечатков пальцев, снимков радужки глаза, код ДНК и т. д.). Для
применения этой группы методов аутентификации необходимо задействовать
специальное оборудование;
·
проверка
личности на факт знания некоторого секрета (пароли, цифровые комбинации и
последовательности). В данном случае под секретом понимается некая символьная
или цифровая последовательность, факт знания которой позволяет судить о
подлинности пользователя. Указанные методы аутентификации наиболее просты в
технологическом исполнении. Именно эти методы получили широкое распространение
в современных операционных системах. Протокол аутентификации Kerberos также
относится к этой группе методов.
При
реализации метода аутентификации, базирующегося на проверке факта знания
некоторого секрета, необходимо решить следующие вопросы:
·
каким образом
клиент будет получать информацию о секрете?
·
каким образом
клиент будет предоставлять серверу аутентификации информацию о своих
полномочиях?
·
каким образом
клиент будет проверять полномочия сервера?
·
каким образом
сервер сможет убедиться в том, что полномочия, предоставленные клиентом,
подлинные?
·
каким образом
будет обеспечиваться безопасность взаимодействия сервера и клиента в ходе
проверки полномочий?
·
каким образом
будет исключаться возможность использования перехваченных пакетов?
В процедуре
аутентификации участвуют три стороны;
·
клиент,
запрашивающий соединение и предоставляющий сведения о своих полномочиях. В
качестве клиента может рассматриваться любой субъект системы безопасности.
Клиент может подключаться к неограниченному числу различных серверов, используя
для аутентификации один "секрет";
·
сервер,
предоставляющий доступ к ресурсу и проверяющий полномочия клиента. К серверу
может подключаться неограниченное количество клиентов, каждый из которых
предоставляет информацию о собственном "секрете";
·
сервер, хранящий
информацию о секретах всех клиентов. В терминологии Kerberos этот сервер
получил название Центра распределения ключей (Key Distribution Center, KDC).
Центр распределения ключей берет на себя роль посредника между серверами и их
клиентами. Каждое подключение должно иметь уникальный секрет, поскольку к
любому серверу может обращаться произвольное число пользователей. Центр
распределения ключей решает эту задачу, обеспечивая каждое подобное подключение
собственным уникальным секретом, известным только клиенту и серверу.
Протокол
Kerberos представляет собой набор методов идентификации и проверки истинности
партнеров по обмену информацией (рабочих станций, пользователей или серверов) в
открытой (незащищенной) сети. Процесс идентификации не зависит от
аутентификации, выполняемой сетевой операционной системой, не основывается в
принятии решений на адресах хостов и не предполагает обязательную организацию
физической безопасности всех хостов сети. Кроме того, допускается, что пакеты
информации, передаваемые по сети, могут быть изменены, прочитаны и переданы в
любой момент времени. Следует, однако, отметить, что большинство приложений
использует функции протокола Kerberos только при создании сеансов передачи
потоков информации. При этом предполагается, что последующее несанкционированное
разрушение потока данных невозможно. Поэтому применяется прямое доверие,
основанное на адресе хоста. Kerberos выполняет аутентификацию как доверенная
служба третьей стороны, используя шифрование с помощью общего секретного ключа
(shared secret key).
Аутентификация
выполняется следующим образом: 1. Клиент посылает запрос серверу аутентификации
(Authentication Server, AS) на информацию, однозначно идентифицирующую
некоторый нужный клиенту сервер. 2. Сервер AS передает требуемую информацию,
зашифрованную с помощью известного пользователю ключа. Переданная информация
состоит из билета сервера и временного ключа, предназначенного для шифрования
(часто называемого ключом сеанса). 3. Клиент пересылает серверу билет,
содержащий идентификатор клиента и ключ сеанса, зашифрованные с помощью ключа,
известного серверу. 4. Теперь ключ сеанса известен и клиенту, и серверу. Он
может быть использован для аутентификации клиента, а также для аутентификации
сервера. Ключ сеанса можно применять для шифрования передаваемой в сеансе
информации или для взаимного обмена ключами подсеанса, предназначенными для
шифрования последующей передаваемой информации. Протокол Kerberos функционирует
на одном или нескольких серверах аутентификации, работающих на физически
защищенном хосте. Серверы аутентификации ведут базы данных партнеров по обмену
информацией в сети (пользователей, серверов и т. д.) и их секретных ключей.
