Server2000 (Анализ системы безопасности Microsoft Windows 2000 Advanced Server и стратегий ее использования), страница 6

2016-07-312016-07-31TaskMenСтудИзба

Анализ системы безопасности Microsoft Windows 2000 Advanced Server и стратегий ее использования286

Описание файла

Документ из архива "Анализ системы безопасности Microsoft Windows 2000 Advanced Server и стратегий ее использования", который расположен в категории "". Всё это находится в предмете "информатика" из , которые можно найти в файловом архиве . Не смотря на прямую связь этого архива с , его также можно найти и в других разделах. Архив можно найти в разделе "рефераты, доклады и презентации", в предмете "информатика, программирование" в общих файлах.

Онлайн просмотр документа "Server2000"

Текст 6 страницы из документа "Server2000"

^{Права имеют больший приоритет, чем}^{разрешения}⁽^permissions^{). Вот почему учетная запись администратора может стать владельцем файла, чей владелец удалил все разрешения на доступ;}^{Administrator}^{(Администратор) обладает правом}^Take^Ownership^of^Files^or^Other^Objects^{(смена владельца файлов или других объектов). Операционная система}^Win^dows^{2000 вначале проверяет права пользователя и затем (если нет права пользователя, специально разрешающего действие) сверяет записи АСЕ, хранимые в}^DACL^{, с идентификаторами}^SID^{в токене доступа.}

^{Учетные записи пользователя обладают правом на чтение и запись для объекта, для которого они являются владельцем, даже в случае наличия у того запрещающей записи АСЕ. Учетная запись пользователя может также изменять разрешения для принадлежащего ей объекта.}

^{5.Файловая система}^NTFS

^{Файловая система}^NTFS^{— главный бастион безопасности}^Windows^{2000. Безопасный компьютер под управлением}^Windows^{2000 работает на платформе}^NTFS^{, образующей основу для постоянной безопасности.}

^LSA^{дает гарантию, что выполняющиеся программы не могут нарушить адресное пространство памяти друг друга и что все обращения к ядру должным образом авторизованы. Но что может помешать программе заменить программные файлы}^LSA^{эквивалентной службой, которая будет работать неверно? Ответом на этот вопрос является}^NTFS^{, и этот пример подчеркивает, почему безопасная файловая система — обязательное требование для безопасной операционной системы. Не имея возможности доверять файловой системе, хранящей системные файлы, нельзя доверять системе, работа которой реализуется посредством исполнения этих файлов.}

^{Рассмотрим случай проникновения вируса на компьютер с}^Windows^{95. Пользователь выполняет программу, содержащую вирус. Вирус определяет, какая программа запустила текущую программу, и заражает ее, таким образом распространяя себя далее на один уровень. При следующем запуске этой программы вирус сделает то же самое, а также заразит каждую программу, порожденную этой программой. Через несколько циклов вирус распространится до ключевых программ операционной системы, таким образом заражая каждый выполняемый в ней файл. Рассмотрим теперь случай, когда пользователь выполняет зараженную вирусом программу в}^Windows^{2000. Эта программа пытается записать свой вирусный заголовок в}^explorer^.^exe^{, но блокируется средствами безопасности файловой системы}^NTFS^{, потому что у пользователя нет}^{разрешений на запись в}^explorer^.^exe^{. Благодаря}^NTFS^{этот тип вирусов моментально останавливается}^Windows^{2000. При попадании в систему некоторым вирусам удается выжить в пользовательском режиме (например, макровирусам}^Word^{или червям}^Outlook^{), но эти вирусы все равно не могут заразить саму операционную систему — если только вирус не был запущен с учетной записью, обладающей административным доступом к компьютеру.}

^NTFS^{работает, сравнивая токен доступа пользователя со списком контроля доступа (}^ACL^{), связанным с каждым запрашиваемым файлом, перед тем, как разрешить пользователю доступ к этому файлу. Этот простой механизм не дает несанкционированным пользователям изменять операционную систему или еще что-нибудь, к чему у них нет специального доступа.}

^{По умолчанию}^Windows^{2000 находится в состоянии, предоставляющем полный доступ группе «все» (}^everyone^{) для корня всех дисков, вследствие чего все разрешения, наследуемые создаваемыми там файлами, также доступны для всех. Для получения какой-либо реальной пользы от безопасности файловой системы}^NTFS^{для приложений и хранимых пользователями файлов необходимо удалить разрешение, предоставляющее полный доступ для всех, и заменить его разрешениями с соответствующим уровнем безопасности для каждой папки на компьютере.}

^{Управление разрешениями файловой системы}^NTFS^{осуществляется просто и работает аналогично тому; как разрешения устанавливались в предыдущих версиях}^Windows^NT^.

