Проектирование доменов и развертывание Active Directory
Active Directory Migration Tool
Active Directory Migration Tool
Для перехода от доменов Windows NT 4.0 к доменам Windows 2000 и для манипулирования объектами Active Directory в дереве или лесе доменов Windows 2000 компания Microsoft выпустила специальный инструмент для миграции — утилиту Active Directory Migration Tool (ADMT), которая свободно доступна на веб-узле Microsoft.
|
|
|
Примечание 1
Примечание 1
|
|
|
Основное, о чем нужно помнить при работе с этой утилитой (а также со многими утилитами сторонних поставщиков, например FastLane), — то, что целевой домен, т. е. домен, в который переносятся объекты, должен работать в основном режиме.
Утилита ADMT позволяет переносить из одного домена в другой учетные записи пользователей и компьютеров, локальные и глобальные группы, доверительные отношения, обновлять списки управления доступом (ACL), создавать отчеты и выполнять другие задачи, связанные с процессом миграции. Для выполнения тех или иных функций используются мастера (wizards), вызываемые из контекстного меню оснастки,
Каждый мастер работает в двух режимах:
|
|
|
Режим
проверки
параметров миграции
|
|
|
Режим
выполнения
операции миграции
Это дает возможность проверить все операции перемещения объектов, исправить возможные конфликты и только после этого выполнять эти операции. Вся информация о выполняемых действиях заносится в журналы, которые можно просмотреть после выполнения любой операции.
Добавление к дереву дочерних доменов
Добавление к дереву дочерних доменов
Создать в существующем дереве дочерний (подчиненный) домен также можно с помощью мастера установки Active Directory:
|
|
1.
|
Запустите программу Dcpromo.
|
|
2.
|
Установите переключатель
Контроллер домена в новом домене.
|
|
3.
|
Введите полное DNS-имя существующего домена, который будет родительским для создаваемого домена, например, nycorp.com.
|
|
4.
|
Введите краткое имя нового дочернего домена, например, finance. Тогда полное имя создаваемого домена будет finance.mycorp.com.
|
|
5.
|
Введите или подтвердите NetBIOS-имя для нового домена.
|
|
6.
|
Введите имя, пароль и название домена для учетной записи, имеющей административные полномочия в родительском домене.
|
|
7.
|
Укажите дополнительные параметры (местоположение базы данных Active Directory и т. д.).
|
|
8.
|
После проверки всех заданных параметров нажмите кнопку
Далее —
начнется процесс повышения роли сервера.
После перезагрузки компьютер будет работать как первый контроллер домена в новом дочернем домене.
File Migration Utility
File Migration Utility
Эта утилита позволяет переносить большие объемы данных с серверов NetWare (всех версий) на Windows 2000, сохраняя структуру каталогов и разрешения доступа. При этом пользователи имеют доступ к своим файлам в течение всего процесса миграции.
В утилите широко используются мастера и обеспечивается постепенная или полная миграция.
Утилита MSFMU также работает с протоколами IPX/SPX и TCP/IP.
Microsoft Directory Synchronization Services
Microsoft Directory Synchronization Services
Это средство позволяет периодически синхронизировать различную информацию (в первую очередь — учетные записи пользователей и групп), хранящуюся в Active Directory, с данными, расположенными в Novell Directory Service (NDS) и базе данных bindery систем NetWare 3.x При этом связь с NDS — двухсторонняя, а с bindery — односторонняя. Обеспечивается синхронизация паролей.
Службы MSDSS работают с протоколами IPX/SPX и TCP/IP.
Миграция из Novell NetWare
Миграция из Novell NetWare
Как уже говорилось, можно перейти к Active Directory из различных служб каталогов (Exchange, Windows NT Server 4.0 NTDS и др.). Кроме того, компания Microsoft предлагает средства для перехода от Novell NetWare к Windows 2000, что особенно актуально для смешанных сетевых сред. Такие средства уже существовали в предыдущих версиях Windows NT и позволяли переносить пользователей, группы, файлы и списки управления доступом к файлам из базы данных bindery в контроллер домена Windows NT Server.
Для системы Windows 2000 компания Microsoft выпустила два облегчающих миграцию инструмента, которые входят в отдельно приобретаемый продукт - Microsoft Services for NetWare v.5 (SFNW5):
|
|
|
Microsoft Directory Synchronization Services (MSDSS)
|
|
|
File Migration Utility (MSFMU)
|
|
|
Примечание 1
Примечание 1
|
|
|
Мы упоминаем только те средства, входящие в SFNW5, которые относятся к миграции.
Эти инструменты облегчают переход из Novell NetWare к Windows 2000 или поддержание двух служб каталогов в смешанной среде.
Переключение домена в основной режим
Переключение домена в основной режим
Домены Windows 2000 могут находиться в двух режимах:
|
|
|
Смешанный режим (mixed mode), позволяющий сосуществовать контроллерам доменов, работающим с программным обеспечением как Windows 2000, так и Windows NT более ранних версий. В этом режиме включены некоторые возможности Windows NT Server более ранних версий и отключены некоторые возможности Windows 2000 Server.
|
|
|
Основной режим (native mode), где все контроллеры работают с программным обеспечением Windows 2000 Server. В этом режиме полностью доступны такие новые воамвжййейг, "М&с создание влбженньрс (nested) групп и междоменное членство в группах (универсальные группы).
По умолчанию домены создаются в смешанном режиме. В этом режиме в состав доменов могут входить BDC-контроллеры Windows NT 4.0. После того как все BDC-контроллеры будут обновлены или удалены, можно переключить домен в основной режим.
|
|
|
Примечание 1
Примечание 1
|
|
|
Множественная репликация (multi-master replication) между контроллерами домена в Windows 2000 выполняется всегда, даже в смешанном режиме.
При переходе в основной режим в домене не должно быть BDC-конт-роллеров. После переключения в этот режим уже нельзя вернуться в смешанный режим и добавлять к домену контроллеры, работающие с программным обеспечением, отличным от Windows 2000 Server. Для переключения режима работы домена используется оснастка Active
Directory — пользователи и компьютеры.
После перезагрузки компьютера контроллер домена начнет работать в основном режиме, необходимо также перезагрузить все контроллеры в домене.
Планирование организационных единиц (подразделений)
Планирование организационных единиц (подразделений)
Организационные единицы (OU), или подразделения, могут содержать пользователей, группы, компьютеры, принтеры и общие папки, а также другие
OU. OU — это
минимальная
"единица" администрирования, права управления которой можно делегировать некоторому пользователю или группе. С помощью OU можно обеспечить
локальное
администрирование пользователей (создание, модификация и удаление учетных записей) или ресурсов.
|
|
|
Примечание 1
Примечание 1
|
|
|
Организационные единицы и подразделения — это термины-синонимы; мы будет чаще использовать понятие
организационная единица,
говоря о
структуре
каталога Active Directory и его дереве, и
подразделение —
когда речь идет об
администрировании
Active Directory, делегировании управления и т. п.
В каталоге Active Directory организационные единицы представляют собой объекты типа "контейнер" и отображаются в окне оснастки
Active Directory — пользователи и компьютеры
(Active Directory Users and Computers) как папки. Их основное назначение — группирование объектов каталога с целью передачи административных функций отдельным пользователям.
Дерево OU может отображать реальную структуру организации — административную, функциональную и т. п. При этом учитываются иерархия полномочий ответственных работников и необходимые функции управления. Каждый доменов дереве или лесе может иметь свою, совершенно независящую от других структуру организационных единиц.
Организационная единица — минимальная структурная единица, которой можно назначить собственную групповую политику, т. е. определить разрешения на доступ к ней (и подчиненным OU), конфигурационные настройки и т. п. Однако OU не является структурным элементом безопасности (т. е. нельзя, скажем, назначить подразделению некоторые права доступа к определенному объекту), а служит только для группирования объектов каталога. Для назначения полномочий и разрешений доступа к ресурсам следует применять
группы безопасности
(security groups).
|
|
|
Примечание 2
Примечание 2
|
|
|
Параметры безопасности групповой политики, назначенной некоторому подразделению, позволяют "сужать" область действия этой политики. Предположим, например, что в подразделении имеется несколько групп безопасности. По умолчанию групповая политика распространяется на всех членов подразделения. Однако можно сделать так, что эта политика будет действовать только на определенную группу (группы) и игнорироваться остальными группами подразделения. Подробнее об этом рассказано в главе 27.
Вот рекомендации по выбору решения (организовать ли в сети несколько доменов или делить её на организационные единицы):
|
|
|
Создавайте несколько доменов, если в организации действует децентрализованное управление, при котором пользователями и ресурсами управляют совершенно независимые администраторы.
|
|
|
Создавайте несколько доменов, если части сети связаны медленным каналом и совершенно нежелательна полная репликация по этому каналу (если репликация возможна хотя бы иногда, то лучше создавать один домен с несколькими сайтами).
|
|
|
Разбивайте домен на организационные единицы, чтобы отразить в них структуру организации.
|
|
|
Разбивайте домен на организационные единицы, если нужно делегировать управление над ограниченными, небольшими группами пользователей и ресурсов; при этом можно делегировать
все
права администрирования или только
некоторые.
|
|
|
Разбивайте домен на организационные единицы, если их структура соответствует
будущим
изменениям в организации (компании). Домены же, по возможности, нужно конфигурировать так, чтобы перемещать или делить их приходилось как можно реже.
Двухуровневая иерархия — доменов в дереве доменов и организационных единиц в домене — обеспечивает гибкость администрирования, которое может быть и централизованным, и децентрализованным, и смешанным.
Планирование структуры доменов
Планирование структуры доменов
Развертывание сетевой структуры целесообразно начать с создания единственного домена, который легче всего администрировать, и по мере необходимости добавлять новые домены. Достоинством Active Directory (по сравнению с доменной моделью Windows NT) является возможность создания в одном домене значительно большего числа объектов (до нескольких миллионов). При этом один домен может содержать несколько географически разнесенных и администрируемых индивидуально сайтов, связанных медленными каналами.
Совсем не нужно создавать дерево из нескольких доменов только для того, чтобы таким образом отобразить структуру организации, ее подразделения или отделы. Для этого достаточно в единственном домене создать соответствующие подразделения (организационные единицы) и назначить для них групповые политики, распределить пользователей, группы и компьютеры.
Для создания нескольких доменов должны быть достаточно веские причины, например:
|
|
|
Различные требования к безопасности для отдельных подразделений
|
|
|
Очень большое количество объектов
|
|
|
Различные Интернет-имена для доменов. Если имена доменов образуют непрерывное пространство имен DNS, то можно создать
дерево
доменов; если имена доменов уникальны, то возможно создание
леса
доменов
|
|
|
Дополнительные требования к репликации
|
|
|
Децентрализованное администрирование сети. При наличии нескольких доменов совершенно независимые друг от друга системные администраторы могут устанавливать собственные политики безопасности. Кроме того, можно администрировать домены на различных национальных языках
Подготовка к созданию контроллера домена
Подготовка к созданию контроллера домена
Контроллером домена можно сделать любой сервер, на котором функционирует Windows 2000 Server. Способы инсталляции системы описаны в главе 1. Если при установке системы используется контроллер домена Windows NT 4.0, то процесс повышения роли начинается автоматически после обновления системы и ее перезагрузки.
Обычный сервер преобразуется в контроллер домена при помощи утилиты DCpromo.exe, которая запускает
Мастер установки Active Directory
(Active Directory Installation Wizard).
Подключение рабочих станций и рядовых серверов
Подключение рабочих станций и рядовых серверов
Серверы и рабочие станции (клиентские компьютеры) включаются в домен Windows 2QOO аналогично тому, как это делается в Windows NT 4.O. При этом используется оснастка
Active Directory — пользователи я компьютеры.
Компьютерам нужно указать IP-адрес хотя бы одного DNS-сервера для того, чтобы они могли находить контроллеры домена. IP-адрес DNS-сервера может передаваться клиентам автоматически при помощи DHCP (серверы DHCP более подробно описаны в главе 17) или задаваться вручную.
Системы Windows NT 4.0 и Windows 9x используют для поиска контроллеров домена службу WINS, которую нужно установить, если в доменах Windows 2000 должны работать эти клиенты. Если на .клиентах установлен Active Directory Client и применяется только TCP/IP, то ставить WINS необязательно.