Программный код, обеспечивающий функционирование самого протокола и шифрование
данных, находится в специальных библиотеках. Для того чтобы выполнять
аутентификацию Kerberos для своих транзакций, приложения должны сделать
несколько обращений к библиотекам Kerberos. Процесс аутентификации состоит из
обмена необходимыми сообщениями с сервером аутентификации Kerberos.
Протокол
Kerberos состоит из нескольких субпротоколов (или протоколов обмена
сообщениями). Существует два метода, которыми клиент может запросить у сервера
Kerberos информацию, идентифицирующую определенный сервер. Первый способ
предполагает, что клиент посылает AS простой текстовый запрос билета для
конкретного сервера, а в ответ получает данные, зашифрованные с помощью своего
секретного ключа. Как правило, в данном случае клиент посылает запрос на билет,
позволяющий получить билет (Ticket Granting Ticket, TGT), который в дальнейшем
используется для работы с выдающим билеты сервером (Ticket Granting Server,
TGS). Второй способ предполагает, что клиент посылает TGT-билеты на TGS-сервер
так же, как будто он обменивается информацией с другим сервером приложений, требующим
аутентификации Kerberos.
Информация,
идентифицирующая сервер, может быть использована для идентификации партнеров по
транзакции, что позволит гарантировать целостность передаваемых между ними
сообщений или сохранить в секрете передаваемую информацию.
Для
идентификации партнеров по транзакции клиент посылает билет на сервер.
Поскольку посылаемый билет "открыт" (некоторые его части зашифрованы,
но они не помешают выполнить посылку копии) и может быть перехвачен и
использован злоумышленником, для подтверждения истинности партнера, пославшего
билет, передается дополнительная информация, называемая аутентификатором. Она
зашифрована с помощью ключа сеанса и содержит отсчет времени, подтверждающий,
что сообщение было сгенерировано недавно и не является копией оригинальной
посылки. Шифрование аутентификатора с помощью ключа сеанса доказывает, что
информация была передана истинным партнером по обмену данными. Поскольку, кроме
запрашивающего партнера и сервера, никто не знает ключ сеанса (он никогда не
посылается по сети в открытом виде), с его помощью можно полностью
гарантировать истинность партнера.
Целостность
сообщений, которыми обмениваются партнеры, гарантируется с помощью ключа сеанса
(передается в билете и содержится в информации идентификации партнера). Этот
подход позволяет обнаружить атаки типа посылки злоумышленником перехваченной
копии запроса и модификации потока данных. Это достигается генерированием и
пересылкой контрольной суммы (хэш-функции) сообщения клиента, зашифрованной с
помощью ключа сеанса. Безопасность и целостность сообщений, которыми
обмениваются партнеры, может быть обеспечена шифрованием передаваемых данных с
помощью ключа сеанса, передаваемого в билете и содержащегося в информации
идентификации партнера.
Описанная
выше аутентификация требует доступа на чтение к базе данных Kerberos. Однако
иногда записи базы данных могут быть модифицированы. Это происходит, например,
при добавлении новых партнеров по обмену информацией или при изменении
секретного ключа партнера. Изменения базы данных выполняются с помощью
специального протокола обмена между клиентом и сервером Kerberos, применяющимся
и при поддержке нескольких копий баз данных Kerberos.
Для
нормальной работы протокола Kerberos необходимо, чтобы каждый хост сети имел
часы, которые были приблизительно синхронизированы с часами других хостов.
Синхронизация необходима, чтобы было легче обнаружить факт передачи копии
заранее перехваченного сообщения. Степень приблизительности синхронизации может
быть установлена индивидуально для каждого сервера. Сам протокол синхронизации
серверов сети должен быть защищен от атак злоумышленников.
