NTFS работает, сравнивая токен доступа пользователя со списком контроля доступа (ACL), связанным с каждым запрашиваемым файлом, перед тем, как разрешить пользователю доступ к этому файлу. Этот простой механизм не дает несанкционированным пользователям изменять операционную систему или еще что-нибудь, к чему у них нет специального доступа.
По умолчанию Windows 2000 находится в состоянии, предоставляющем полный доступ группе «все» (everyone) для корня всех дисков, вследствие чего все разрешения, наследуемые создаваемыми там файлами, также доступны для всех. Для получения какой-либо реальной пользы от безопасности файловой системы NTFS для приложений и хранимых пользователями файлов необходимо удалить разрешение, предоставляющее полный доступ для всех, и заменить его разрешениями с соответствующим уровнем безопасности для каждой папки на компьютере.
Управление разрешениями файловой системы NTFS осуществляется просто и работает аналогично тому; как разрешения устанавливались в предыдущих версиях Windows NT.
В Windows 2000 наследование обрабатывается по-другому, чем в Windows NT. В Windows NT унаследованные разрешения были просто такими же, как у родительских объектов, и могли быть немедленно изменены. В Windows 2000, если объект наследует разрешения от содержащей объект папки, необходимо снять флажок Allow Inheritable Permissions (Переносить наследуемые от родительского объекта разрешения на этот объект), для того чтобы создать копию наследуемых разрешений и затем изменить существующие разрешения. Можно создавать новые записи АСЕ, не перекрывая установку безопасности.
5.1. Шифрованная файловая система
Шифрованная файловая система (Encrypting File System) — это драйвер файловой системы, обеспечивающий возможность зашифровывать и расшифровывать файлы на лету. Использовать службу очень легко: пользователи устанавливают атрибут шифрования для файла или каталога. Служба EFS генерирует сертификат шифрования в фоновом процессе и использует его для шифрования заданных файлов. Когда эти файлы запрашиваются драйвером файловой системы NTFS, служба EFS автоматически расшифровывает файл для предоставления его драйверу.
Шифрование файлов выглядит как действительно замечательная возможность, но текущая его реализация в Windows 2000 обладает такими дефектами, что EFS в большинстве случаев бесполезна, за исключением, может быть, портативных компьютеров. Основная проблема EFS в том, что она работает только для отдельных пользователей, что делает ее пригодной только для клиентских компьютеров. Сертификаты шифрования для файлов создаются на основе личности пользователя, поэтому зашифрованные файлы могут быть использованы только той учетной записью, которая их создавала. Сертификаты шифрования не могут быть назначены групповым объектам, поэтому шифрование не может защитить общие файлы, хранимые на сервере. Эта архитектура потребует обмена закрытыми ключами по сети, поэтому для такого обмена должен быть установлен зашифрованный канал. EFS не позволит совместное использование зашифрованных файлов, потому что она расшифровывает их перед тем, как предоставить их по запросу. Это также не предусмотрено. Если бы сертификаты шифрования принадлежали группе, зашифрованный файл мог бы быть предоставлен по сети клиенту в своем зашифрованном состоянии и клиентский компьютер смог бы воспользоваться своим участием в группе, обладая сертификатом для расшифровки файла. Kerberos может создавать ключи сеанса для шифрования сертификатов, чтобы сохранить их в безопасности во время передачи членам группы. Общие файлы могут быть достаточно безопасными, чтобы использовать их через Интернет без закрытого туннеля.
Более того, потеря сертификата шифрования — ахиллесова пята шифрования — не будет такой уж проблемой. До тех пор, пока сертификат все еще существует у какого-либо из членов группы, этот пользователь все еще будет обладать копией сертификата для расшифровки файлов. Так, как она реализована сегодня, EFS всегда создает ключ для агента восстановления (по умолчанию это локальный администратор), независимо от того, хочет пользователь или нет, чтобы агент восстановления мог расшифровать файл.
EFS (так же, как репликация файлов) — еще один пример службы, которая была бы по-настоящему замечательной, если бы Microsoft реализовала се надлежащим образом. В том виде, в каком она существует сейчас, она сделана ровно настолько, чтобы Microsoft могла утверждать о наличии у нее шифрования файловой системы.
Помимо того факта, что EFS работает только для отдельных пользователей, она обладает рядом других проблем:
- сертификаты шифрования по умолчанию хранятся в реестре локального компьютера, где их можно восстановить и использовать для расшифровки файлов на компьютере. Для того чтобы EFS функционировала корректно как безопасная служба шифрования, сертификаты должны быть удалены с локального компьютера на физически безопасный сервер сертификатов или экспортированы на съемный носитель, который не оставляется вместе с компьютером.
