Лекции (989962), страница 30
Текст из файла (страница 30)
При правильности введенных данныхKerberos выдает пользователю "билет пользователя" (TGT) на все время нахождения в сети. Имея"билет пользователя", пользователь в любое время может обратиться к Kerberos, для получения"билета службы" (TGS - например, билет для почтовой службы или билет для доверенного домена"Маркетинг"), который во-первых подтверждает для службы подлинность пользователя (содержитзашифрованные данные о пользователе), а во-вторых подтверждает для пользователя подлинностьслужбы, т.к. только подлинная служба (криптографически стойко подключенная к центру распространения ключей шифрования Kerberos) сможет правильно обработать зашифрованный "билет службы" и правильно ответить пользователю.
Для самого пользователя весь этот процесс протекаетабсолютно прозрачно: он только вводит свое имя и пароль при подключении к сети.• аутентификация NTLM – используется для совместимости с предыдущей версией Windows NT4.0. Система challenge-response: пользователь передает серверу свое имя, сервер возвращает пользователю случайное число, при помощи которого пользователь шифрует свой пароль (однонаправленная хэш-функция MD5) и возвращает его серверу, который имея в своей базе подлинный парольпользователя, выполняет над ним туже операцию хэширования и сравнивает результат с пришедшим от пользователя. При совпадении – пользователь регистрируется.
Такая методика позволяетизбежать передачи пароля по сети в открытом виде. Причем каждый раз передается разное значение, перехват которого ничего не даст. Получить пароль по перехваченному хэш-значению, дажезная хэш-функцию – труднорешаемая задача.5.12.3. Политики безопасности Windows 2000Windows 2000 позволяет использовать достаточно большое количество политик безопасности дляцентрализованного управления доступом. Политика безопасности – это набор стандартных правил,применяемых к группе пользователей (подразделению, домену, компьютеру) и описывающая единыетребования к безопасности.
Ниже приведен краткий обзор политик безопасности Windows 2000.Таблица 5.6.Виды политик безопасностиВидполитикиПолитикабезопасностиконтролерадомена.Политикабезопасностидомена.Локальнаяполитикабезопасности.Групповаяполитикабезопасностиподразделения.Область действияПункт менюОпределяет политику безопасности компьютера, являющегосяконтролером домена.Пуск/Настройка/Панель управления /Администрирование/ Политика безопасности контролера доменаОпределяет общие установкиполитики безопасности всехкомпьютеров, входящих в домен.Позволяет переопределить общиеустановки политики безопасностидомена для конкретного локального компьютера.Позволяет определить установкиполитики безопасности для подразделения.
Подразделение – этоспособ объединения пользователей и групп пользователей, сосходными требованиями к политике безопасности. Например,подразделение "Бухгалтерия".Пуск/Настройка/Панель управления /Администрирование/Политика безопасности домена Ляхевич А.Г., 2000 - 2002 годПуск/Настройка/Панель управления /Администрирование/Локальная политика безопасностиШаг 1. Создать подразделение предприятия.Пуск/Настройка/Панель управления /Администрирование/ActiveDirectory пользователи и компьютеры /Контекстное меню / Создать / ПодразделениеШаг 2. Задать групповую политику для подразделения.Выбрать нужное подразделение / Контекстное меню/ Свойства/ Групповая политика / Создать*для ссылки на уже ранее описанную групповуюполитику выбрать команду "Добавить".ВидполитикиГрупповаяполитикабезопасностидомена.ПолитикаудаленногодоступаОбласть действияПозволяет определить большоеколичество установок политикибезопасности для домена.
Фактически "Политика безопасностидомена" является подразделом"Конфигурация компьютера/Конфигурация Windows/Параметрыбезопасности" данной групповойполитики.Позволяет ограничить доступ удаленных пользователей к серверу,через модем (подробнее см. ранее,в разделе "Маршрутизация и удаленный доступ).Продолжение табл. 5.6.Пункт менюПуск/Настройка/Панель управления /Администрирование/ActiveDirectory пользователи и компьютеры /Выделить нужный домен/Контекстное меню/Свойства/Групповая политика/Создать.Пуск/Настройка/Панель управления /Администрирование/Маршрутизация и удаленный доступ к сети/Выбрать сервер/Политика удаленного доступа.Таблица 5.7.Политика безопасности контролера домена, политика безопасности домена,локальная политика безопасности – раздел параметры безопасностиНазвание раздела1.Политика паролей2.