Учетные записи для компьютеров можно создавать заранее (с помощью оснастки
Active Directory — пользователи и компьютеры)
или в процессе подключения компьютера к домену. Для подключения компьютера с Windows 2000 к домену:
|
|
1.
|
Выберите значок
Система
(System) на панели управления или щелкните правой кнопкой мыши на значке
Мой компьютер
(My Computer) на рабочем столе и выберите команду
Свойства
(Properties)контекстного меню.
|
|
2.
|
Перейдите на вкладку
Сетевая идентификация
(Network Identification) и нажмите кнопку
Свойства.
|
|
|
Примечание 1
Примечание 1
|
|
|
В системе Windows 2000 Professional можно также использовать другое средство— Мастер сетевой идентификации (Network Identification Wizard), который поможет выполнить все необходимые для. подключения к домену действия. Для этого нужно нажать кнопку Идентификация (Network ID).
|
|
3.
|
В группе
Является членом
(Member of) установите переключатель
домена
(Domain).
|
|
4.
|
В ставшем доступном текстовом поле введите полное DNS-имя домена, к которому следует подключиться, например, тусогр.ссоц и нажмите кнопку
ОК.
|
|
5.
|
Введите имя и пароль учетной записи в домене, имеющей полномочия на подключение компьютеров к домену. Если имеется созданная предварительно учетная запись для данного компьютера, введите соответствующие значения. Если нужно создать учетную запись "на лету", введите данные пользователя, имеющего разрешение на создание объектов в стандартном контейнере Computers. В любом случае можно использовать учетную запись администратора домена.
|
|
6.
|
Нажмите кнопку
ОК.
|
|
7.
|
В случае успешного выполнения операции подключения компьютера к домену появляется сообщение.
|
|
8.
|
Закройте окно свойств системы.
|
|
9.
|
Нажав кнопку
Да
(Yes) в ответ на появляющееся сообщение, перезагрузите компьютер.
Понижение контроллера домена
Понижение контроллера домена
Для того чтобы превратить контроллер домена в рядовой сервер, также используется утилита DCPromo, т. е. мастер установки Active Directory.
Процесс понижения роли контроллера домена имеет ряд особенностей, связанных с количеством контроллеров в домене (доменах) и их функциями.
Если понижается контроллер домена, являющийся сервером глобального каталога, то будет выдано предупреждение. Его можно проигнорировать в двух случаях:
|
|
|
если контроллер домена — единственный и уничтожается
вся
доменная структура;
|
|
|
если в лесе имеются другие контроллеры, выполняющие эту функцию.
В противном случае нужно назначить сервером глобального каталога другой контроллер домена и выполнить репликацию, после чего можно снова запускать мастер установки Active Directory.
Кроме того, мастеру установки Active Directory необходимо указать, является ли контролер домена последним в домене.
Если флажок
Этот сервер — последний контроллер домена в данном домене
(This server is the last domain controller in the domain) остается сброшенным (т. е. контроллер домена становится
рядовым
сервером), то в следующем окне нужно указать и подтвердить пароль администратора на выбранном компьютере. Если же флажок установить (т. е. контроллер домена становится
изолированным
сервером, и домен полностью уничтожается), то в следующем окне нужно указать имя пользователя с правами администратора предприятия для этого леса, пароль и имя домена, а затем — пароль, назначаемый администратору компьютера.
Выводится окно сводки, в котором можно проверить правильность выполняемых действий. После нажатия кнопки
Далее
начинается сам процесс понижения роли сервера. После появления сообщения об удалении Active Directory с компьютера нужно перёзагрузиться.
Предварительные операции
Предварительные операции
Даже если создается домен с единственным контроллером, необходимо учесть некоторые изложенные ниже соображения, не говоря уже о сложной сети с несколькими доменами (сайтами) и множеством подразделений (организационных единиц).
Проектирование структуры сайтов
Проектирование структуры сайтов
Планирование репликации каталога следует начинать с одного сайта, а затем, с учетом каналов передачи данных и их пропускной способности, можно добавлять новые сайты. Для локальных сетей (LAN) с быстрыми каналами обычно используются конфигурации с одним сайтом (хотя можно разбить их на несколько сайтов), поскольку зачастую такое решение упрощает администрирование.
Использование нескольких сайтов дает следующие преимущества:
|
|
|
Распределяется нагрузка по сети со стороны клиентов
|
|
|
Возможна оптимизация процесса получения данных из каталога
|
|
|
Упрощается администрирование (например, управление конфигурацией) ресурсов, если они объединены в сайт
|
|
|
Возможна "тонкая" настройка репликации
Создание нового сайта с собственными контроллерами домена имеет смысл в том случае, когда контроллеры домена недостаточно быстро (по вашим субъективным оценкам) реагируют на запросы пользователей. Обычно такое случается при большом территориальном удалении клиентских компьютеров и медленных каналах связи. Создание нового сайта может быть целесообразно с точки зрения обеспечения аутентификации пользователей. Клиент при регистрации пытается найти контроллер домена в своем, локальном сайте. Поэтому топология сайтов должна учитывать то, насколько быстро клиент должен получать доступ к контроллеру домена.
Имеет смысл включать все контроллеры домена в один сайт, если репликация между ними должна выполняться по единому расписанию. Однако при наличии нескольких сайтов можно индивидуально настроить репликацию с учетом их специфики. Например, можно использовать по умолчанию быстрый канал, а коммутируемое соединение — если основной канал недоступен. Такой подход обеспечивает и эффективность, и отказоустойчивость.
Разработка модели делегирования прав администрирования
Разработка модели делегирования прав администрирования
Если внутри домена создать дерево организационных единиц (Organizational Unit, OU), или подразделений, то можно распределить обязанности администраторов отдельных подразделений между различными пользователями и группами. В этом случае уменьшается число сотрудников, которые получают полный контроль над всем доменом.
После того как разработана структура подразделений и по ним распределены пользователи, можно продумать административную иерархию, т. е. определить, какие пользователи получат права управления целыми подразделениями, и кто будет выполнять только ограниченные административные функции (например, управлять отдельными группами или принтерами).
Создание нового дерева в лесе
Создание нового дерева в лесе
Процесс создания новых деревьев в существующем лесе аналогичен описанной выше процедуре создания дочерних доменов. Отличий совсем немного: запустите мастер установки Active Directory, установите переключатель
Контроллер домена в новом домене,
укажите, что новый домен является первым доменом в новом дереве существующего леса (переключатель
Создать новое доменное дерево),
а затем введите полное DNS-имя нового дерева, например, new-corp.com (это имя не должно быть смежным ни с одним: из деревьев, существующих в выбранном лесе), и NetBIOS-имя нового домена. После установки Active Directory и перезагрузки компьютер начнет работать как первый контроллер домена в новом дереве, при этом новый домен будет связан доверительными отношениями с корневыми доменами существующих деревьев.
Создание первого контроллера домена
Создание первого контроллера домена
Первый, корневой домен в лесе, также является началом первого дерева этого леса. Если, например, создаются дочерние домены в дереве
bhv.com,
то DNS-имена всех доменов в этом дереве будут иметь окончание
bhv.com
(sales.bhv.com или office.bhv.com). Поэтому сначала следует определиться с именем первого домена. Для создания первого контроллера в домене:
|
|
1.
|
Установите Microsoft DNS-сервер.
|
|
2.
|
Запустите мастер установки Active Directory.
|
|
|
Внимание
|
|
|
Если в сети, где создается контроллер домена, имеется DNS-сервер, то на готовящемся к повышению компьютере необходимо указать IP-адрес этого сервера в свойствах протокола TCP/IP и проверить правильность разрешения имен (например, с помощью команды
ping DNS_имя
или утилиты NetDiag).
|
|
|
Внимание
|
|
|
Нельзя давать серверу, будущему контроллеру домена, динамически назначаемый IP-адрес (с помощью DHCP). Если по каким-то причинам связь с DHCP-сервером будет нарушена, контроллер домена получит при загрузке произвольный адрес, не соответствующий тому, который использовался при создании этого контроллера домена, и не сможет выполнять свои функции!
Установка DNS-сервера
Установка DNS-сервера
Служба DNS применяется клиентами Active Directory для поиска контроллеров домена. Компания Microsoft рекомендует использовать DNS-сервер, поставляемый вместе с Windows 2000 Server, однако можно использовать и другие DNS-серверы, имеющие нужные функции (см. RFC 2136 и 2052; например можно использовать BIND версии не ниже 8.2.2),
DNS-сервер устанавливается и конфигурируется по умолчанию (это необходимо только для первого домена в новом лесе) при создании контроллера домена (т. е. при инсталляции Active Directory; при этом пользователь должен подтвердить запрос на установку DNS-сервера), но можно это сделать и вручную (см. также главу 17). , Для инсталляции DNS-сервера:
|
|
1.
|
Запустите Мастер компонентов Windows (Windows Components Wizard), выберите компонент Сетевые службы (Networking Options) и нажмите кнопку
Состав
(Details).
|
|
2.
|
Установите флажок DNS (Domain Name System), затем нажмите кнопки ОК и Далее (Next). Подождите, пока скопируются нужные файлы (возможно, потребуется дистрибутивный компакт-диск).
|
|
3.
|
После этого в соответствующих полях, введите значения для IP-адреса (IP-address), маски подсети (Subnet Mask) и основного шлюза (Default Gateway).
Для нормальной работы DNS-сервера нужно назначить компьютеру хотя бы один статический IP-адрес. Если компьютер такого адреса не имеет (скажем, выделен динамический адрес), то в процессе инсталляции DNS-сервера имеется возможность добавить нужный статический адрес. Для
частной сети можно использовать зарезервированные значения, например, для сетей Class А можно выбрать адрес 10.0.0.1, принять маску подсети по умолчанию и оставить пустым поле шлюза.
Если в сети уже имеются DNS-серверы, установите переключатель
Использовать следующие адреса DNS-серверов
(Use the following DNS server addresses) и введите IP-адрес DNS-сервера в поле
Основной
DNS-сервер (Primary DNS Server). Если DNS-серверы в сети отсутствуют, установите переключатель
Получить адрес DNS-сервера автоматически
(Obtain DNS server address automatically) или оставьте пустым поле
Основной DNS-сервер.
|
|
4.
|
После того как, нажимая кнопки ОК, вы закроете все окна, в том числе и окно
Установка и удаление программ
(Add/Remove Programs), DNS-сервер будет установлен.
Установка контроллеров домена
Установка контроллеров домена
Контроллер домена (Domain Controller, DC) создается из уже имеющегося изолированного (stand-alone) сервера или рядового (member) сервера при помощи операции, называющейся
повышение роли сервера
(promotion).
|
|
|
Примечание 1
Примечание 1
|
|
|
Обратный процесс преобразования контроллера домена в изолированный или рядовой сервер называется
понижением роли сервера
(denotion). При этом сервер удаляется из леса и изменяются сведения о нем в DNS, с сервера удаляются служба каталогов и ее элементы, восстанавливается стандартная база данных безопасности (SAM). Понижение роли последнего контроллера в домене означает уничтожение всего домена.
Категорически нельзя удалять корневой (первый созданный) домен в доменном дереве: это приведет к уничтожению всего дерева!
Включение в домен дополнительных контроллеров
Включение в домен дополнительных контроллеров
Создание дополнительных контроллеров домена также выполняется при помощи мастера установки Active Directory:
|
|
1.
|
Зарегистрируйтесь в системе как Администратор.
|
|
2.
|
Запустите программу DCpromo и нажмите кнопку
Далее.
|
|
3.
|
Установите переключатель
Добавочный контроллер домена в существующем домене
(Additional domain controller for an existing domain) и нажмите кнопку
Далее.
|
|
4.
|
Введите имя, пароль и полное DNS-имя домена для пользовательской записи с административными правами в домене (это может быть член группы Администраторы или пользователь, имеющий права на подключение компьютеров к домену).
|
|
5.
|
Введите полное DNS-имя существующего домена; при этом можно выбрать домен из списка существующих, нажав кнопку
Обзор
(Browse).
|
|
6.
|
В следующих окнах мастера укажите дополнительные параметры (местоположение базы данных Active Directory, журналов регистрации событий, реплицируемого системного тома, а также пароль администратора для восстановления службы каталогов).
|
|
7.
|
В появляющемся окне сводки проверьте правильность параметров и нажмите кнопку
Далее
— начнется процесс повышения роли сервера.
