Смекни!
smekni.com

Анализ системы безопасности Microsoft Windows 2000 Advanced Server и стратегий ее использования (стр. 7 из 12)

NTFS работает, сравнивая токен доступа пользователя со списком кон­троля доступа (ACL), связанным с каждым запрашиваемым файлом, перед тем, как разрешить пользователю доступ к этому файлу. Этот простой механизм не дает несанкционированным пользователям изме­нять операционную систему или еще что-нибудь, к чему у них нет спе­циального доступа.

По умолчанию Windows 2000 находится в состоянии, предоставляющем полный доступ группе «все» (everyone) для корня всех дисков, вследствие чего все разрешения, наследуемые создаваемы­ми там файлами, также доступны для всех. Для получения какой-либо реальной пользы от безопасности файловой системы NTFS для при­ложений и хранимых пользователями файлов необходимо удалить разрешение, предоставляющее полный доступ для всех, и заменить его разрешениями с соответствующим уровнем безопасности для каждой папки на компьютере.

Управление разрешениями файловой системы NTFS осуществляется просто и работает аналогично тому; как разрешения устанавливались в предыдущих версиях Windows NT.

В Windows 2000 наследование обрабатывается по-другому, чем в Win­dows NT. В Windows NT унаследованные разрешения были просто таки­ми же, как у родительских объектов, и могли быть немедленно измене­ны. В Windows 2000, если объект наследует разрешения от содержащей объект папки, необходимо снять флажок Allow Inheritable Permissions (Переносить наследуемые от родительского объекта разрешения на этот объект), для того чтобы создать копию наследуемых разрешений и затем изменить существующие разрешения. Можно создавать новые записи АСЕ, не перекрывая установку безопасности.

5.1. Шифрованная файловая система

Шифрованная файловая система (Encrypting File System) — это драйвер файловой системы, обеспечивающий возможность зашифровывать и расшифровывать файлы на лету. Использовать службу очень легко: пользователи устанавливают атрибут шифрования для файла или ката­лога. Служба EFS генерирует сертификат шифрования в фоновом про­цессе и использует его для шифрования заданных файлов. Когда эти файлы запрашиваются драйвером файловой системы NTFS, служба EFS автоматически расшифровывает файл для предоставления его драйверу.

Шифрование файлов выглядит как действительно замечательная воз­можность, но текущая его реализация в Windows 2000 обладает таки­ми дефектами, что EFS в большинстве случаев бесполезна, за исклю­чением, может быть, портативных компьютеров. Основная проблема EFS в том, что она работает только для отдельных пользователей, что делает ее пригодной только для клиентских компь­ютеров. Сертификаты шифрования для файлов создаются на основе личности пользователя, поэтому зашифрованные файлы могут быть использованы только той учетной записью, которая их создавала. Сер­тификаты шифрования не могут быть назначены групповым объектам, поэтому шифрование не может защитить общие файлы, хранимые на сервере. Эта архитектура потребует обмена закрытыми ключами по сети, поэтому для такого обмена должен быть установлен зашифрован­ный канал. EFS не позволит совместное использование зашифрованных файлов, потому что она расшифровывает их перед тем, как предоставить их по запросу. Это также не предусмотрено. Если бы сертификаты ши­фрования принадлежали группе, зашифрованный файл мог бы быть предоставлен по сети клиенту в своем зашифрованном состоянии и клиентский компьютер смог бы воспользоваться своим участием в группе, обладая сертификатом для расшифровки файла. Kerberos может создавать ключи сеанса для шифрования сертификатов, чтобы сохранить их в безопасности во время передачи членам группы. Общие файлы могут быть достаточно безопасными, чтобы использовать их через Интернет без закрытого туннеля.

Более того, потеря сертификата шифрования — ахиллесова пята ши­фрования — не будет такой уж проблемой. До тех пор, пока сертификат все еще существует у какого-либо из членов группы, этот пользователь все еще будет обладать копией сертификата для расшифровки файлов. Так, как она реализована сегодня, EFS всегда создает ключ для агента восстановления (по умолчанию это локальный администратор), неза­висимо от того, хочет пользователь или нет, чтобы агент восстановле­ния мог расшифровать файл.

EFS (так же, как репликация файлов) — еще один пример служ­бы, которая была бы по-настоящему замечательной, если бы Microsoft реализовала се надлежащим образом. В том виде, в каком она существу­ет сейчас, она сделана ровно настолько, чтобы Microsoft могла утверж­дать о наличии у нее шифрования файловой системы.

Помимо того факта, что EFS работает только для отдельных пользо­вателей, она обладает рядом других проблем:

- сертификаты шифрования по умолчанию хранятся в реестре ло­кального компьютера, где их можно восстановить и использовать для расшифровки файлов на компьютере. Для того чтобы EFS функционировала корректно как безопасная служба шифрования, сертификаты должны быть удалены с локального компьютера на физически безопасный сервер сертификатов или экспортированы на съемный носитель, который не оставляется вместе с компьюте­ром.