Политика блокировкиучетной записи3. Политика Kerberos1. Политика аудита2. Назначение правпользователя3. Параметрыбезопасности1. Настройкапротоколирования*Примеры параметров, поясненияПолитики учетных записейМаксимальный (минимальный) срок действия пароля, минимальная длинапароля, требовать неповторяемость паролей (система помнит N последнихпаролей и запрещает использовать их).Блокировка учетной записи (на N минут в случае неверного ввода пароля),пороговое значение блокировки (максимально допустимое число раз неверноговвода пароля), сброс счетчика блокировки (счетчика неверно введенныхпаролей) через N минут.Максимальный срок жизни билета пользователя (билета службы). Билетыкриптографически надежно удостоверяют подлинность пользователей и службв домене.
Подробнее о системе аутентификации Kerberos см. далее в лекциях.Локальные политикиПараметры раздела включают (выключают) запись в журнал безопасностисистемы неуспешные (успешные) попытки входа в систему, доступа кобъектам, доступа к службе каталогов, управления учетными записямипользователей, аудит изменения политики безопасности, аудит системныхсобытий и отслеживания процессов.Определить пользователей (группы пользователей), которым разрешен (запрещен): доступ к компьютерам домена (данному компьютеру) из сети, локальныйвход в систему непосредственно на этом компьютере, завершение работыкомпьютера, изменение системного времени, архивирование и восстановлениефайлов и каталогов, увеличение дисковых квот пользователям, управлениеаудитом и журналом безопасности, делегирование части административныхфункций другим пользователям, получение прав владельца объекта, добавлениеновых компьютеров к домену и др.Позволяет потребовать использование безопасного канала передачи данных всети (шифрование и цифровая подпись), задать сообщение для пользователейпри их входе в систему, отключить обязательное нажатие CTRL+ALT+DELперед входом в систему (не рекомендуется по соображениям безопасности),запретить пользователям установку драйверов принтеров, определить поведение системы при установке неподписанных программ и драйверов, потребоватьобязательную очистку файла виртуальной памяти при выключении системы,задать уровень проверки подлинности пользователей (для совместимости с NT4.0), переименовать стандартную учетную запись гостя и администратора и др.Журнал событийМаксимальный размер журнала безопасности или количество дней, в течениикоторых хранятся события в журнале.
Ограничить доступ гостей к журналу. Ляхевич А.Г., 2000 - 2002 годПродолжение табл. 5.7.Название разделаПримеры параметров, поясненияПрочие1. Группы с ограниченным доступом*2. Системные службы*3. Реестр*4. Файловая система*5. Политики открытогоключаЕсли занести группу пользователей в этот раздел, а затем двойным щелчком погруппе открыть диалоговое окно и добавить пользователей в раздел “Членыэтой группы”, то при перезагрузке системы и применении политики безопасности, только пользователи явно указанные посредством раздела "Группы сограниченным доступом" будут сохранены в данной группе, остальные пользователи будут автоматически удалены из группы. Этот способ фактическидублирует обычные методы занесения пользователей в те или иные группы,однако здесь ключевым моментом является то, что этот способ интегрирован вполитику безопасности и позволяет централизованно и наглядно проконтролировать членство в наиболее важных группах, со значительным объемом прав насистему (например, Администраторы).Позволяет задавать ограничения на режим запуска (вручную/автоматически/запрещено) системных служб, которые отвечают за определенные сервисы,например сервис Telnet.
Определяет разрешения для определенных групп пользователей (пуск, остановка, запуск, удаление сервиса, смена/чтение разрешений,смена владельца, определение зависящих сервисов, опрос сервиса и т.д.),настроить аудит (для всех пользователей или отдельных групп пользователейможно задать какие действия – см. разрешения – будут записываться в журналбезопасности в случае их успеха/неуспеха).Позволяет ограничить доступ к отдельным разделам реестра различнымпользователям и группам пользователей.
Также позволяет организовать аудитуспешных/неуспешных действий по доступу к реестру для всех пользователейили отдельных пользователей и их групп.Позволяет ограничить доступ различных пользователей и групп пользователейк отдельным папкам и файлам.
Также позволяет настроить аудит по результатам успешного/неуспешного доступа различных групп пользователей к отдельным папкам и файлам. Эти же операции можно выполнить и из "Проводника"(выбрать папку/файл, контекстное меню/свойства/Безопасность), однако даннаянастройка политики безопасности позволяет вести легко контролируемый единый список всех важных папок/файлов, а также позволяет запретить изменениеразрешений и тогда только пользователи, имеющие право изменять политикубезопасности, смогут изменить разрешения для этой папки.Политика открытого ключа строится на основании асимметричных алгоритмовшифрования. Если в симметричных алгоритмах данные шифруются и дешифруются при помощи одного и того же ключа, то в асимметричных алгоритмахключи создаются парами: закрытый ключ – открытый ключ.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