^В^Windows^{2000 наследование обрабатывается по-другому, чем в}^Win^dows^NT^{. В}^Windows^NT^{унаследованные разрешения были просто такими же, как у родительских объектов, и могли быть немедленно изменены. В}^Windows^{2000, если объект наследует разрешения от содержащей объект папки, необходимо снять флажок}^Allow^Inheritable^Permissions^{(Переносить наследуемые от родительского объекта разрешения на этот объект), для того чтобы создать копию наследуемых разрешений и затем изменить существующие разрешения. Можно создавать новые записи АСЕ, не перекрывая установку безопасности.}

^{5.1. Шифрованная файловая система}

^{Шифрованная файловая система (}^Encrypting^File^System^{) — это драйвер файловой системы, обеспечивающий возможность зашифровывать и расшифровывать файлы на лету. Использовать службу очень легко: пользователи устанавливают атрибут шифрования для файла или каталога. Служба}^EFS^{генерирует сертификат шифрования в фоновом процессе и использует его для шифрования заданных файлов. Когда эти файлы запрашиваются драйвером файловой системы}^NTFS^{, служба}^EFS^{автоматически расшифровывает файл для предоставления его драйверу.}

^{Шифрование файлов выглядит как действительно замечательная возможность, но текущая его реализация в}^Windows^{2000 обладает такими дефектами, что}^EFS^{в большинстве случаев бесполезна, за исключением, может быть, портативных компьютеров. Основная проблема}^EFS^{в том, что она работает только для отдельных пользователей, что делает ее пригодной только для клиентских компьютеров. Сертификаты шифрования для файлов создаются на основе личности пользователя, поэтому зашифрованные файлы могут быть использованы только той учетной записью, которая их создавала. Сертификаты шифрования не могут быть назначены групповым объектам, поэтому шифрование не может защитить общие файлы, хранимые на сервере. Эта архитектура потребует обмена закрытыми ключами по сети, поэтому для такого обмена должен быть установлен зашифрованный канал.}^EFS^{не позволит совместное использование зашифрованных файлов, потому что она расшифровывает их перед тем, как предоставить их по запросу. Это также не предусмотрено. Если бы сертификаты шифрования принадлежали группе, зашифрованный файл мог бы быть предоставлен по сети клиенту в своем зашифрованном состоянии и клиентский компьютер смог бы воспользоваться своим участием в группе, обладая сертификатом для расшифровки файла.}^Kerberos^{может создавать ключи сеанса для шифрования сертификатов, чтобы сохранить их в безопасности во время передачи членам группы. Общие файлы могут быть достаточно безопасными, чтобы использовать их через Интернет без закрытого туннеля.}

^{Более того, потеря сертификата шифрования — ахиллесова пята шифрования — не будет такой уж проблемой. До тех пор, пока сертификат все еще существует у какого-либо из членов группы, этот пользователь все еще будет обладать копией сертификата для расшифровки файлов. Так, как она реализована сегодня,}^EFS^{всегда создает ключ для агента восстановления (по умолчанию это локальный администратор), независимо от того, хочет пользователь или нет, чтобы агент восстановления мог расшифровать файл.}

^EFS^{(так же, как репликация файлов) — еще один пример службы, которая была бы по-настоящему замечательной, если бы}^Microsoft^{реализовала се надлежащим образом. В том виде, в каком она существует сейчас, она сделана ровно настолько, чтобы}^Microsoft^{могла утверждать о наличии у нее шифрования файловой системы.}

^{Помимо того факта, что}^EFS^{работает только для отдельных пользователей, она обладает рядом других проблем:}

^{сертификаты шифрования по умолчанию хранятся в реестре локального компьютера, где их можно восстановить и использовать для расшифровки файлов на компьютере. Для того чтобы}^EFS^{функционировала корректно как безопасная служба шифрования, сертификаты должны быть удалены с локального компьютера на физически безопасный сервер сертификатов или экспортированы на съемный носитель, который не оставляется вместе с компьютером.}

^{Единственный способ обеспечить безопасность локальных сертификатов}^EFS^{— это использовать аутентификацию при помощи смарт-карты или -воспользоваться}^SysKey^{, хэш-значения, используемого для шифрования локальной базы данных учетных записей}^SAM^{, которая содержит сертификат расшифровки}^EFS^{, на гибкий диск или использовать его в качестве пароля во время начальной загрузки — и этот пароль или гибкий диск должны быть доступны для всех, кому требуется загружать компьютер;}