После перезагрузки компьютер будет работать как один из контроллеров указанного домена.
|
|
|
Примечание 1
Примечание 1
|
|
|
Если на сервере до начала процесса повышения роли была установлена служба DNS, то она полностью конфигурируется с использованием записей основного DNS-сервера. Таким образом легко получить резервный DNS-сервер, повысив отказоустойчивость сети. При этом предпочтительнее, если зоны DNS хранятся в Active Directory.
Запуск мастера установки Active Directory
Запуск мастера установки Active Directory
Мастер установки Active Directory значительно упрощает создание и конфигурирование нового контроллера домена.
|
|
1.
|
Зарегистрируйтесь в системе как Администратор (Administrator).
|
|
2.
|
Для запуска мастера выберите команду
Пуск | Выполнить
(Start | Run) и введите команду dcpromo. Альтернативный вариант — выбрать команду
Пуск | Программы | Администрирование | Настройка сервера
(Start | Programs | Administrative Tools | Configure Your Server), в открывшемся окне последовательно нажать кнопки
Active Directory и Запустить
(Start).
|
|
3.
|
Выберите переключатель
Контроллер домена в новом домене
(Domain controller for a new domain) и нажмите кнопку
Далее
(Рисунок 24.1).
|
|
4.
|
Установите переключатель
Создать новое доменное дерево
(Create a new domain tree), нажмите кнопку
Далее
(Nest) и в следующем окне установите переключатель
Создать новый лес доменных деревьев
(Create a new forest of domain trees).
|
|
5.
|
Введите полное DNS-имя, выбранное для первого домена, например, шусогр.ссш. Утилита DCpromo проверяет, используется ли уже данное имя. Затем для домена также определяется NetBIOS-имя (по умолчанию для нашего примера будет предложено имя mycorp), по которому идентифицируют домен клиенты нижнего уровня, например, Windows NT 4.0.
|
|
6.
|
В следующих окнах мастера устанавливаются дополнительные параметры (местоположение базы данных Active Directory, журналов регистрации событий, реплицируемого системного тома).
|
|
7.
|
Если на компьютере или в сети отсутствует DNS-сервер, то мастер установки выдает сообщение (Рисунок 24.2) и предлагает установить и настроить DNS. Если в сети все же имеется работающий сервер DNS, то необходимо проверить связь с ним (и вернуться в первое окно мастера установки
Active Directory) или соответствие этого сервера требованиям Active Directory. Если DNS-сервер отсутствует, то, установив в следующем окне переключатель
Да, автоматически установить и настроить DNS (рекомендуется)
(Yes, install and configure DNS on this computer (recommended)), разрешите на компьютере автоматическую установку и настройку DNS-сервера для работы с Active Directory. Если же будет установлен переключатель
Нет, установить и настроить DNS вручную
(No, I will install and configure DNS myself), то после создания контроллера домена необходимо будет
вручную
создать на DNS-сервере все записи, обеспечивающие работу домена, что требует глубокого понимания всех аспектов взаимодействия Active Directory и DNS.
|
|
|
|
Рис 24.1.
Выбор типа контролера
|
|
|
|
Рис 24.2.
Для работы Active Directory обязательно присутствие в сети службы DNS
|
|
8.
|
В следующем окне выберите разрешения (Рисунок 24.3), определяющие возможность работы в создаваемом домене служб, работающих на серверах предыдущих версий Windows NT.
|
|
9.
|
Введите и подтвердите пароль администратора, который будет использоваться при восстановлении службы каталогов (это Один из дополнительных вариантов загрузки Windows 2000).
|
|
|
|
Рис 24.3.
Выбор разрешений, позволяющих службам более ранних версий взаимодействовать с создаваемым контроллером домена Windows 2000
Не путайте административный пароль (и не забудьте его, если пароли не одинаковые!) для восстановления каталога с обычным паролем администратора, это разные пароли!
Поскольку в режиме консоли нельзя ввести русские символы, для пароля рекомендуется использовать только цифры и латинские буквы.
|
|
10.
|
После выполнения всех указанных операций мастер установки выводит сводку выбранных параметров. Необходимо их внимательно проверить: для изменения некоторых параметров можно вернуться, нажимая кнопку
Назад.
|
|
11.
|
После нажатия кнопки Далее начинается собственно процесс установки Active Directory и создания контроллера домена. После настройки служб и параметров безопасности начнется установка DNS-сервера, если она была разрешена пользователем. Затем служба DNS запускается и конфигурируется.
|
|
12.
|
По завершении всех операций мастер установки Active Directory выводит информационное окно, в котором нужно нажать кнопку
Готово
(Finish), и предлагает перезагрузить компьютер: нажмите кнопку
Перезагрузить сейчас
(Restart Now).
После перезагрузки системы первый контроллер домена с Active Directory будет готов. Можно войти в домен с именем Администратор (Administrator) (пароль остается прежним, как и для локальной машины). Теперь можно создавать дополнительные контроллеры домена или начать работу с Active Directory.
Проектирование доменов и развертывание Active Directory
Аудит объектов Active Directory
Аудит объектов Active Directory
Аудит в отношении объектов Active Directory осуществляется так же, как и аудит других объектов операционной системы. Полученная в результате информация просматривается с помощью оснастки.
Просмотр событий
(Event Viewer). Активизируется аудит с помощью оснастки
Групповая политика
(Group Policy) (см. главу 27).
Информация, полученная в результате аудита, позволяет диагностировать потенциальные бреши в системе безопасности и разрешать возникающие проблемы. При настройке аудита нужно определить, какие объекты должны быть отслежены и какие связанные с ними события следует фиксировать в журнале.
При аудите объектов Active Directory информация заносится в журнал событий каждый раз, когда происходит отслеживаемое событие. Данные журнала позволяют определить, какое действие было выполнено, кто его выполнил, дату и время возникновения события и успех или неудачу его завершения.
Аудит объектов Active Directory отличается от локальной политики аудита. Последняя является частью политики безопасности компьютера и позволяет отслеживать только локальные события. С другой стороны, аудит объектов Active Directory позволяет отслеживать события, связанные с изменением свойств объектов, а также с попытками получения доступа к ним, модификации или удаления объектов в масштабах всего каталога Active Directory. Активизация и настройки аудита родительского объекта наследуются всеми дочерними объектами Active Directory. Однако гибкая система, регулирующая степень распространения конкретных настроек, позволяет конфигурировать аудит для одного объекта, для родительского объекта и всех дочерних объектов, только для дочерних объектов или для конкретного дочернего объекта.
Делегирование прав администрирования
Делегирование прав администрирования
Как правило, сети больших предприятий на платформе Windows 2000 обладают чрезвычайно разветвленным деревом каталога. Большое количество ветвей, а также наличие достаточно автономных площадок организации, включенных в общее дерево каталога, усложняют управление. Администрирование сети, каталог которой состоит из десятков тысяч объектов, не может безопасно осуществляться одним или несколькими администраторами, имеющими права доступа ко всем объектам.
В подобных случаях следует применять
делегирование прав администрирования.
Это чрезвычайно мощный инструмент, который в больших организациях позволяет более эффективно сконфигурировать систему безопасного администрирования. С его помощью управление отдельными областями сети смогут осуществлять специально назначенные ответственные лица —
администраторы.
При делегировании прав администрирования очень важно наделять ответственных лиц полномочиями, позволяющими выполнять функции администратора только в пределах их зоны ответственности, они не должны иметь возможность администрировать объекты каталога, находящиеся в других частях сети организации.
Права на создание новых пользователей или групп предоставляются на уровне подразделения или контейнера, в котором будут создаваться учетные записи. Администраторы групп одного подразделения могут не иметь прав на создание и управление учетными записями другого подразделения в том же домене. Однако, если права доступа и настройки политик получены на более высоком уровне дерева каталога, они могут распространяться вниз по дереву благодаря механизму
наследования прав доступа.
Оснастка
Active Directory — пользователи и компьютеры
значительно облегчает просмотр информации о делегировании прав администрирования различным контейнерам. Само делегирование прав администрирования также может быть выполнено без затруднений, поскольку интерфейс позволяет выбрать того, кому вы хотите делегировать права, и права, которые следует делегировать.
Делегирование прав администрирования
Чтобы позволить группе или пользователю управлять некоторым подразделением (контейнером):
|
|
1.
|
Запустите оснастку
Active Directory — пользователи и компьютеры.
|
|
2.
|
Укажите подразделение, управление которым вы хотите передать, и нажмите правую кнопку мыши. В появившемся меню выберите команду
Делегировать управление
(Delegate control). Запустится Мастер делегирования управления (Delegation of Control Wizard). Нажмите кнопку
Далее.
|
|
3.
|
В следующем окне мастера нажмите кнопку
Добавить
и выберите пользователя или группу, которой вы хотите разрешить управление подразделением, нажмите кнопку ОК и затем кнопку Далее.
|
|
4.
|
В открывшемся окне диалога мастера делегирования управления в окне со списком
Делегировать следующие обычные задачи
(Delegate the following common tasks) выберите одну или несколько операций, право выполнения которых делегируется указанному пользователю или группе. Если нужно делегировать право выполнения более специализированной задачи, установите переключатель
Создать особую задачу
для
делегирования
(Create a custom task to delegate). Нажмите кнопку
Далее.
|
|
5.
|
Если указана особая задача для делегирования в следующем окне, можно выбрать область применения для этой задачи: положение переключателя
Этой папкой и существующими в ней объектами, созданием новых объектов в этой папке
(This folder, existing objects in this folder, and creation of new objects in this folder) — в этом случае вы передадите группе право на администрирование всего контейнера— или положение
Только следующими объектами в этой папке
(Only the following objects in the folder) и установить флажки возле нужных объектов — в этом случае группа сможет управлять только
выбранными объектами.
Затем нажмите кнопку
Далее.
|
|
6.
|
В открывшемся окне определяются делегируемые разрешения. Можно отображать и устанавливать
общие
разрешения или разрешения для
отдельных
свойств или
дочерних
объектов. В пределах контейнера можно делегировать не все, а только некоторые права администрирования: например, можно делегировать только права на модификацию (чтение-запись) выбранного контейнера без дочерних объектов. Задайте нужные разрешения и нажмите кнопку
Далее.
|
|
7.
|
В следующем окне сводки выводится информация о выбранных действиях. Можно вернуться назад и скорректировать параметры. Если все правильно, нажмите кнопку
Готово.
Добавление пользователя в группу
Добавление пользователя в группу
Для добавления пользователя в группу:
|
|
1.
|
Укажите группу, в которую вы хотите добавить пользователя, и нажмите правую кнопку мыши. В появившемся меню выберите команду
Свойства.
Появится окно свойств группы.
|
|
2.
|
Перейдите на вкладку
Члены группы
(Members) окна свойств и нажмите
кнопку Добавить.
|
|
3.
|
Появится окно
Выбор: Пользователи, Контакты или Компьютеры
(Select Users, Contacts, or Computers). Здесь можно задать область выполнения запроса: весь каталог, определенный домен или определенная часть дерева подразделения внутри домена. Обратите внимание, что каталог может состоять из множества доменов.
|
|
4.
|
Щелкните на имени добавляемого пользователя и нажмите кнопку Добавить. Обратите внимание, что, нажав клавишу и одновременно выполняя щелчки на нужных объектах, в этом диалоговом окне можно одновременно выбрать несколько пользователей или групп.
В результате все выбранные объекты станут членами соответствующей группы.
Изменение режима работы домена
Изменение режима работы домена
Домены Windows 2000 могут работать в одном из двух режимов:
|
|
|
Смешанный режим
(mixed mode) предполагает возможность одновременной работы контроллеров домена, основанных как на операционной системе Windows 2000 Server, так и на более ранних версиях Windows NT Server. Этот режим позволяет выполнять некоторые функции, характерные для более ранних версий Windows NT, и запрещает выполнение некоторых функций, характерных для Windows 2000.
|
|
|
|
Рис 25.2.