По мере роста и
усложнения компьютерных сетей предприятия, построенных на основе систем
Windows, становится необходимым применение протокола, обеспечивающего более
совершенную и надежную аутентификацию пользователей при доступе к
распределенным ресурсам. В операционных системах Windows 2000 для этих целей
начат применяться протокол аутентификации Kerberos версии 5, входящий в систему
безопасности доменов Windows 2000, тесно интегрированную с Active Directory.
Реализация протокола Kerberos версии 5 в Windows 2000 основана на RFC 1510.
Этот документ широко обсуждался и корректировался многими организациями,
работающими в области создания и применения защищенных средств передачи
информации по компьютерным сетям. Аутентификация Kerberos полностью отвечает
требованиям к протоколам подобного назначения и позволяет создать
высокопроизводительную и защищенную сеть предприятия. Программное обеспечение
Kerberos, созданное Microsoft, поддерживает всех клиентов, удовлетворяющих RFC
1510. Однако полную поддержку сетей Windows 2000 осуществляет только клиент
Kerberos, разработанный Microsoft, поскольку версия Kerberos Microsoft обладает
рядом расширений.
Системы Windows Server
2003 в полной мере используют все средства распределенной безопасности,
внедренные в Windows 2000. Протокол Kerberos интегрирован в существующую модель
распределенной безопасности Windows 2000/Server 2003. В этих системах
используются расширения протокола Kerberos — так же, как и другие архитектуры
безопасности, например ОСЕ и SESAME. Протокол Kerberos — один из протоколов
безопасности, поддерживаемых Windows 2000/Server 2003. Кроме него,
поддерживаются протоколы NTLM для совместимости с предыдущими версиями, SSL и
стандарт IETF безопасности транспортного уровня. В качестве механизма
безопасности применяется протокол защищенных переговоров (Simple Protected
Negotiation, SPNEGO). Для обеспечения безопасности передачи данных на сетевом
уровне применяется технология IP Security (IPSec).
Модель распределенной безопасности Windows Server 2003
Модель
распределенной безопасности Windows Server 2003 основана на трех основных концепциях.
·
Каждая рабочая
станция и сервер имеют прямой доверенный путь (trust path) к контроллеру
домена, членом которого является данная машина. Доверенный путь устанавливается
службой NetLogon с помощью аутентифицированного соединения RPC с контроллером
домена. Защищенный канал устанавливается и с другими доменами с помощью
междоменных доверительных отношений. Этот канал используется для проверки
информации безопасности, включая идентификаторы безопасности (Security
Identifiers, SID) пользователей и групп.
·
Перед
выполнением запрошенных клиентом операций сетевые службы имперсонализируют
контекст безопасности этого клиента. Имперсонализация основана на маркере
адреса безопасности, созданном локальным администратором безопасности (Local
Security Authority, LSA). Он представляет собой авторизацию клиента на сервере.
Поток, находящийся на сервере и соответствующий данному клиенту,
имперсонализирует контекст безопасности клиента и выполняет операции в
соответствии с авторизацией данного клиента, а не в соответствии с
идентификатором безопасности сервера. Имперсонализация поддерживается всеми
службами Windows Server 2003, включая, например, службу удаленного файлового
сервера CIFS/SNB. Аутентифицированный RPC и DCOM поддерживают имперсонализацию
для распределенных приложений. Серверы семейства BackOffice: Exchange Server,
SNA Server и Internet Information Server также поддерживают имперсонализацию.
·
Ядро Windows
Server 2003 поддерживает объектно-ориентированное управление доступом,
сравнивая SID в маркере доступа с правами доступа, определенными в списке
управления доступом данного объекта. Каждый объект Windows Sewer 2003 (ключи
реестра, файлы и каталоги NTFS, общие ресурсы, объекты ядра, очереди печати и
т. д.) имеют собственные списки управления доступом. Ядро Windows Server 2003
проверяет разрешения при каждой попытке доступа к данному объекту. Управление
доступом и аудит осуществляются с помощью настройки свойств безопасности
объекта, позволяющих предоставить пользователю или группе доступ к объекту. Управление
авторизацией выполняется централизованно посредством включения пользователей в
локальные группы системы, которым предоставлены необходимые права доступа. В
операционной системе Windows Server 2003 существуют дополнительные средства
обеспечения безопасности — аутентификация клиента с помощью открытого ключа
посредством SSL/TLS и протокола Kerberos версии 5, которые интегрированы в
систему безопасности.