Единственный способ обеспечить безопасность локальных сертифика­тов EFS — это использовать аутентификацию при помощи смарт-карты или -воспользоваться SysKey, хэш-значения, используемого для шифрования ло­кальной базы данных учетных записей SAM, которая содержит сер­тификат расшифровки EFS, на гибкий диск или использовать его в качестве пароля во время начальной загрузки — и этот пароль или гибкий диск должны быть доступны для всех, кому требуется за­гружать компьютер;

- операции перемещения путем перетаскивания мышью в шифро­ванную папку не приведут к автоматическому шифрованию фай­ла, потому что операции перемещения не изменяют атрибутов фай­ла. Операции «вырезать и вставить» изменяют, потому что вы явно удаляете старый файл и создаете новый.

- зашифрованные файлы будут расшифрованы, если они будут пере­мещены на тома с отличной от NTFS файловой системой, не под­держивающей шифрование.

- зашифрованные файлы не могут быть сделаны общими путем по­мещения в общую папку. Это ограничение предназначено для со­хранения файлов в зашифрованном виде, общие файлы отправля­ются по сети в простом текстовом формате и кто угодно может их расшифровать, имея в наличии сетевой анализатор.

- многие программы (большинство программ Microsoft Office) во время редактирования файлов создают временные файлы либо в локальном, либо во временном каталоге. Шифрование для времен­ных файлов следует обычным правилам: если файл создается в пап­ке, у которой установлен флаг шифрования, временный файл будет зашифрован. В ином случае он не будет зашифрован и нарушит секретность шифрования

- печать образует еще одно направление случайной расшифровки: когда печатается зашифрованный документ, файл расшифровы­вается исходным приложением и отправляется в виде простого тек­ста диспетчеру очереди печати. Если диспетчер печати сконфигу­рирован так, чтобы буферизовать документы (как в большинстве случаев), печатаемые данные будут записываться в файл, который может быть после удаления восстановлен для доступа к вашим зашифрованным данным.

Не рекомендуется использовать EFS кроме как на однопользователь­ских компьютерах, которые нельзя по-другому физически защитить. Ее простота использования является лишь видимостью безопасности, а не настоящей безопасностьюEFS имеет смысл применять для компьютеров, подвер­женных кражам, таких как портативные компьютеры, которые скон­фигурированы с шифрованием каталога буфера печати, временных папок и каталога My Documents (Мои документы).

6. Сетевая безопасность Windows 2000 Advanced Server

Сетевая безопасность Windows 2000 основана на нескольких основных службах:

• Active Directory;

• Group Policy;

• Kerberos;

• Share Security;

• IPSec.

Каждая из этих служб работает вместе с остальными, образуя единое целое: IPSec определяется групповыми политиками, которые хранят­ся в Active Directory и могут быть сконфигурированы для использова­ния Kerberos для автоматического обмена закрытыми ключами. Share Security основывается на идентификационных данных пользователя, подтвержденных Kerberos на основе хэшированных паролей, храни­мых в Active Directory. Управление политикой безопасности через Active Directory позволяет администраторам создавать политики, ко­торые могут быть автоматически применены ко всей организации.

Active Directory не является службой безопасности, но практически все встроенные в Windows 2000 механизмы безопасности полагаются на Active Directory как на механизм хранения информации безопасно­сти, такой как иерархия доменов, доверительные отношения, ключи криптографии, сертификаты, политики и основные учетные записи бе­зопасности.

Все механизмы безопасности Windows 2000 интегрированы с Active Directory.

Хотя Active Directory не является службой безопасности, ее можно сделать безопасной: контейнеры и объекты Active Directory имеют списки контроля доступа (ACL), так же как файлы NTFS. Разрешения в Active Directory можно применять во многом аналогично NTFS. В отличие от разрешений файловой системы NTFS, можно устанавли­вать разрешения для полей внутри конкретных объектов так, чтобы различные пользователи групп безопасности были ответственны за части данных объекта.

6.1. Аутентификация Kerberos и безопасность домена

Аутентификация Kerberos была разработана Массачусетским техно­логическим институтом (Massachusetts Institute of Techology, MIT) для реализации межкомпьютерной доверительной системы, способ­ной проверять подлинность принципалов безопасности (таких, как пользователь или компьютер) через открытую небезопасную сеть. Kerberos не зависит от аутентификации, осуществляемой участвую­щими компьютерами, или сохранности данных при передаче по сети. По этой причине Kerberos идеальна для аутентификации через Интер­нет или в больших сетях.