^{операции перемещения путем перетаскивания мышью в шифрованную папку не приведут к автоматическому шифрованию файла, потому что операции перемещения не изменяют атрибутов файла. Операции «вырезать и вставить» изменяют, потому что вы явно удаляете старый файл и создаете новый.}
^{зашифрованные файлы будут расшифрованы, если они будут перемещены на тома с отличной от}^NTFS^{файловой системой, не поддерживающей шифрование.}
^{зашифрованные файлы не могут быть сделаны общими путем помещения в общую папку. Это ограничение предназначено для сохранения файлов в зашифрованном виде, общие файлы отправляются по сети в простом текстовом формате и кто угодно может их расшифровать, имея в наличии сетевой анализатор.}
^{многие программы (большинство программ}^Microsoft^Office^{) во время редактирования файлов создают временные файлы либо в локальном, либо во временном каталоге. Шифрование для временных файлов следует обычным правилам: если файл создается в папке, у которой установлен флаг шифрования, временный файл будет зашифрован. В ином случае он не будет зашифрован и нарушит секретность шифрования}
^{печать образует еще одно направление случайной расшифровки: когда печатается зашифрованный документ, файл расшифровывается исходным приложением и отправляется в виде простого текста диспетчеру очереди печати. Если диспетчер печати сконфигурирован так, чтобы буферизовать документы (как в большинстве случаев), печатаемые данные будут записываться в файл, который может быть после удаления восстановлен для доступа к вашим зашифрованным данным.}

^{Не рекомендуется использовать}^EFS^{кроме как на однопользовательских компьютерах, которые нельзя по-другому физически защитить. Ее простота использования является лишь видимостью безопасности, а не настоящей безопасностью}^EFS^{имеет смысл применять для компьютеров, подверженных кражам, таких как портативные компьютеры, которые сконфигурированы с шифрованием каталога буфера печати, временных папок и каталога}^My^Documents^{(Мои документы).}

^6.^{Сетевая}^{безопасность}^{Windows 2000 Advanced Server}

^{Сетевая безопасность}^Windows^{2000 основана на нескольких основных службах:}

^{• Active Directory;}

^{• Group Policy;}

^{• Kerberos;}

^•^Share^Security^;

^•^IPSec^.

Поделитесь ссылкой:

Ставлю 10/10
Все нравится, очень удобный сайт, помогает в учебе. Кроме этого, можно заработать самому, выставляя готовые учебные материалы на продажу здесь. Рейтинги и отзывы на преподавателей очень помогают сориентироваться в начале нового семестра. Спасибо за такую функцию. Ставлю максимальную оценку.

Лучшая платформа для успешной сдачи сессии
Познакомился со СтудИзбой благодаря своему другу, очень нравится интерфейс, количество доступных файлов, цена, в общем, все прекрасно. Даже сам продаю какие-то свои работы.

Студизба ван лав ❤
Очень офигенный сайт для студентов. Много полезных учебных материалов. Пользуюсь студизбой с октября 2021 года. Серьёзных нареканий нет. Хотелось бы, что бы ввели подписочную модель и сделали материалы дешевле 300 рублей в рамках подписки бесплатными.

Отличный сайт
Лично меня всё устраивает - и покупка, и продажа; и цены, и возможность предпросмотра куска файла, и обилие бесплатных файлов (в подборках по авторам, читай, ВУЗам и факультетам). Есть определённые баги, но всё решаемо, да и администраторы реагируют в течение суток.

Маленький отзыв о большом помощнике!
Студизба спасает в те моменты, когда сроки горят, а работ накопилось достаточно. Довольно удобный сайт с простой навигацией и огромным количеством материалов.

Студ. Изба как крупнейший сборник работ для студентов
Тут дофига бывает всего полезного. Печально, что бывают предметы по которым даже одного бесплатного решения нет, но это скорее вопрос к студентам. В остальном всё здорово.

Спасательный островок
Если уже не успеваешь разобраться или застрял на каком-то задание поможет тебе быстро и недорого решить твою проблему.

Всё и так отлично
Всё очень удобно. Особенно круто, что есть система бонусов и можно выводить остатки денег. Очень много качественных бесплатных файлов.

Отзыв о системе "Студизба"
Отличная платформа для распространения работ, востребованных студентами. Хорошо налаженная и качественная работа сайта, огромная база заданий и аудитория.

Отличный помощник
Отличный сайт с кучей полезных файлов, позволяющий найти много методичек / учебников / отзывов о вузах и преподователях.

Отлично помогает студентам в любой момент для решения трудных и незамедлительных задач
Хотелось бы больше конкретной информации о преподавателях. А так в принципе хороший сайт, всегда им пользуюсь и ни разу не было желания прекратить. Хороший сайт для помощи студентам, удобный и приятный интерфейс. Из недостатков можно выделить только отсутствия небольшого количества файлов.

Спасибо за шикарный сайт
Великолепный сайт на котором студент за не большие деньги может найти помощь с дз, проектами курсовыми, лабораторными, а также узнать отзывы на преподавателей и бесплатно скачать пособия.