Интегрированная аутентификация Kerberos
В Windows
Server 2003 аутентификация Kerberos реализована на уровне доменов, что
позволяет выполнять одну регистрацию в системе при доступе ко всем ресурсам
сети и поддерживать модель распределенной безопасности Windows Server 2003. На
любом участке дерева доменов Active Directory протокол Kerberos обеспечивает
взаимную аутентификацию, ускоренную аутентификацию и транзитное доверие на
аутентификацию. Аутентификация Kerberos в Windows Server 2003 используется для
выполнения интерактивной регистрации пользователя в домене. Расширение
стандартной аутентификации Kerberos для применения открытого ключа позволяет
применять регистрацию в Windows Server 2003 с помощью смарт-карты. Протокол
Kerberos реачизован в виде поставщика безопасности, доступ к которому
осуществляется с применением интерфейса поддержки поставщика безопасности
(Security Support Provider Interface, SSPI).
Поставщик
безопасности Kerberos используется клиентом и сервером SMB (Server Message
Block). Он также доступен для DCOM, авторизованного RPC и любого протокола,
использующего SSPI для обеспечения безопасности информации, передаваемой по
сети. SSPI — это интерфейс безопасности Win32, который существует в составе
Windows NT, начиная с версии 3.5. Он также поддерживается в Windows 95/98. В
SSPI применяются те же архитектурные концепции, что и в наборе программных
вызовов общих служб безопасности (Generic Security Services API, GSS-API),
соответствующих RFC 1964. SSPI позволяет освободить приложения от
непосредственного взаимодействия с протоколами сетевой безопасности. В системах
Windows 2000 и Windows Server 2003 реализован Центр распространения ключей
Kerberos (Kerberos Key Distribution Center, KDC). На каждом контроллере домена
помимо службы Active Directory имеется служба KDC, выполняющаяся вместе с
Active Directory как процесс в привилегированном режиме. Оба процесса
осуществляют управление жизненно важной информацией, включая пароли учетных
записей пользователей. Active Directory выполняет автоматическую репликацию
служебной информации на всех контроллерах дом
Похожие работы на - Средства безопасности Windows Server 2003 Реферат. Информационное обеспечение, программирование.
Реферат по теме Виховання учнів у науковій літературі
Веками Днепр Песков Сочинение
Реферат: Организация государственных учреждений. Скачать бесплатно и без регистрации
Дипломная работа по теме Отношения Украина-НАТО
Реферат по теме Налог на прибыль и на добавленную стоимость
Дипломная работа по теме Hормирование труда на предприятии в рыночных условиях
Бег Продолжительный Реферат
Курсовая работа по теме Анализ хозяйственно-финансовой деятельности ФГУП учхоза 'Пригородное'
Доклад по теме Болезни эндокринной системы у птиц
Реферат На Тему Свойства И Применение Железа
Реферат: Газоснабжение района города Челябинск
Контрольная Работа По Произведениям Лермонтова 6 Класс
Доклад: Самойлов Д.С.
Учет Договоров Курсовая
Третье Направление Итогового Сочинения
Курсовая работа: Емкость резкого p-n перехода
Контрольная работа по теме Аварии и катастрофы на транспорте
Курсовая работа: Риск ликвидности банка. Скачать бесплатно и без регистрации
Реферат: Парадокс. Скачать бесплатно и без регистрации
Реферат: Инвестиционный анализ в условиях рационирования капитала
Реферат: Shattered Dreams Essay Research Paper Shattered DreamsThe
Реферат: Работа с неблагополучной семьей
Реферат: Nike Vs Reebok Essay Research Paper Nike