Смекни!
smekni.com

Обеспечение безопасности системы и защита данных в Windows 2003 (стр. 7 из 15)

Ускоренная разработка приложений

Среда приложений Windows Server 2003 позволяет повысить производительность труда разработчиков, поскольку содержит полный набор интегрированных служб приложений и поддерживает передовые средства разработки.

Возможность Описание
Интеграция ASP.NET и IIS Семейство Windows Server 2003 обеспечивает большее удобство разработки благодаря интеграции ASP.NET и IIS. Усовершенствования в Windows Server 2003, основанные на IIS 6.0, предоставляют разработчикам разнообразные функциональные возможности высокого уровня — в частности, быструю разработку приложений и широкий выбор языков. В Windows Server 2003 использование ASP.NET и .NET Framework стало более удобным, поскольку архитектура обработки запросов интегрирована с IIS 6.0.
Microsoft .NET Framework Среда .NET Framework позволяет разработчикам создавать превосходные веб-приложения при помощи ASP.NET и других технологий. Она также помогает в создании приложений, аналогичных разрабатываемым в настоящее время. .NET Framework характеризуется нейтральностью по отношению к языку; может использоваться фактически любой язык программирования. Создавать приложения и службы на платформе .NET можно с использованием следующих языков: Visual C++® .NET, Visual Basic® .NET, Jscript® и Visual C#® .NET.
Веб-службы на базе XML IIS 6.0 предоставляет высокопроизводительную платформу для веб-служб на базе XML. Веб-службы на базе XML позволяют удаленно обращаться к функциям сервера. С помощью веб-служб предприятия могут предоставлять программные интерфейсы для доступа к своим данным или бизнес-логике, которые, в свою очередь, могут получаться и обрабатываться клиентскими и серверными приложениями.
Общий доступ к информации без географических ограничений Общий доступ к информации без географических ограничений и на различных языках становится все более важным в глобальной экономике. Раньше структура протокола HTTP, не приспособленная для использования кодировки Юникод, ограничивала возможности разработчиков использованием системной кодовой страницы. Теперь, когда для URL используется кодировка UTF-8, работа в кодировке Юникод стала возможна, что позволяет поддерживать более сложные языки, такие как китайский. IIS 6.0 предоставляет доступ к серверным переменным в кодировке Юникод. Добавлен также ряд новых серверных функций, позволяющих разработчикам обращаться к представлению URL в кодировке Юникод, за счет чего повышается качество поддержки в различных регионах.

Повышенная безопасность

IIS 6.0 является гораздо более безопасным сервером, чем IIS 4.x или IIS 5.x. В нем реализовано множество новых возможностей, призванных увеличить защищенность веб-инфраструктуры. Кроме того, по умолчанию IIS 6.0 работает в режиме блокировки и со строгими лимитами на время ожидания и типы содержимого.


Возможность Описание
Сервер в режиме блокировки IIS 6.0 обеспечивает большую безопасность по сравнению с предыдущими версиями. Чтобы сузить диапазон возможностей для атаки, IIS 6.0 не устанавливается по умолчанию в Windows Server 2003 —администратор должен явным образом выбрать его при установке. По умолчанию IIS 6.0 устанавливается в состоянии блокировки, в котором возможна выдача только статического содержимого. Включать и выключать отдельные функции IIS в зависимости от потребностей организации позволяет узел расширений веб-службы в диспетчере IIS.
Список расширений веб-службы В стандартном варианте установки IIS не будет компилировать, выполнять или выдавать страницы с динамическими расширениями. Чтобы их выдача стала возможной, каждое допустимое расширение файла должно быть занесено в список расширений веб-службы. Это требование позволяет предотвратить вызов страницы с динамическим расширением, для которого не были предприняты соответствующие меры безопасности.
Учетная запись по умолчанию с наименьшими привилегиями Все рабочие процессы IIS 6.0 в Windows Server 2003 по умолчанию выполняются под учетными записями пользователя типа "Сетевая служба" — нового встроенного типа учетных записей, обладающего ограниченными системными привилегиями. Все встроенные функции ASP всегда работают под учетными записями с ограниченными привилегиями (анонимный пользователь).
Авторизация IIS 6.0 расширяет использование новой структуры авторизации, входящей в состав Windows Server 2003. Кроме того, веб-приложения могут использовать авторизацию URL (в сочетании с диспетчером авторизации) для управления доступом. Ограниченная делегированная авторизация предоставляет администраторам доменов возможность делегировать полномочия только избранным компьютерам и службам.

В IIS 6.0 появилось много новых возможностей, связанных с ролью сервера веб-приложений в Windows Server 2003. IIS 6.0 дает более широкие возможности для разработки приложений, предоставляя платформу, интегрированную с другими технологиями Windows Server 2003, — в частности, ASP.NET и .NET Framework. Windows Server 2003 в сочетании с IIS 6.0 представляет собой в высшей степени надежное, управляемое, масштабируемое и безопасное решение.


Новые возможности проверки подлинности по протоколу Kerberos в Windows Server 2003

Рассмотрим новые возможности системы проверки подлинности по протоколу Kerberos в Windows Server 2003 и дадим основные сведения об использовании данных средств.

Ни одна из возможностей системы проверки подлинности по протоколу Kerberos, присутствовавших в Windows 2000, не была изъята из употребления или перемещена в другие линии продуктов.