Вкладка
Общие
(General) окна свойств домена
|
|
|
Основной режим
(native mode) предполагает, что все контроллеры домена работают в операционной системе Windows 2000 Server, при этом все клиентские компьютеры должны иметь поддержку (установленный на них клиент) Active Directory (это касается систем Windows
9x
и Windows NT 4.0). В этом режиме можно применять такие новые средства, как универсальные группы, вложенные группы и т. д.
По умолчанию домен Windows 2000 начинает работать в смешанном режиме. При необходимости режим работы домена можно изменить на основной. Однако обратный переход невозможен. Для перехода к основному режиму:
|
|
1.
|
Укажите домен, режим которого необходимо изменить, и нажмите правую кнопку мыши. В открывшемся окне диалога выберите команду
Свойства.
|
|
2.
|
На вкладке
Общие
(General) (Рисунок 25.2) окна свойств домена нажмите кнопку
Сменить режим
(Change Mode). После изменения режима перезапустите контроллер домена.
Оснастка Active Directory - домены и доверие (Active Directory Domains and Trusts)
Оснастка
Active Directory - домены и доверие
(Active Directory Domains and Trusts)
С помощью оснастки
Active Directory — домены и доверие
администратор может просматривать все деревья доменов в лесу и управлять доменами, а также устанавливать доверительные отношения между доменами и настраивать режим работы домена
(смешанный,
mixed, или
основной,
native). Данная оснастка позволяет конфигурировать дополнительные суффиксы
основных имен пользователей
(User Principal Name, UPN) для всего леса, которые облегчают пользователям процесс регистрации в Active Directory. Суффиксы основных имен пользователей соответствуют стандарту RFC 822, принятому в Интернете. Иногда их называют
почтовыми адресами.
По умолчанию суффикс леса совпадает с его DNS-именем.
Оснастку
Active Directory — домены и доверие
можно запустить стандартным способом, подключив ее к консоли управления ММС, либо выбрав команду
Пуск | Программы | Администрирование | Active Directory - домены и доверие
(Start | Programs | Administrative Tools | Active Directory Domains and Trusts).
После загрузки оснастки
Active Directory — домены и доверие
появляется окно, аналогичное показанному на Рисунок 25.1.
Для добавления дополнительных суффиксов UPN:
|
|
1.
|
Укажите корневой узел оснастки
Active Directory — домены и доверие
и нажмите правую кнопку мыши. В появившемся контекстном меню выберите команду
Свойства
(Properties).
|
|
2.
|
В открывшемся окне диалога введите дополнительные суффиксы UPN, нажимая кнопку Добавить (Add).
|
|
|
|
Рис 25.1.
Начальное окно оснастки
Active Directory - домены и доверие
(Active Directory Domains and Trusts)
Оснастка Active Directory - пользователи и компьютеры
Оснастка
Active Directory - пользователи и компьютеры
(Active Directory Users and Computers)
Оснастка
Active Directory — пользователи и компьютеры
предназначена для управления пользователями, группами, очередями печати и другими объектами каталога Active Directory. Этот инструмент позволяет создавать объекты, настраивать их атрибуты и выполнять с ними ряд других операций.
Оснастка
Active Directory — пользователи и компьютеры работает
на контроллере домена под управлением Windows 2000 Server; оснастка не устанавливается на изолированных серверах или рабочих станциях. Отметим, что работа этого инструмента возможна на
рядовом
сервере (member server), являющемся членом домена, и на компьютере с Windows 2000 Professional, входящем в домен Windows 2000: для этого на них необходимо установить пакет административных оснасток Windows 2000 Administrative Tools.
Оснастку
Active Directory — пользователи и компьютеры
можно запустить изолированно в консоли ММС или из меню
Пуск | Программы J Администрирование.
Пример окна оснастки показан на Рисунок 25.4.
В открывшемся окне вы можете видеть встроенные папки со сгруппированными определенными объектами каталога, играющие важную роль в управлении Active Directory, такие как
Builtin, Computers, System, Users и Domain Controllers (табл 25.1).
Переименование, перемещение и удаление объектов
Переименование, перемещение и удаление объектов
Любой объект в Active Directory можно переименовать или удалить. При этом следует соблюдать особую осторожность, чтобы не удалить объекты, необходимые для работы системы. Большинство объектов разрешено перемещать в различные контейнеры.
Для
переименования
объекта:
|
|
|
Укажите нужный объект и нажмите правую кнопку мыши. В появившемся контекстном меню выберите команду
Переименовать
(Rename).
Для
удаления
объекта:
|
|
|
Укажите нужный объект. Затем нажмите правую кнопку и в появившемся контекстном меню выберите команду
Удалить
(Delete), либо нажмите клавишу на клавиатуре.
Для
перемещения
объекта:
|
|
|
Укажите нужный объект и нажмите правую кнопку мыши. В появившемся меню выберите команду
Переместить
(Move). Запустится браузер каталога, позволяющий выбрать контейнер, куда будет перемещен объект.
Перемещение учетной записи пользователя
Перемещение учетной записи пользователя
Учетную запись пользователя можно перемещать из одного подразделения в другое в пределах одного домена или между доменами. Для соответствующего перемещения учетной записи этого пользователя:
|
|
1.
|
Щелкните на подразделении, откуда требуется перенести пользователя.
|
|
2.
|
Укажите учетную запись пользователя, которую следует перенести, и нажмите правую кнопку мыши. В контекстном меню выберите команду
Переместить
(Move).
|
|
3.
|
В окне
Переместить
выберите целевое подразделение и нажмите кнопку
ОК.
Как правило, необходимость переноса учетных записей пользователей из папки
Users
в другие подразделения возникает при обновлении более ранних версий Windows NT Server на Windows 2000 Server.
Принтеры, работающие в других системах
Принтеры, работающие в других системах
В каталоге Active Directory могут быть опубликованы общие принтеры, работающие в системах, отличных от Windows 2000 (например, Windows NT или Windows
9x).
Такие принтеры проще всего опубликовать с помощью
сценария pubprn,
который публикует все общие принтеры, находящиеся на указанном сервере. Сценарий расположен в каталоге
%SystemRoot%\System32.
Его синтаксис:
cscript pubprn.vbs сервер лууь [trace]
Например:
cscript pubprn.vbs prservl "LDAP://ou=Office, dc=BHV, dc=ru"
В данном случае все принтеры на сервере \\prservl будут опубликованы в подразделении Office. Этот сценарий копирует только следующее подмножество атрибутов принтера:
|
|
|
Местоположение (Location)
|
|
|
Модель (Model)
|
|
|
Комментарий (Comment)
|
|
|
Путь UNC (UNCPath)
Другие атрибуты можно добавить с помощью оснастки
Active Directory -пользователи и компьютеры.
Обратите внимание, что сценарий pubprn может быть выполнен повторно. В этом случае информация о существующем принтере будет обновлена.
Другой способ публикации принтеров, работающих в других (не-Windows 2000) системах, — с помощью оснастки
Active Directory - пользователи и компьютеры:
|
|
1.
|
Выберите подразделение, в котором вы хотите опубликовать принтер, и нажмите правую кнопку мыши. В появившемся меню выберите команду
Создать (New) | Принтер (Printer);
|
|
2.
|
В поле
Сетевой путь к пред-Windows 2000 общему ресурсу печати
(Network path of the pre-Windows 2000 print share) введите полный путь к принтеру.
|
|
3.
|
В окне
Имя
(Name) введите с клавиатуры имя принтера, под которым он будет опубликован.
|
|
4.
|
Нажмите кнопку
ОК.
Чтобы увидеть опубликованный принтер в каталоге и подключиться к нему:
|
|
1.
|
На рабочем столе откройте папку
Мое сетевое окружение.
|
|
2.
|
Выберите значок
Вся сеть
(Entire Network), а затем —
Directory.
|
|
3.
|
Щелкните на имени вашего домена и затем на папке (подразделении), где расположен необходимый принтер.
|
|
4.
|
Укажите имя просматриваемого принтера и нажмите правую кнопку мыши. В появившемся меню выберите команду
Подключить
(Connect) для установки принтера как локального, или
Открыть
(Open) для просмотра текущего состояния, очереди печати.
Проверка правильности выполнения передачи прав администрирования
Проверка правильности выполнения передачи прав администрирования
|
|
1.
|
Зарегистрируйтесь как пользователь-член группы, получившей право управления контейнером.
|
|
2.
|
Запустите оснастку
Active Directory — пользователи и компьютеры.
|
|
3.
|
Попытайтесь выполнить какую-либо операцию в этом контейнере, например, создайте объект или измените свойства имеющихся объектов. Операция должна завершиться успешно. Попытайтесь выполнить аналогичную операцию за пределами того контейнера, в котором вы имеете права администрирования. Она закончится неудачно из-за
отсутствия доступа
(Access Denied).
Публикация общего ресурса в виде объекта каталога
Публикация общего ресурса в виде объекта каталога
Для публикации общего ресурса в виде объекта каталога:
|
|
1.
|
В оснастке
Active Directory - пользователи и компьютеры
укажите подразделения, где необходимо опубликовать общую папку, и нажмите правую кнопку мыши. В появившемся меню выберите команду
Создать | Общую папку
(New | Shared Folder).
|
|
2.
|
В открывшемся окне в поле
Имя
(Name) введите с клавиатуры имя, которое получит опубликованная папка.
|
|
3.
|
Введите значение в формате <имя_компьютера>\имя_оещего_ресурса
в
поле
Сетевой путь к общему ресурсу (\\сервер\ресурс)
(Network Path (\\server \share)).
|
|
|
Внимание
|
|
|
Определенным неудобством является то, что система не проверяет существование указанного общего ресурса и не позволяет выбрать его в диалоговом режиме.
Теперь при просмотре дерева Active Directory пользователи могут видеть опубликованную папку.
Для того чтобы просмотреть общую папку:
|
|
1.
|
На рабочем столе откройте папку
Мое сетевое окружение
(My Network Places).
|
|
2.
|
Выберите значок
Вся сеть
(Entire Network), а затем —
Directory.
|
|
3.
|
Щелкните на имени вашего домена и затем на папке, где расположена необходимая общая папка (в данном случае подразделение Office).
|
|
4.
|
В открывшемся окне укажите общую папку (в данном случае
Документы аудита)
и нажмите правую кнопку мыши. В появившемся меню выберите команду
Открыть
(Open). Вы увидите все файлы, находящиеся в выбранной папке.
Публикация общей папки
Публикация общей папки
Любая папка, для которой организован общий доступ, включая папку DFS, может быть опубликована в Active Directory. Публикация заключается в создании в Active Directory объекта типа "общая папка". Сама публикация не подразумевает автоматическое обеспечение общего доступа к папке, поэтому процесс публикации состоит из двух этапов:
|
|
1.
|
Обеспечение общего доступа к папке.
|
|
2.
|
Ее публикация в Active Directory в виде объекта каталога.
Публикация принтеров
Публикация принтеров
Принтеры, подключенные к системам Windows 2000
Принтер, общий доступ к которому осуществляется через компьютер с Windows 2000, публикуется с помощью вкладки
Доступ
(Sharing) окна свойств принтера. По умолчанию принтер, к которому организуется общий доступ, публикуется автоматически. Он находицся в каталоге в соответствующем контейнере компьютера. При обращении к нему нужно указать имя в формате <Имя_сервера>-<Имя_принтера>.
Подсистема печати будет автоматически распространять в Active Directory информацию обо всех изменениях атрибутов принтера (местоположения, описания, загруженной бумаги и т. д.).
Для того чтобы обеспечить общий доступ к принтеру, а затем опубликовать его в каталоге:
|
|
1.
|
С помощью обычной процедуры
(Пуск | Настройка | Принтеры | Установка принтера
(Start | Settings | Printers | Add Printer)) создайте новый принтер и разрешите общий доступ к нему.
|
|
2.
|
После успешного завершения создания принтера автоматически выполняется его публикация в Active Directory.
Работа с объектами типа "компьютер"
Работа с объектами типа "компьютер"
Объект типа "компьютер" автоматически создается при включении компьютера в домен. Этот объект можно также создать заранее.
