К. Закер - Компьютерные сети. Модернизация и поиск неисправностей (953092), страница 118
Текст из файла (страница 118)
Сервис КетЬепж Кеу О(апЬийоп Сепгег (КОС, центр распространения ключей КегЬегоз) устанавливается вместе с Асг(те Юйестогу на контрапяеры.доменов (ЮС), а каждый компьютер с %(пбовз 2000 (как с версией Зегтег, так и Рпо1езпапа1) имеет программу-клиента, обеспечивающую аутентификацию по протоколу КегЬегов. Для %пкЬггз 9х также существует клиент службы каталогов, поддерживающий КегЬегса.
Аугентификацн~~: по протоколу КегЬепж основана. на обмене специальными сообщениями' — """ Йиежани гпсхеь9, содерязщгиыи згппифраванный пароль, который удостоверяет идентичность пользователя. Когда пользователь сис- темы-клиента на базе %шйоаъ 2000 соединяется с доменом, КВС коитрсллера домена формирует билет ла получили» билета 1 Т6Т, лсйег-йлзлйлй иЩе11, включающий ЗЮ пользователя, сетевой адрес сисгемы-клиента, временную метку, помогающую предотвратгггь несанкционировзнньй доступ, и ключ сеанса, залействуемый при шифровании данных. Система-клиент сохраняет ТОТ и предъявляет его в качестве лицензии для идентификации пааьзокпеля при последукацих сеансах связи. Однажды полученный системой-клиентом ТОТ может быть использован для подтверждения подлинности при дальнейших обращениях, избавляя тем самым пользователя от необходимости каждый раз вводить пароль при доступе к очередному сетевому ресурсу.
Когда пользователь пытается получить доступ к ресурсу сервера сети, система-клиент посылает запрос,'идентифицирующий пользователя и сервер, на котором находится требуемый ресурс, сервису выдачи бйлелюа 1ТбЮ, йсхегйтелйлл жтФс4 контроллера домена. В ответ ТОЗ пересылает билета на обсауживалие (зегисе йсйе0, обеспечивавший пользователю доступ только к данному ресурсу.
Затем клиентская система запрашивает у сервера, содержащего данный ресурс, разрешение на доступ, отправляя ему идеи'гификатор (10) пользователя и билет на обслуживание. Сервер расшифровывает билет на оказание услуги, и с этого момента, пока идентификатор Похьзсвателя соответствует 1О в билете на обслуживание, этому пользователю будет разрешен доступ к данному ресурсу. Система-клиент может хранить множество билетов на обслуживание в расчете на будущий доступ к различным сетевым ресурсам.
Такая система защищает как сервер, так и пользователя, поскольку обеспечивает взаимную аутентификацию: сервер удостоверяет подлинность системы-клиента, а система-клиент идентифицируегсервер. Использование открытых ключей %пк1оаэ 2000 подлерживжт метод передачи информации; иажваемый ии11раструквурпй открьилых ключей 1РК1, риЬйс А«у.о~мпоъс~иге), укрепляющий защиту против взлома и иных форм несанкционированного доступа.
В традиционной криптографии, также называемой криллимрза1юей седрамлмх ключей гзесгег леу сгрржйгарйу~, исцсяьзуегся один кпач для шифрования и расшифровки информации Общение предполагает знание этого ключа обеими сторонами, что предусматривает некую форму предварительного взаимодействия между ними, в ходе которой йроисходит передача ключа 4>ундаментальным принципом РК1 является то, что ключи,для шифрования и расшифровки сообщений отличаются друг от друга. Каждая система имеет олигрылилй ключ 1риййс кеу1 и закрьилый клич 1рг7и~е 1сеу1.
Передача открытого кпоча другим системам позволяет им кодиров«ть сообщеНИя, кптсрые впоследствии деколируютса данной системой с помощью закрытого Ключа. При этом открытый ключ не может применяться для расшифровки инфор- Часп~'Кс; матввне оавртвахвчье системы мании, если она Уже была с помощью него запввфравана. Таким образом, хотя злоумыщаенники и могут перехваппь открь»тый ключ при его передаче по сети, он будет им совершенно бесполезен, если толью они не имеют соответствующего закрьпого ключа, а он никогда по сети не передастся. Использование РК1 позволяет передавать аутентификационные'данные через сеть на основе-ч»гпх»оаз 2000 с более высоким «рванем безопасности, чем в сети %»айова.ИТ, РЯ также дает вазможность залействавз»ъ цифровые папписи для точинй идентификации отправителя сообшпния.,Ци4увеал юдаись щука! хйинял4'- жо метод кодирования инфврь»внии на основе закрытого ключа конкрегнопз пользователя.