Экономический эффект

Новые возможности Описание
Для входа на клиентский компьютер с Windows XP не требуется учетной записи на компьютере Обычно для проверки подлинности по протоколу Kerberos необходима учетная запись на компьютере. Чтобы получить доступ к ресурсам компьютера, пользователь должен иметь билет службы для этого компьютера. Без этой проверки подлинности пользователя на компьютере компьютер должен осуществлять управление доступом, сопоставляя имя пользователя с именем, хранимым в местной базе данных учетных записей. Чтобы установить такое локальное сопоставление, пользователю необходимо запустить программу KSETUP.
Имя участника службы более не преобразуется к канонической форме Ранее имя участника службы (SPN) приводилось к канонической форме диспетчера учетных записей безопасности (SAM) — например, mycomputer$. Это приводило к проблемам в тех случаях, когда пользователь запрашивал службу с неканоническим именем: система не могла определить, что у нее имеется кэшированный билет для этой службы, и запрашивала новый билет. Теперь решение заключается в использовании имени участника службы, которое было запрошено (без приведения к каноническому виду).
Чтобы центр распределения ключей мог выдать билет службы, необходимо установить имя участника службы для участника безопасности, действующего как служба Это означает, что центр распределения ключей не выдаст билет службы учетной записи, которая не имеет имени участника службы (например, учетной записи пользователя). Причина заключается в том, что против службы, которая представляет собой обычную учетную запись с паролем, придуманным человеком, было бы проще организовать словарную атаку в автономном режиме. Для учетной записи, не имеющей имени участника службы, центр распределения ключей возвратит код ошибки, указывающий на то, что необходима процедура "пользователь-пользователь".
Расширенная проверка адреса клиента Центр распределения ключей в Windows 2000 проверяет адреса в билетах, если они там есть. Однако при этом он не помещает запрошенные адреса в билет.В Windows Server 2003 центр распределения ключей по умолчанию работает в режиме совместимости с клиентами Windows 2000 и не помещает в билет адреса, указанные в AS-REQ, если в системный реестр не будет добавлен новый ключ (HKLM/System/CCS/Services/Kdc/KdcUseClientAddresses со значением типа DWORD, равным 1). Когда билет представляется службе выдачи билетов (TGS), адреса проверяются, если они есть. В Windows Server 2003 это можно запретить, добавив в реестр новый ключ (HKLM/System/CCS/Services/Kdc/KdcDontCheckAddresses со значением типа DWORD, равным 0). По умолчанию производится проверка адресов, если они есть (для совместимости с Windows 2000).
Поддержка номеров версии ключа Номера версии ключа — это необязательная часть спецификации протокола Kerberos. Они могут включаться в данные, шифруемые с помощью Kerberos, если эти данные шифруются с использованием ключа с длительным сроком службы. В Windows Server 2003 впервые появилась возможность использования номера версии ключа.
Выбор типа шифрования В Windows 2000 центр распределения ключей выбирает первый тип шифрования из имеющихся. В Windows Server 2003 центр распределения ключей выбирает самый надежный тип шифрования из числа поддерживаемых клиентом.
Обновление билета TGT в Windows XP и Windows 2000 с пакетом обновления 2 (SP2) или более поздним По умолчанию срок действия билетов TGT равен десяти часам, однако это время может быть увеличено до семи дней (по умолчанию). Для продления срока ввод учетных данных не требуется. Продление будет осуществлено только в том случае, если билет TGT использовался менее чем за пять минут до истечения срока его действия. В противном случае срок действия билета TGT истечет, и его необходимо будет обновить (для чего требуются учетные данные).
Обновление билета TGT в Windows Server 2003 По умолчанию срок действия билетов TGT равен десяти часам, однако это время может быть увеличено до семи дней (по умолчанию). Для продления срока ввод учетных данных не требуется. Обновление происходит с использованием на компьютере потока очистки. Если по какой-либо причине билет TGT не удастся продлить, он перестанет действовать, и его необходимо будет обновить (для чего требуются учетные данные).В Windows XP и Windows 2000 с пакетом обновления 2 (SP2) или более поздним обновление билета TGT инициируется, если он используется менее чем за пять минут до истечения срока его действия.В Windows Server 2003 система периодически обновляет билеты TGT, срок действия которых истекает.
Ограниченное делегирование В Kerberos всегда предоставлялся механизм, позволяющий клиенту делегировать свой билет TGT промежуточному серверу. Этот механизм позволяет промежуточному серверу получать билеты службы для других служб от имени клиента. Например, такое делегирование позволяет промежуточному серверу в трехуровневой системе представляться конечному приложению в качестве клиента. Однако данный механизм позволяет промежуточному серверу получать билеты для любой службы от имени клиента. Ограниченное делегирование — это функция в Windows Server 2003, с помощью которой контроллер домена выдает промежуточному серверу билеты только для тех служб, для которых ему разрешено получать делегированные билеты (это определяется административной политикой). Таким образом, возможность делегирования для промежуточного сервера ограничивается административной политикой.
Ограниченное делегирование с преобразованием протоколов Преобразование протоколов — это функция, позволяющая промежуточному серверу запрашивать билет, не требуя от клиента предварительно проходить проверку подлинности по протоколу Kerberos. Таким образом, клиент может использовать проверку подлинности по протоколу SSL при обращении к промежуточному серверу, а тот — проверку подлинности по протоколу Kerberos при обращении к конечному приложению.
Доверенные отношения между лесами Многим организациям, развертывающим несколько лесов, требуется сотрудничество с лесами в других организациях. В этом случае установление внешних доверительных отношений требует огромных усилий и не позволяет использовать новейшие технические достижения. В Windows Server 2003 вводится понятие межлесных доверительных отношений, облегчающее развертывание нескольких лесов. Межлесные доверительные отношения позволяют федерализовать два леса Active Directory одним отношением доверия, обеспечив легкость проверки подлинности и авторизации между лесами.

Новые возможности служб управления