Для создания объекта "компьютер":
|
|
1.
|
Выберите подразделение, где будет создан объект "компьютер", и нажмите правую кнопку мыши. В появившемся меню выберите команду
Создать | Компьютер
(New | Computer).
|
|
2.
|
В открывшемся окне
Новый объект — Компьютер
(New Object — Computer) введите с клавиатуры имя компьютера. Вместо имени можно ввести его полный адрес. Например, windows2000.BHV.ru. Также следует проверить правильность NetBIOS-имени компьютера в поле
Имя компьютера (пред-Wiadows 2000)
(Computer name (Pre-Windows 2000)). Обратите внимание, что компьютеры Windows 2000 автоматически обновляют свои сетевые адреса в каталоге.
|
|
3.
|
С помощью кнопки
Изменить
можно выбрать пользователя или группу, которым будет дано право подключить данный компьютер к домену.
|
|
4.
|
Если созданный объект "компьютер" будет использоваться компьютерами под управлением более ранних версии Windows NT, необходимо установить флажок
Разрешать использование этой учетной записи на пред-Windows 2000 компьютерах
(Allow pre-Windows 2000 computers to use this account).
Создание группы
Создание группы
В процессе установки домена Windows 2000 в нем создается несколько встроенных групп, обладающих определенным набором прав. Их можно использовать для присвоения администраторам или пользователям определенных ролей или прав доступа в домене.
См. примечание после табл. 25.1.
К встроенным относятся перечисленные ниже группы. Эти группы служат для назначения разрешений доступа пользователям, на которых возложено выполнение в данном домене каких-либо административных функций.
Локальные группы в домене:
|
|
|
Администраторы (Administrators)
|
|
|
Гости (Guests)
|
|
|
Операторы архива (Backup Operators)
|
|
|
Операторы печати (Print Operators)
|
|
|
Операторы сервера (Server Operators)
|
|
|
Операторы учета (Account Operators)
|
|
|
Пользователи (Users)
|
|
|
Репликатор (Replicator)
|
|
|
Совместимый с пред-Windows 2000 доступ (Pre-Windows 2000 CompatibleAccess)
Глобальные группы:
|
|
|
Администраторы домена (Domain Admins)
|
|
|
Владельцы-создатели групповой политики (Group Policy Creator Owners)
|
|
|
Гости домена (Domain Guests)
|
|
|
Издатели сертификатов (Cert Publishers)
|
|
|
Компьютеры домена (Domain Computers)
|
|
|
Контроллеры домена (Domain Controllers)
|
|
|
Пользователи домена (Domain Users)
Универсальные группы:
|
|
|
Администраторы предприятия (Enterprise Admins)
|
|
|
Администраторы схемы (Schema Admins)
Универсальные группы создаются только на контроллерах корневого (первого в лесе) домена. В зависимости от установленных на сервере служб могут быть и дополнительные встроенные группы, локальные в домене или глобальные. По умолчанию все встроенные локальные группы домена находятся в папке
Builtin
объекта домена. Все встроенные глобальные группы находятся в папке
Users.
Встроенные группы можно переносить в другие контейнеры или подразделения в пределах домена.
По умолчанию каждая созданная в домене учетная запись автоматически становится членом группы Пользователи домена. Кроме того, группа Пользователи домена является членом локальной в домене группы Пользователи.
Любой объект типа Компьютер (Computer) при создании по умолчанию автоматически включается в группу Компьютеры домена.
Группа Администраторы домена объединяет всех пользователей, имеющих полный административный доступ в домене. По умолчанию Администраторы домена являются членами локальной в домене группы Администраторы.
Группа Гости домена объединяет все учетные записи, с помощью которых можно зарегистрироваться в домене без пароля и получить минимальные права доступа. По умолчанию Гости домена являются членами локальной в домене группы Гости.
Помимо перечисленных выше встроенных групп, при установке домена Windows 200G создаются особые группы, обладающие дополнительными свойствами; среди них группы:
|
|
|
ВСЕ (Everyone) — объединяет всех существующих и создаваемых пользователей сети, включая гостей и пользователей других доменов.
|
|
|
СЕТЬ (Network) — объединяет всех пользователей, получивших доступ к данному ресурсу по сети (в отличие от пользователей, получивших доступ к ресурсу локально).
|
|
|
ИНТЕРАКТИВНЫЕ (Interactive) — объединяет всех пользователей, получивших доступ к данному ресурсу, зарегистрировавшись локально на компьютере, где находится этот ресурс.
Состав членов указанных трех групп нельзя просмотреть или модифицировать. Однако любой из групп можно предоставить различные полномочия.
Помимо перечисленных выше встроенных групп администратор может создать любое количество групп пользователей и предоставить им необходимый набор прав и разрешений. Для создания группы:
|
|
1.
|
Выберите подразделение, где следует создать группу, и нажмите правую кнопку мыши. Выберите в появившемся меню команду
Создать
|
Группа
(Group), либо нажмите кнопку
Создание новой группы в текущем контейнере
(Create New Group in a Current Container) на панели инструментов.
|
|
2.
|
В открывшемся окне диалога
Новый объект — Группа
в поле
Имя группы
(Group name) введите имя создаваемой группы. По умолчанию вводимое имя группы автоматически заносится в поле
Имя группы (пред-Windows 2000)
(Group name (pre-Windows 2000)).
|
|
3.
|
Установите переключатель
Тип группы
(Group type) в одно из положений, соответствующее типу создаваемой группы:
Группа безопасности
(Security) или
Группа распространения
(Distribution). Первый тип группы служит для предоставления пользователям определенного набора прав доступа к таким ресурсам сети, как файлы и принтеры. Второй тип группы служит только для распространения информации в сети, например в качестве списков рассылки электронной почты. Следует отметить, что группы безопасности могут использоваться в качестве групп распространения.
|
|
4.
|
Установив в одно из положений переключатель
Область действия группы
(Group scope), выберите подходящую область действия создаваемой группы.
Область действия группы
определяет, где может быть видна данная
группа
(уровень доступности)
и какие типы объектов могут быть ее членами (табл. 25.2).
Создание подразделения (организационной единицы)
Создание подразделения (организационной единицы)
Для создания
подразделения,
или
организационной единицы
(Organizational Unit, OU):
|
|
1.
|
Укажите объект типа "домен" и нажмите правую кнопку мыши. В появившемся меню выберите команду
Создать | Подразделение
(New | Organizational Unit) либо нажмите кнопку
Создание нового подразделения в текущем контейнере
(Create a new organizational unit in a current container) на панели инструментов.
|
|
2.
|
В открывшемся окне укажите имя создаваемого подразделения и нажмите кнопку
ОК.
В результате в выбранном вами домене будет создано подразделение с заданным именем. В дальнейшем внутри него можно создать вложенные подразделения.
Создание учетной записи пользователя
Создание учетной записи пользователя
Для создания в домене учетной записи пользователя с идентификатором Sidorovl:
|
|
1.
|
Укажите подразделение, в котором вы хотите создать учетную запись, и нажмите правую кнопку мыши. В появившемся меню выберите команду
Создать | Пользователь.
|
|
2.
|
В окне диалога
Новый объект — Пользователь
(New Object — User) в поле
Имя входа пользователя
(User logon name) введите идентификатор, в поле
Имя
(First name) — имя пользователя, в поле
Фамилия
(Last name) — фамилию пользователя, в поле
Полное имя
(Full name) автоматически появятся имя и фамилия пользователя (Рисунок 25.5). При необходимости содержимое последнего поля можно откорректировать. После ввода всей необходимой информации нажмите кнопку Далее (Next).
|
|
3.
|
В следующем окне в полях ввода
Пароль
(Password) и
Подтверждение
(Confirm password) введите с клавиатуры пароль учетной записи пользователя.
|
|
4.
|
Если вы не хотите, чтобы пользователь принудительно сменил пароль при первой регистрации в сети, сбросьте флажок
Потребовать смену пароля при следующем входе в систему
(User must change password at next logon).
|
|
5.
|
В случае, если пользователь может не изменять пароль в течение неограниченного времени, установите флажок
Срок действия пароля не ограничен
(Password never expires).
|
|
6.
|
Установленный флажок
Запретить смену пароля пользователем
(User cannot change password) запрещает пользователю самостоятельно изменять свой пароль.
|
|
7.
|
Если только что созданная учетная запись по каким-либо причинам должна быть заблокирована, установите флажок
Отключить учетную запись
(Account disabled).
|
|
8.
|
По завершении настройки создаваемой учетной записи нажмите кнопку Далее.
|
|
9.
|
В окне диалога, запрашивающего подтверждение правильности выполняемого действия, нажмите кнопку
Готово
(Finish).
В результате в подразделении будет создана учетная запись пользователя с именем Sidorovl.
|
|
|
|
Рис 25.5.
Ввод имени учетной записи пользователя
Для ввода дополнительной информации о пользователе или изменения уже существующих настроек:
|
|
1.
|
Укажите учетную запись пользователя, информацию которой следует изменить, и нажмите правую кнопку мыши. В появившемся меню выберите команду
Свойства.
|
|
2.
|
Внесите необходимые изменения и нажмите кнопку
ОК.
Назначение встроенных папок оснастки Active Directory - пользователи и компьютеры
Таблица 25.1.
Назначение встроенных папок оснастки
Active Directory - пользователи и компьютеры
|
|
Папка
|
Описание
|
|
Builtin
|
Содержит встроенные локальные группы: Account Operators (Операторы учета), Administrators (Администраторы), Backup Operators (Операторы архива), Guests (Гости), Pro-Windows 2000 Compatible Access (Совместимый с пред-Windows 2000 доступ), Print Operators (Операторы печати), Replicator (Репликатор), Server Operators (Операторы сервера) и Users (Пользователи)
|
|
Computers
|
Содержит учетные записи всех компьютеров, подключаемых к домену. При выполнении обновления систем Windows более ранних версий служба Active Directory переносит учетные записи машин в папку Computers, откуда эти объекты могут быть перемещены
|
|
System
|
Содержит информацию о системе и службах, например, DPS, DNS, FRS, RPC, Winsock и др.
|
|
Users
|
Содержит информацию обо всех пользователях домена. При обновлении более ранних версий все .пользователи первоначального домена будут перенесены в эту папку. Так же, как и компьютеры, объекты этой папки могут быть перенесены в другие папки
|
|
Domain Controllers
|
Содержит информацию обо всех контроллерах домена
|
|
|
Примечание 1
Примечание 1
|
|
|
Следует отметить такую деталь: если контроллер домена на базе
русской
версии Windows 2000 Server ставился "с нуля", то имена групп и встроенных пользователей будут выводиться по-русски. Если же этот контроллер ставился как дополнительный контроллер (реплика) и база данных Active Directory реплици-ровапась с
американской
версии Windows 2000 Server, то имена выводятся по-английски.
|
|
|
|
Рис 25.4.
Окно оснастки
Active Directory - пользователи и компьютеры
(Active Directory Users and Computers)
Соответствие области действия и других свойств группы
Таблица 25.2.
Соответствие области действия и других свойств группы
|
|
Область действия
|
Уровень доступности группы
|
Тип объектов, допустимых в качестве членов группы
|
|
Локальная в домене (Domain Local)
|
Отдельный домен
|
Пользователи, а также глобальные и универсальные группы из всего леса, другие локальные группы из этого же домена (последнее — только в
основном,
native, режиме домена)
|
|
Глобальная (Global)
|
Лес
|
Пользователи, а также глобальные и универсальные группы
|
|
Универсальная (Universal)
|
Лес
|
Пользователи и глобальные группы (только в основном режиме домена)
Удаленное управление компьютерами
Удаленное управление компьютерами
После создания объекта "компьютер" можно управлять им удаленно, диагностируя службы, работающие на этом компьютере, просматривая события и т. д.
Для того чтобы управлять компьютером удаленно:
|
|
1.
|
В окне оснастки
Active Directory— пользователи и компьютеры
укажите имя компьютера и нажмите правую кнопку мыши. В появившемся меню выберите команду
Управление
(Manage).
|
|
2.
|
Для выбранного вами компьютера будет запущена оснастка
Управление компьютером
(Computer Management).