Другие полгпователн, получившие его»ослзние„могут проверить подлинность подписи, опираясь на открмтый кшач отправителя. Изьгенение даже одного бита. информации в сообщении делает подпись недейсгзительной. Если же инфармаши прибывает невредимой, совпадение цифровой подписи с образцом не тольюз пцдтвержлает, что сообщение не подвергдлось никаким изменениям, но и неасваримо доказывает, чта ега отпрааителем является конкретный паньзаввгель.
Поэтому, потенциально, любое послание, скрепленное цифровой подписыа, может нести такую же юридическутр и.этическую нагрузку, как и бумажный документ. СертиФикаты Сертификатом (сага)гсср) называется заверенное цифРовой подписью свидетельство, создаваемое аслтран аелюризааии гбао, сатфса»в аииог»0~). Сертификат содержит привязку пользоватеая, компьвпера нли сервиса с собственнымн закрытыми ключами к соответствуюпгим,открытым ключам.
Мпйж»26В Бегтегвключает соответствувицие сервиаы, (Сеп»беате Бетт»сез), которые могут работать.в качестве СА для сети. Возможно также использование иных СА, например, тепЯйа. Обычно сертификат состоит из следуюших частей: Ъ (з БвЦесх Иай36ег й»Хопвайов (информация цдвнгнфцкрвв»и объекта). Имя, адрес электронной почты, другая информация, идентифицирующая компьютер или пользователя, которому вьшается сертификат. Гч Яив)есг райке кау ъа3ае (заачевие накрытого юпвча объекта). Открьпый ключ, вссоциированный с компыатером или пользователем, которому вьшается сертификат. С) %НЫйу рег»»н» '(йериод достоверности).
Продолжительность срока, в течение которогд сертификат остается дейбтвительиым. П»ззаег Иевййег й»й»пватюв (информация идеи»цфвийцви сартнфиццруиихей свстеиы). сведения о системе, выдавшей сВргифнвайиопное свидетельство. (.'«»завет 4»ййзй.а»йиапие (цифровая шжвпюь сартв4авефуцю»ей сис»виы). Подтверждение.подлинности сертификата цифровой подписью системы, принявшей решение о его выдаче. 1лава 14.
ИГахГаим йт и ИФхЬвм ЮОО игл %1поовх 2000 может использовать сертификаты для аутентпфикзции пользователей %еб-серверов, рассылки секретных посланий по электронной почте, а также (что не обязательно) для аутентификации пользователей доменов. В основном применение сертификатов прозрачно для пользователей, но администраторы могут настраивать их вручную с помощью интегрируемого модуля под названием Сегббсаге 1ог М(сгазой Мапайешепг Сопзо!е. Смарт-карты Система безопасности РК1 в %шдохгз 2000 опирается на то, что ззкрытьге юпочи всегда остаются только частными.
Обычно же закрытый ключ бранится иа рабочей станции, где может подвергнуться несанкционированному доступу иа основе как цифровых, так и физических методов вторжения. В целях решения этой цррбпямы %пк)опз 2000 поддерживает специальные вне|пине устройства лля )фанхезния личного шифровального клича ш(е'компьютера, называемые смаргл-картами 1млагг сап(). Система, использую1иая смарт-карты, оснащена устройством для их чтения. Когда пользователь входит в систему, он вставляет карту в считывающее устройство и ввслит влдивифхмьлмй идеиаиФикаииомлмй лавер (Р!К, Реггала! Иелг!йсааол Фиюйе(у, ассоциированный с данной картой, вместо пароля, С этого момента система не хранит частный «люч внутри себя„а считывает его с карты при необходимости.