Единственный способ обеспечить безопасность локальных сертификатов EFS — это использовать аутентификацию при помощи смарт-карты или -воспользоваться SysKey, хэш-значения, используемого для шифрования локальной базы данных учетных записей SAM, которая содержит сертификат расшифровки EFS, на гибкий диск или использовать его в качестве пароля во время начальной загрузки — и этот пароль или гибкий диск должны быть доступны для всех, кому требуется загружать компьютер;
- операции перемещения путем перетаскивания мышью в шифрованную папку не приведут к автоматическому шифрованию файла, потому что операции перемещения не изменяют атрибутов файла. Операции «вырезать и вставить» изменяют, потому что вы явно удаляете старый файл и создаете новый.
- зашифрованные файлы будут расшифрованы, если они будут перемещены на тома с отличной от NTFS файловой системой, не поддерживающей шифрование.
- зашифрованные файлы не могут быть сделаны общими путем помещения в общую папку. Это ограничение предназначено для сохранения файлов в зашифрованном виде, общие файлы отправляются по сети в простом текстовом формате и кто угодно может их расшифровать, имея в наличии сетевой анализатор.
- многие программы (большинство программ Microsoft Office) во время редактирования файлов создают временные файлы либо в локальном, либо во временном каталоге. Шифрование для временных файлов следует обычным правилам: если файл создается в папке, у которой установлен флаг шифрования, временный файл будет зашифрован. В ином случае он не будет зашифрован и нарушит секретность шифрования
- печать образует еще одно направление случайной расшифровки: когда печатается зашифрованный документ, файл расшифровывается исходным приложением и отправляется в виде простого текста диспетчеру очереди печати. Если диспетчер печати сконфигурирован так, чтобы буферизовать документы (как в большинстве случаев), печатаемые данные будут записываться в файл, который может быть после удаления восстановлен для доступа к вашим зашифрованным данным.
Не рекомендуется использовать EFS кроме как на однопользовательских компьютерах, которые нельзя по-другому физически защитить. Ее простота использования является лишь видимостью безопасности, а не настоящей безопасностьюEFS имеет смысл применять для компьютеров, подверженных кражам, таких как портативные компьютеры, которые сконфигурированы с шифрованием каталога буфера печати, временных папок и каталога My Documents (Мои документы).
6. Сетевая безопасность Windows 2000 Advanced Server
Сетевая безопасность Windows 2000 основана на нескольких основных службах:
• Active Directory;
• Group Policy;
• Kerberos;
• Share Security;
• IPSec.
Каждая из этих служб работает вместе с остальными, образуя единое целое: IPSec определяется групповыми политиками, которые хранятся в Active Directory и могут быть сконфигурированы для использования Kerberos для автоматического обмена закрытыми ключами. Share Security основывается на идентификационных данных пользователя, подтвержденных Kerberos на основе хэшированных паролей, хранимых в Active Directory. Управление политикой безопасности через Active Directory позволяет администраторам создавать политики, которые могут быть автоматически применены ко всей организации.
Active Directory не является службой безопасности, но практически все встроенные в Windows 2000 механизмы безопасности полагаются на Active Directory как на механизм хранения информации безопасности, такой как иерархия доменов, доверительные отношения, ключи криптографии, сертификаты, политики и основные учетные записи безопасности.
Все механизмы безопасности Windows 2000 интегрированы с Active Directory.
Хотя Active Directory не является службой безопасности, ее можно сделать безопасной: контейнеры и объекты Active Directory имеют списки контроля доступа (ACL), так же как файлы NTFS. Разрешения в Active Directory можно применять во многом аналогично NTFS. В отличие от разрешений файловой системы NTFS, можно устанавливать разрешения для полей внутри конкретных объектов так, чтобы различные пользователи групп безопасности были ответственны за части данных объекта.
6.1. Аутентификация Kerberos и безопасность домена
Аутентификация Kerberos была разработана Массачусетским технологическим институтом (Massachusetts Institute of Techology, MIT) для реализации межкомпьютерной доверительной системы, способной проверять подлинность принципалов безопасности (таких, как пользователь или компьютер) через открытую небезопасную сеть. Kerberos не зависит от аутентификации, осуществляемой участвующими компьютерами, или сохранности данных при передаче по сети. По этой причине Kerberos идеальна для аутентификации через Интернет или в больших сетях.