Управление доверительными отношениями
Управление доверительными отношениями
Доверительные отношения, применявшиеся в сетях Windows NT 4.0, полностью поддерживаются в сетях Windows 2000. Они могут быть использованы для создания однонаправленного доверия между доменами Windows 2000 в дереве каталога и другими доменами, находящимися за границей вашего леса, которые могут быть образованы серверами Windows 2000, Windows NT 4.0 или более ранних версий. Это поможет вам поддерживать существующую инфраструктуру при переходе на сеть, полностью основанную на Active Directory. При создании нескольких доменов в одном дереве Active Directory автоматически устанавливаются междоменные двунаправленные доверительные отношения. Это значит, что пользователь может, зарегистрировавшись только в одном домене, получить доступ ко всем ресурсам всех доменов дерева. При объединении нескольких деревьев в лес между корневыми доменами каждого дерева также устанавливаются двунаправленные доверительные отношения. В этом случае необходимость дополнительной настройки доверительных отношений не возникает.
Конфигурирование доверительных отношений требуется, если:
|
|
|
Необходимо установить однонаправленные доверительные отношения (в случае, когда соображения безопасности заставляют исключить возможность общего использования каких-либо ресурсов компьютерной сети).
|
|
|
Возникла необходимость в установлении доверительных отношений между доменами, находящимися в различных лесах (организациях).
|
|
|
Должны быть установлены доверительные отношения .между доменами Windows 2000 и Windows NT 4.0.
Для образования однонаправленных доверительных отношений:
|
|
1.
|
Запустите оснастку
Active Directory-домены и доверие.
|
|
2.
|
Укажите домен, который должен принять участие в однонаправленном доверительном отношении, и нажмите правую кнопку мыши. В появившемся контекстном меню выберите команду
Свойства.
|
|
3.
|
В окне свойств домена перейдите на
вкладку Доверия
(Trusts) (Рисунок 25.3). Если другой домен, участвующий в отношении, должен стать
доменом-доверителем
(trusting), нажмите кнопку
Добавить
в группе
Домены, которые доверяют этому домену
(Domains that trust this domain). Если другой домен должен стать
доверенным
(trusted), нажмите кнопку Добавить в группе
Домены, которым доверяет этот домен
(Domains trusted by this domain).
|
|
|
|
Рис 25.3.
Вкладка
Доверия
(Trusts) окна диалога свойств домена
|
|
4.
|
В окне диалога
Добавление домена-доверителя
(Add Trusting Domain) или
Добавление доверенного домена
(Add Trusted Domain), соответственно, укажите имя второго домена, принимающего участие в однонаправленном доверительном отношении, пароль для регистрации в указанном домене и затем подтвердите его. Нажмите кнопку
ОК.
Появится окно сообщения о том, что доверительное отношение не может быть проверено, поскольку не установлена вторая половина доверительного отношения.
|
|
5.
|
Установите в окне оснастки указатель мыши на домен, который является второй стороной в доверительном отношении и имя которого было указано ранее на вкладке
Доверия,
и нажмите правую кнопку мыши. В появившемся контекстном меню выберите команду
Свойства.
|
|
6.
|
Повторите шаги 3 и 4, имея в виду, что роль домена изменилась на противоположную: если первый домен был доверителем, то второй домен должен быть доверенным, и наоборот. После окончания конфигурирования нажмите кнопку
ОК.
Появится окно сообщения об успешном создании однонаправленного доверительного отношения.
Для создания двунаправленного доверительного отношения между доменами, находящимися в различных лесах, следует повторить описанную выше процедуру, но поменять роли доменов. Тот домен, который был доверенным, должен стать доверителем, и наоборот.
Для создания доверительного отношения между доменами Windows 2000 и Windows NT 4.0:
|
|
1.
|
На главном контроллере (PDC) существующего домена Windows NT 4.0 запустите утилиту User Manager for Domain (Диспетчер пользователей для домена) (Start | Programs | Administrative Tools | User Manager for Domain).
|
|
2.
|
В меню
Policies
(Политики) выберите команду
Trust Relationships
(Доверительные отношения).
|
|
3.
|
Нажмите кнопку
Add,
расположенную рядом со списком
Trusting Domains
(Домены-доверители). Появится окно диалога, содержащее имя домена, и окна, позволяющие ввести пароль и подтвердить его.
|
|
4.
|
Введите необходимые данные и нажмите кнопку ОК.
Завершите работу Диспетчера пользователей для домена. Теперь домен Windows 2000 доверяет существующему домену Windows NT 4. Однако конфигурирование доверительного отношения не завершено до тех пор, пока домен, основанный на Windows 2000 Server, не подтвердит пароль.
|
|
1.
|
Запустите на контроллере домена Windows 2000 оснастку
Active Directory - домены и доверие.
|
|
2.
|
Укажите имя домена-доверителя и нажмите правую кнопку мыши. В появившемся меню выберите команду
Свойств”.
|
|
3.
|
В окне свойств домена перейдите на вкладку
Доверия.
|
|
4.
|
Нажмите кнопку
Добавить,
расположенную рядом со списком
Домены, которым доверяет этот домен.
Откроется окно диалога
Добавление доверенного домена.
5
.
Введите с клавиатуры имя существующего главного контроллера домена Windows NT 4.0 и тот же пароль, что был введен ранее.
|
|
6.
|
Нажмите кнопку ОК, Откроется окно сообщения об успешности завершения установки доверительного отношения.
Для проверки доверительного отношения зарегистрируйтесь на компьютере, входящем в домен Windows 2000, под учетной записью пользователя, существующей на главном контроллере домена Windows NT 4.0. Если этот шаг завершился успешно, доверительное отношение установлено правильно.
Вложенные группы
Вложенные группы
Одно из важнейших новых свойств Windows 2000 Server, которым можно пользоваться в основном (native) режиме домена, — это
вложенные группы
(nested groups).
Применяя вложенные группы, можно значительно сократить затраты на управление объектами Active Directory и уменьшить трафик, вызванный репликацией изменений членства в группах. Возможности вложенных групп зависят от режима работы домена.
Если домен работает в основном режиме, то применение вложенных групп подчиняется следующим правилам:
|
|
|
Универсальные группы могут иметь в качестве своих членов учетные записи пользователей и компьютеров, другие универсальные группы и глобальные группы из любого домена.
|
|
|
Глобальные группы могут содержать учетные записи своего домена и глобальные группы своего домена.
|
|
|
Локальные в домене группы могут иметь в качестве своих членов учетные записи пользователей и компьютеров, универсальные группы и глобальные группы (все указанные объекты могут быть из любого домена), а также другие локальные группы своего домена.
В смешанном (mixed) режиме группы безопасности могут быть вложены в соответствии со следующими правилами:
|
|
|
Глобальные группы могут иметь в качестве своих членов только учетные записи пользователей и компьютеров.
|
|
|
Локальные в домене группы могут иметь в качестве своих членов учетные записи пользователей и компьютеров, а также глобальные группы.
Чтобы понять, как работают вложенные группы:
|
|
1.
|
Выберите одно из подразделений и нажмите правую кнопку мыши. В появившемся меню выберите команду
Создать | Группа.
В качестве имени новой группы введите с клавиатуры Groupi.
|
|
2.
|
Повторите действия п. 1 и создайте группы
Group11 и Group111.
Области действия вложенных групп должны соответствовать описанным выше правилам.
|
|
3.
|
Укажите группу
Group1
и нажмите правую кнопку мыши. В появившемся меню выберите команду
Свойства.
|
|
4.
|
Включите группу
Group11
в члены группы
Group1.
Для этого на вкладке
Член групп
( Member Of) окна свойств группы
Group11
нажмите кнопку
Добавить
и выберите
Group1.
|
|
5.
|
Укажите группу
Group111
и нажмите правую кнопку мыши. В появившемся меню выберите команду
Свойства.
|
|
6.
|
Включите группу
Group111
в члены группы
Group11.
|
|
Примечание 1
Примечание 1
|
|
Ограничений на число уровней вложенных групп нет.
Проектирование доменов и развертывание Active Directory
Администрирование безопасности IP
Управление безопасностью IP в Windows 2000 позволяет администраторам создавать настраиваемую политику безопасности с уникальной политикой переговоров и IP-фильтрами. Не требуются никакие изменения приклад
ных программ. Также не требуется обучать конечных пользователей, поскольку администраторы конфигурируют всю политику безопасности в службе Active Directory, а действия шифрования прозрачны на уровне конечного пользователя.
Можно конфигурировать безопасность IP, используя оснастки
Локальные параметры безопасности
(на локальном компьютере, Рисунок 26.12) или
Групповая политика
(узел
Конфигурация компьютера | Конфигурация Windows | Параметры безопасности | Политики безопасности IP
(IP Security Policies)) (для компьютера или домена) или подключив к консоли ММС изолированную оснастку
Управление политикой безопасности IP
(IP Security Policy Management) (для компьютера или домена). Только администратор или пользователь, которому назначены права администратора на управление Active Directory (или администратор на локальной машине), могут создавать и конфигурировать политику безопасности IP.
|
|
|
|
Рис 26.12.
Оснастка
Локальные параметры безопасности
(Local Security Policy), узел
Политики безопасности IP на "Локальном компьютере"
(IP Security Policies on Local Machine)
Архитектура безопасности IP
Механизм безопасности IP в Windows 2000 разработан для защиты любого
сквозного
соединения между двумя компьютерами (Рисунок 26.7). При сквозном соединении два осуществляющих связь компьютера (системы) поддерживают IP-безопасность на каждом конце соединения. Сделано предположение, что располагающаяся между ними среда, по которой передаются данные, небезопасна. Данные прикладной программы компьютера, начинающего связь, перед пересылкой по сети автоматически (прозрачно для прикладной программы) шифруются. На компьютере адресата данные так же автоматически дешифруются — прежде, чем они будут переданы приложению-получателю. Шифрование всего сетевого IP-трафика гарантирует, что любая связь с использованием TCP/IP защищена от подслушивания. Поскольку данные передаются и шифруются на уровне протокола IP, для каждого протокола в наборе протоколов TCP/IP не требуются отдельные пакеты, обеспечивающие безопасность.
|
|
Примечание 1
Примечание 1
|
|
|
Каждый контроллер домена содержит
центр распространения ключей
Kerberos (Kerberos Distribution Center, КОС) для установления подлинности, который конфигурируется сетевым администратором. Kerberos служит третьим доверенным лицом, которое проверяет подлинность поддерживающей связь стороны. Безопасность IP в Windows 2000 использует протокол Kerberos для идентификации компьютеров.
Рассмотрим пример, в котором пользователь Компьютера А (Пользователь 1) посылает данные пользователю Компьютера В (Пользователю 2). Безопасность IP установлена на обоих компьютерах.
На уровне пользователя процесс доставки IP-пакетов прозрачен. Пользователь 1 просто запускает приложение, которое использует протокол стека TCP/IP, например FTP, и посылает данные Пользователю 2. Политики безопасности, назначенные Компьютеру А и Компьютеру В администратором, определяют уровень безопасности взаимодействия. Они выбираются агентом политики и передаются службе ISAKMP/Oakley и драйверу IPSec. Служба ISAKMP/Oakley на каждом компьютере использует политику переговоров, связанную с назначенной политикой безопасности, чтобы установить ключ и общий метод переговоров (ассоциация безопасности). Результаты переговоров о политике ISAKMP между двумя компьютерами передаются драйверу IPSec, который использует ключ для шифрования данных. В заключение драйвер IPSec посылает шифрованные данные на Компьютер В. Драйвер IPSec на Компьютере В дешифрует данные и передает их приложению-получателю (см. описание процесса на Рисунок 26.11).
|
|
Примечание 2
Примечание 2
|
|
|
Любые маршрутизаторы или коммутаторы, которые находятся на пути между поддерживающими связь компьютерами, вне зависимости от того, общаются ли два пользователя или пользователь и файловый сервер, должны просто пропускать шифрованные IP-пакеты к адресату. Если между поддерживающими связь компьютерами находится брандмауэр или другой шлюз, поддерживающий систему безопасности, то на нем должна быть разрешена функция пересылки IP-пакетов или настроена специальная фильтрация, которая разрешает пересылку пакетов безопасности IP, чтобы IP-пакеты правильно достигали адресата.
Архитектура EFS
EFS содержит следующие компоненты операционной системы Windows 2000 (Рисунок 26.3):
|
|
|
Драйвер EFS.