Смарт-карты являются относительно новой технологией, и, очевидно, предназначены для сетей„где проблемы безопасности поставлены на первое место. Так как смарт-карты не хранят инфармацию на магнитной полосе, кзк кредитные карточки, они более устойчивы к взлому. Но их ни в коем случае нельзя назвать полностью устойчивыми к нему. Пока на рынке присутствует очень небольшое количество.
устройств для чтения смарт-карт, и потребуется время, чтобы сделать вывод о том, будет ли новая технология широко востребована, или она останется узкоспециализированным продуктом. !Р Весиуйу РгоФосо! 1Р Зесцпгу Рпяосо( (1РЯес) предстзвляет собой станларт, разработанный 1ЕТГ, и определяет серию алгоритмов кодирования и аутеизификацзщ; которые %1пг)овв 2000 может вовлекать в обеспечение безопасности внугрисетевых и Интернет-коммуникаций, например соединений в Ур)ч (тггцш1 Рззуате Иетпогк, виртуальная частная сеть).
1РБес является проглоколам сквазвай Ферпзгча генг(-го-елгг ргагаеЩ поскольку функционирует на Сетевом уровне. Эго означает, по только отправитель и конечный получатель сообщения могут читать передаваемую информацию. Все промежуточные устройства, такие как маршрутимторы, через которые она проходит, просто пересылают зюиифровзнные данные дальше. Утиг1итаИиеФИу Санйди1зМот1 ива АиаХуйЬ Утилита%Ыйжж 2ООО под названием Бесшзгу Сааййогайоп апб Апа1уяз, используемая в качестве интегрируемого модуля для ММС, позапляет создавать различные, варианты политики бемяисности.
Они содержат конфигурационные установки различных составляюппгх ОС, отвечающих за безопасность. Пользовательский интерфейс програмьгы (рис. 14.18) предоставляет возможность применения сушествующих политик безопасности к другим компьютерам. Варианты палитики безопасности хранятся в виде шаблонов, имеющих щщ текетовьи файлов с расширением щу, и содержат настройки для системного'реестра, списков элементов контроля доступа, другие параметры конфигур"Шйи системы защиты. Рис ! 4.18.
Ътипига уяпесве 200о Яесигйу сспацигаесп апп Апгвузе ~П~ЕН1МйтМ Инилнатива н)1аетюго администрирования (Уего Адщ1пЬ~гапоп $шбаГ1те Хог %1пдона) была разработана фирмой М1сгозо1г специааъно для упрощения управления г емми и снижения стоимости их эксплуатации. Указанные цеди достигаются ограничением до минимума доступа пользователей,:к самой ОС и увеличением. до'максиыума возможностей удаленного администрирования. Средства нулевого администрирзвания габена Айтйщзагат1оп Кй) определяют методику автоматизации инсталляции ОС и прикдалиых.Программ на рабочую станцию, а также технику исполъзования разрешений ХТрй и систем- Глава 14.
Ив1оиФ йт и Игахьявв Лхю ной политики безопасности для блокировки рабочего стола компьвнера под управлением %шбож 1ЧТ. Одним из побочных результатов такой техники является возможность хранения полшовательских профилей на сетевом лиске. Это дает юа~можность пользователям подключаться к сети с тобой рабочей станции и сохраняп, при этом базовые настройки конфигурации, такие как расположение пиктограмм на рабочем отаве илн прогрев«нных групп в стартовом меню.
1пгеШМитог развивает ленную концепцию дальше, допуская "псремешение по сети" вместе с пользователем еше большего количества компонентов его персональной вычислительной среды, включая приложения н файлы с данными, не говоря уже о конфигурационных установках системы и прикладных программ. 1шеБМпог состоит из трех основных компонентов. С) 11яег 1)ага Мавайепияг( (управление даивыми пользователя). Обеспечивает пользователям поступ к рабочим файлам с любого компьютера сети, или даже после отключения от нее, с помощью %шбоиз 2000 Зупс(ношгаг(оп Мапайег, который позволяет дублировать каталоги на локальном лиска. е 1вз(айайвп апй Маш1 се (установка и пвддерлигя првграиинвгв обеспечения). Устанавливает приложения и программы на любую.рабочую станцию, на которых имеется соответствующая потребность., П 11зег БеШпйз Мавайешеп1 (управление пользовагелъсквмм установками).
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