Драйвер EFS является надстройкой над файловой системой NTFS. Он обменивается данными со службой EFS — запрашивает ключи шифрования, наборы DDF (Data Decryption Field) и DRF (Data Recovery Field), — а также с другими службами управления ключами. Полученную информацию драйвер EFS передает библиотеке реального времени файловой системы EFS (File System Run Time Library, FSRTL), которая прозрачно для операционной системы выполняет различные операции, характерные для файловой системы (чтение, запись, открытие файла, присоединение информации).
|
|
|
Библиотека реального времени файловой системы EFS.
FSRTL — это модуль, находящийся внутри драйвера EFS, реализующий вызовы NTFS, выполняющие такие операции, как чтение, запись и открытие зашифрованных файлов и каталогов, а также операции, связанные с шифрованием, дешифрованием и восстановлением файлов при их чтении или записи на диск. Хотя драйверы EFS и FSRTL реализованы в виде одного компонента, они никогда не обмениваются данными напрямую. Для передачи сообщений друг другу они используют механизм вызовов (callouts) NTFS, предназначенный для управления файлами. Это гарантирует, что вся работа с файлами происходит при непосредственном участии NTFS. С помощью механизма управления файлами операции записи значений атрибутов EFS (DDF и DRF) реализованы как обычная модификация атрибутов файла. Кроме того, передача ключа шифрования файла РЕК (см. ниже), полученного службой EFS, в FSRTL выполняется так, чтобы он мог быть установлен в контексте открытого файла. Затем контекст файла используется для автоматического выполнения операций шифрования и дешифрования при записи и чтении информации файла.
|
|
|
|
Рис 26.3.
Архитектура EFS
|
|
|
Служба EFS.
Служба EFS (EFS Service) является частью системы безопасности операционной системы. Для обмена данными с драйвером EFS она использует порт связи LPC, существующий между локальным администратором безопасности (Local Security Authority, LSA) и монитором безопасности, работающим в привилегированном режиме. В режиме пользователя для создания ключей шифрования файлов и генерирования данных для DDF и DRF служба EFS использует CryptoAPI. Она также поддерживает набор API для Win32.
|
|
|
Набор API для Win32.
Этот набор интерфейсов прикладного программирования позволяет выполнять шифрование файлов, дешифрование и восстановление зашифрованных файлов, а также их импорт и экспорт (без предварительного дешифрования). Эти API поддерживаются стандартным системным модулем DLL — advapi32.dll.
Архивация зашифрованных файлов
Резервную копию зашифрованного файла можно создать с помощью простого копирования его на другой жесткий диск или с использованием утилиты архивации. Однако, как сказано в предыдущем разделе, простое копирование, например, на дискету или оптический диск может привести к тому, что резервная копия будет содержать открытые данные. То есть, если скопировать зашифрованный файл на раздел FAT или на дискету, копия будет не зашифрована и, следовательно, доступна для чтения любому пользователю. Специализированная операция архивации не требует для ее выполнения доступа к открытым ключам пользователя — только к архивируемой информации. Поэтому для обеспечения безопасности конфиденциальных данных при создании резервных копий рекомендуется применять специальные утилиты архивации. В Windows 2000 для этих целей предназначена стандартная утилита архивации данных NTBackup (см. главу 8).
В процессе архивации зашифрованные данные будут скопированы на указанный носитель без дешифрования. Целевой носитель может не поддерживать NTFS 5.O. Например, резервная копия зашифрованных файлов может быть создана на гибком диске.
и усложнения компьютерных сетей предприятия,
По мере роста и усложнения компьютерных сетей предприятия, построенных на основе Windows NT, становится необходимым применение протокола, обеспечивающего более совершённую и надежную аутентификацию пользователей при доступе к распределённым ресурсам. В операционной системе Windows 2000 для этих целей применяется протокол аутентификации Kerberos версии 5, входящий в систему безопасности доменов Windows 2000, тесно интегрированную с Active Directory. Реализация протокола Kerberos версии 5 в Windows 2000 основана на RFC 1510. Этот документ широко обсуждался и корректировался многими организациями, работающими в области создания и применения защищенных средств передачи информации по компьютерным сетям. Аутентификация Kerberos полностью отвечает требованиям к протоколам подобного назначения и позволяет создать высокопроизводительную и защищенную сеть предприятия. Программное обеспечение Kerberos, созданное Microsoft, поддерживает всех клиентов, удовлетворяющих RFC 1510. Однако полную поддержку сетей Windows 2000 осуществляет только клиент JCerberos, разработанный Microsoft, поскольку версия Kerberos Microsoft обладает рядом расширений.
Протокол Kerberos интегрирован в существующую модель распределенной безопасности Windows 2000. В Windows 2000 используются расширения протокола Kerberos — так же, как и другие архитектуры безопасности, например DCE и SESAME. Протокол Kerberos — один из протоколов безопасности, поддерживаемых Windows 2000. Кроме него эта операционная система поддерживает протоколы NTML для совместимости с предыдущими версиями, SSL и стандарт IETF безопасности транспортного уровня. В качестве механизма безопасности Windows 2000 использует
протокол защищенных переговоров
(Simple Protected Negotiation, SPNEGO). Для обеспечения безопасности передачи данных на сетевом уровне применяется технология IP Security (IPSec).
Аутентификация
|
|
|
Аутентификация является необходимым условием обеспечения секретности обмена данными. Пользователи должны иметь возможность подтвердить свою подлинность и проверить идентификацию других Пользователей, с которым они общаются. Цифровой сертификат является распространенным средством идентификации.
|
|
|
Сертификаты служат для обеспечения аутентификации следующих случаях:
Аутентификация пользователя для защищенного веб-узла посредством Transport Layer Security (TLS) или протокола Secure Sockets
Layer (SSL)
Аутентификация сервера для пользователя посредством TLS
Регистрация в домене Windows 2000
База данных Kerberos
Сервер Kerberos должен иметь доступ к
базе данных Kerberos,
где хранится информация об идентификаторах партнеров по обмену данными и секретные ключи аутентифицируемых партнеров. Реализация сервера Kerberos не предполагает обязательное расположение сервера и баз данных на одной машине. Существует возможность хранения базы данных партнеров по обмену данными в пространстве имен сети, если записи этой базы защищены от несанкционированного доступа. Однако, с точки зрения целостности и безопасности данных, это не рекомендуется.
Базовые механизмы и концепции
Алгоритмы шифрования
Для защиты данных применяются математические алгоритмы шифрования. Безопасность IP в Windows 2000 использует следующие стандартные криптографические алгоритмы:
|
|
|
Методика Diffie-Hellman (D-H)
Алгоритм шифрования с открытым ключом (названный по имени изобретателей — Diffie и Hellman), который позволяет двум поддерживающим связь объектам договариваться об общедоступном ключе без требования шифрования во время порождения ключа. Процесс начинают два объекта, обменивающиеся общедоступной информацией. Затем каждый объект объединяет общую информацию другой стороны со своей собственной секретной информацией, чтобы сгенерировать секретное общедоступное значение.
|
|
|
Код аутентификации хэшированного сообщения (НМАС, Hash Message Authentication Code)
НМАС — алгоритм шифрования с закрытым ключом, обеспечивающий целостность сообщений, установление их подлинности и предотвращение повторного использования. Установление подлинности, использующее функции хэширования (перемешивания), объединено с методом закрытого ключа. Хэшированное значение, известное также как
дайджест
(digest), или
выборка,
сообщений, используется для создания и проверки цифровой подписи. Это уникальное значение намного меньше, чем первоначальное сообщение, созданное из цифровой копии кадра данных. Если передаваемое сообщение изменилось по пути следования, то хэши-рованное значение будет отличаться от оригинала, а IP-пакет будет отброшен.
|
|
|
HMAC-MD5
Дайджест сообщений-5 (MD5, Message Digest) — функция хэширования, которая порождает 128-разрядное значение, являющееся подписью данного блока данных. Эта подпись служит для установления подлинности, целостности и предотвращения повторного использования.
|
|
|
HMAC-SHA
Безопасный алгоритм хэширования (SHA, Secure Hash Algorithm) — еще одна функция хэширования, которая порождает 160-разрядное значение подписи, необходимое для установления подлинности, целостности и предотвращения повторного использования.
|
|
|
DES-CBC
Стандарт шифрования данных (Data Encryption Standard, DES) — формирование цепочки шифрованных блоков (Cipher Block Chaining, СВС) — алгоритм шифрования с закрытым ключом, обеспечивающий конфиденциальность. Генерируется случайное число, которое используется совместно с закрытым ключом для-шифрования данных.
Безопасность IP
Средства безопасности протокола IP позволяют управлять защитой всего IP-трафика от источника информации до ее получателя. Возможности
Управления безопасностью IP
(IP Security Management) в системе Windows 2000 позволяют назначать и применять
политику безопасности IP
, которая гарантирует защищенный обмен информацией для всей сети. Механизм безопасности IP представляет собой реализацию
протокола безопасности IP
(IP Security, IPSec), прозрачную для пользователя, администрирование безопасности централизовано и совмещает гарантии безопасного обмена информацией с легкостью применения.
Потребность в защите сетей, основанных на протоколе IP, уже достаточно велика и растет с каждым годом. В настоящее время в тесно взаимосвязанном деловом мире сетей Интернет, интранет, экстранет (extranet — корпоративная сеть, части которой связаны через открытые сети, например, через Интернет), филиалов и удаленного доступа по сетям передается важная информация, конфиденциальность которой нельзя нарушать. Одним из основных требований, предъявляемых к сети со стороны сетевых администраторов и прочих профессионалов, обслуживающих и использующих сети, является требование гарантии, что этот трафик будет защищен от:
|
|
|
Доступа субъектов, не имеющих на это прав
|
|
|
Перехвата, просмотра или копирования
|
|
|
Модификации данных во время пути по сети
Эти проблемы характеризуются такими показателями, как
целостность данных, конфиденциальность
и
подлинность.
Кроме того, зашита от
повторного использования
(replay protection) предотвращает принятие повторно посланного пакета.
|
|
|
Примечание 1
Примечание 1
|
|
|
Реализация безопасности IP в Windows 2000 основана на стандартах RFC, разработанных консорциумом Internet Engineering Task Force (IETF), рабочей группой IP Security (IPSEC).
Центр сертификации
Центр сертификации
(ЦС), или поставщик сертификатов (Certificate Authority, СА), — это организация или служба, создающая сертификаты. ЦС выступает в качестве гаранта истинности связи между открытым ключом субъекта и идентифицирующей этот субъект информацией, содержащейся в сертификате. Различные ЦС могут применять для проверки связи различные средства, поэтому перед выбором достойного доверия ЦС важно хорошо понять политику данного ЦС и применяемые им процедуры проверки.
Центры сертификации
Центр сертификации
(также встречается термин
поставщик сертификатов)
(Certification Authority, CA) представляет собой службу, которой доверен выпуск сертификатов, если индивидуальный пользователь или организация, которые запрашивают сертификат, удовлетворяют условиям установленной политики. Это осуществляется путем принятия запроса на получение сертификата, проверки и регистрации имени запрашивающего сертификат пользователя и открытого ключа в соответствии с политикой. Каждый ЦС должен получить от запрашивающей сертификат стороны подтверждение ее идентичности, такое как удостоверение личности или физический адрес. Затем производится подписание и назначение сертификата, подтверждающего выполнение пользователем критериев политики, которые были установлены для авторизации. Большинство используемых на сегодня сертификатов основаны на стандарте Х.509, эта фундаментальная технология применяется в инфраструктуре открытых ключей Windows 2000.
Центром сертификации может быть удаленная организация, такая как VeriSign, или локальная служба, созданная в вашей организации путем инсталляции Служб сертификации (Microsoft Certificate Services). Выбор ЦС основывается на доверительном отношении (trust). Вы доверяете, что ЦС использует правильную политику при рассмотрении запросов на подписание сертификатов. Кроме того, вы доверяете, что ЦС отзывает сертификаты с истекшим сроком действия путем публикации
списка отозванных сертификатов
(certificate revocation list).
Центры сертификации также имеют собственные сертификаты. Причем вышестоящий центр подписывает сертификаты для нижестоящих центров. Таким образом, формируется
иерархия сертификатов
(certificate hierarchy).
В системе Windows 2000 доверие центру сертификации устанавливается при наличии копии корневого сертификата в хранилище доверяемых корневых центров сертификации, а также действительного пути к сертификату. Это означает, что ни один из сертификатов иерархии (пути сертификатов) не был отозван и не имеет истекшего срока действия.
Если в вашей организации используется Active Directory, то доверие к центрам сертификации вашей организации устанавливается автоматически на основе решений и установок, выполненных системным администратором.
Сертификат удостоверяет, что индивидуальный пользователь или ЦС, представляющий сертификат, был авторизован в соответствии с политикой, которая была установлена для ЦС, выпустившего сертификат. Обычно сертификаты содержат следующую информацию:
|
|
|
Открытый ключ (public key) владельца сертификата
|
|
|
Идентификационную информацию владельца сертификата
|
|
|
Период действия сертификата
|
|
|
Информацию о центре сертификации
|
|
|
Цифровую подпись (digital signature)
Все сертификаты имеют ограниченный срок действия. Даты начала и окончания срока действия сертификата указываются в сертификате. Для каждого ЦС устанавливается политика обновления сертификатов с истекшим сроком действия.
Если в вашей организации для запуска центра сертификации на Windows 2000 Server установлены службы сертификации, то используется один из двух типов ЦС:
|
|
|
Центр сертификации предприятия (enterprise
certification authority). Требует наличия Active Directory. Использует информацию, доступную в Active Directory, для проверки идентификационной информации запрашивающего сертификат. Публикует списки отозванных сертификатов в Active Directory, а также в общей папке.
|
|
|
Изолированный (автономный) центр сертификации
(stand-alone certification authority). He зависит от Active Directory. По умолчанию пользователи могут запрашивать сертификаты у данного центра только с веб-страниц. Изолированный центр сертификации публикует списки отозванных сертификатов в общей папке или в Active Directory (если служба каталогов доступна).
Что такое сертификат
Сертификат —
это средство, позволяющее гарантированно установить связь между переданным открытым ключом и передавшей его стороной, владеющей соответствующим личным ключом. Сертификат представляет собой набор данных, зашифрованных с помощью цифровой, или электронной, подписи. Информация сертификата подтверждает истинность открытого ключа и владельца соответствующего личного ключа.
Обычно сертификаты содержат дополнительную информацию, позволяющую идентифицировать владельца личного ключа, соответствующего данному открытому ключу. Сертификат должен быть подписан авторизованным генератором сертификатов.
Наиболее распространенным на данный момент стандартом сертификатов является ITU-T Х.509. Эта фундаментальная технология применяется в Windows 2000. Однако это не единственная форма сертификатов.
Цифровые (электронные) подписи
Наверное, наиболее ярким проявлением всех преимуществ шифрования с открытым ключом является технология
цифровых
или
электронных подписей.
Она основана на математическом преобразовании, комбинирующем данные с секретным ключом таким образом, что:
|
|
|
Только владелец секретного ключа может создать цифровую подпись.
|
|
|
Любой пользователь, обладающий соответствующим открытым ключом, может проверить истинность цифровой подписи.
|
|
|
Любая модификация подписанных данных (даже изменение одного бита) делает неверной цифровую подпись.
Цифровые подписи гарантируют
целостность
(integrity) и
подлинность
(nonrepudiation) данных. Когда данные распространяются открытым текстом (без шифрования), получатели должны иметь возможность проверки, что данные в сообщении не были изменены.
Добавление подписи не изменяет содержания данных: в этом случае генерируется цифровая подпись, которая может быть связана с данными или передаваться отдельно.
Для выполнения этой операции клиентская программа создает
дайджест,
снимок данных, используя метод хэширования (например, MDS). Программа использует ваш личный ключ для шифрования дайджеста и подписывает данные или сообщение с помощью вашего сертификата, добавляя ваш открытый ключ. Соответствующая программа адресата сообщения использует
открытый ключ для расшифровки дайджеста, затем использует тот же алгоритм хэширования для создания другого дайджеста данных. Данная программа затем сравнивает два дайджеста сообщений. Если они идентичны, то подтверждаются целостность и подлинность данных сообщения.
Дешифрование файлов и каталогов
|
|
1.
|
Чтобы дешифровать файл или папку, на вкладке
Общие
окна свойств соответствующего объекта нажмите кнопку
Другие.
|
|
2.
|
В открывшемся окне диалога в группе Атрибуты
сжатия и шифрования
сбросьте флажок
Шифровать содержимое для защиты данных.
Достоинства безопасности IP
Сетевые атаки могут привести к неработоспособности системы, считыванию конфиденциальных данных и другим дорогостоящим нарушениям. Для защиты информации требуются методы "сильного" шифрования и сертификации, основанные на криптографических алгоритмах. Однако высокий уровень безопасности не должен ухудшать производительность труда пользователей или увеличивать затраты на администрирование.
Безопасность IP в Windows 2000 обеспечивает следующие преимущества, которые помогают достичь высокого уровня безопасности взаимодействия при низких затратах:
|
|
|
Централизованное администрирование политикой безопасности, что уменьшает затраты на административные издержки
Политика IPSec может быть создана и назначена на уровне домена (при этом она хранится в Active Directory), что устраняет необходимость индивидуального конфигурирования каждого компьютера. Однако если компьютер имеет уникальные требования, или это автономный компьютер, политика может быть назначена непосредственно.
|
|
|
Прозрачность безопасности IP для пользователей и прикладных программ
Не нужно иметь отдельные программные средства безопасности для каждого протокола в стеке TCP/IP, поскольку приложения, использующие TCP/IP, передают данные уровню протокола IP, где они шифруются. Установленная и настроенная служба IPSec прозрачна для пользователя и не требует обучения.
|
|
|
Гибкость конфигурирования политики безопасности, которая помогает решать задачи в различных конфигурациях
Внутри каждой политики можно настроить службы безопасности, чтобы обеспечить потребности на всех уровнях, начиная с уровня индивидуального пользователя и заканчивая уровнем серверов или предприятия. Политику можно сконфигурировать в соответствии с экспортными правилами и ограничениями.
|
|
|
Конфиденциальные службы, предотвращающие попытки несанкционированного доступа к важным данным во время передачи этих данных между поддерживающими связь сторонами.
|
|
|
Туннелирование
Данные могут быть посланы через безопасные туннели для обмена информацией в Интернете и корпоративных сетях.
|
|
|
Усиленная служба аутентификации, которая предотвращает перехват данных путем подмены идентификаторов.
|
|
|
Ключи большой длины и динамический повторный обмен ключами в течение текущих сеансов связи, что помогает защитить соединение против атак.
|
|
|
Безопасная связь от начала до конца для частных пользователей сети внутри одного и того же домена или через любой доверенный (trusted) домен внутри корпоративной сети.
|
|
|
Безопасная связь между пользователями в любом домене корпоративной сети, основанной на протоколе IP.
|
|
|
Отраслевой стандарт IPSec открыт для реализации других технологий шифрования IP, что позволяет взаимодействовать с другими платформами и продуктами.
|
|
|
Сертификаты с открытым ключом и поддержка ключей pre-shared
Это требуется для разрешения установления безопасной связи с компьютерами, которые не являются частью доверенного домена.
|
|
|
IPSec работает во взаимодействии с другими механизмами защиты, сетевыми протоколами и базовыми механизмами безопасности Windows 2000,
|
|
|
Поддерживается шифрование сообщений RSVP для реализации QoS и ACS в Windows 2000, т. е. IPSec не мешает использовать все преимущества приоритетного управления шириной полосы пропускания, обеспечиваемые этими службами.
Возможности стандарта IPSec и подробности реализации очень сложны и описаны подробно в ряде RFC и проектов IETF, а также в документах Microsoft. IPSec использует криптографическую защиту для обеспечения управления доступом, целостности без установления логического соединения, удостоверения подлинности данных, защиты от повторного использования, полной и ограниченной конфиденциальности потока данных. Поскольку протокол IPSec работает на уровне IP, его услуги доступны протоколам верхнего уровня в стеке и, очевидно, существующим приложениям. IPSec дает системе возможность выбрать протоколы защиты, решить, какой (какие) алгоритм(ы) использовать для служб(ы), а также устанавливать и поддерживать криптографические ключи для каждой защищенной связи.
IPSec может защищать пути между компьютерами, между шлюзами защиты или между шлюзами защиты и компьютерами. Услуги, доступные и требуемые для трафика, настраиваются с использованием политики IPSec. Политика IPSec может быть настроена локально на отдельном компьютере. или может быть назначена через механизмы групповой политики Windows 2000 в Active Directory. Политика IPSec определяет, как компьютеры доверяют друг другу. Самое простое — полагаться на применение доменов доверия Windows 2000, основанных на протоколе Kerberos. Для того чтобы доверять компьютерам в том же самом или в другом доверенном домене Windows 2000, задается предопределенная политика IPSec.
Каждая датаграмма на уровне протокола IP сравнивается
с
набором фильтров, предоставляемых политикой безопасности, которая поддерживается администратором для компьютера, пользователя, организационной единицы (OU) или всего домена. С любой датаграммой службы IP могут выполнить одно из трех действий:
|
|
|
Передать на обработку службам IPSec
|
|
|
Передать ее без изменений
|
|
|
Игнорировать ее
Установка IPSec включает описание характеристик трафика для фильтрации (IP-адрес источника/адресата, протокол, порт и т. д.) и определение того, какие механизмы требуется применить для трафика, соответствующего фильтру (фильтрам). Например, в очень простом случае два автономных компьютера могут быть сконфигурированы для использования IPSec между ними в одном и том же домене Windows 2000 и активизации политики
"закрытости"
(lockdown). Если два компьютера — не элементы одного и того же или доверенного домена, то доверие должно быть сконфигурировано с использованием пароля или ключа pre-shared в режиме "закрытый":
|
|
|
Установка фильтра, который определяет весь трафик между двумя компьютерами.
|
|
|
Выбор метода опознавания (выбор ключа pre-shared или ввод пароля).
|
|
|
Выбор политики переговоров (в режиме "закрытый", при этом весь трафик, соответствующий фильтру (фильтрам), должен использовать IPSec).
|
|
|
Определение типа подключения (ЛВС, коммутируемое соединение или оба типа подключения).
Применение политики "закрытости" также ограничит все другие типы трафика от достижимых адресатов, которые не понимают IPSec или не являются частью той же самой доверенной группы. Безопасная политика инициатора обеспечивает установки, применяемые лучше всего к тем серверам, для которых предпринята защита трафика, но если клиент "не понимает" IPSec, то результатом переговоров будет возобновление посылки "чистых" текстовых пакетов.
Когда IPSec применяется для шифрования данных, производительность сети понижается из-за непроизводительных затрат на обработку и шифрование. Один из возможных методов уменьшения воздействия этих непроизводительных затрат — обработка на аппаратном уровне. Поскольку NDIS 5.0 поддерживает такую функцию, можно включить аппаратные средства шифрования в сетевой адаптер. Адаптер, обеспечивающий перегрузку IPSec на аппаратные средства, скоро представят на рынке несколько поставщиков аппаратного обеспечения.
Протокол IPSec обещает быть очень популярным для защиты и корпоративного трафика, и внутреннего общего трафика, который требует конфиденциальности. Одним из вариантов реализации может быть применение политики "закрытости" протокола IPSec только к специфическим серверам, которые предназначены для сохранения и/или обслуживания конфиденциальной информации.
Доверие и проверка
Получив подписанное сообщение, следует решить: насколько можно доверять данной подписи? Действительно ли подпись была поставлена тем, кого она представляет? Математическую верность подписи можно проверить по получении подписанного сообщения. Для этого применяется открытый ключ. Но при этом нет полной уверенности в том, что используемый открытый ключ действительно принадлежит корреспонденту, от которого получено подписанное сообщение. Возникает необходимость проверки принадлежности открытого ключа. Она может быть проведена с помощью сертификата, созданного центром авторизации, пользующимся доверием у стороны, получившей подписанное сообщение. В сертификате должна содержаться следующая информация:
|
|
|
Криптографически верная подпись, идентифицирующая создателя сертификата.
|
|
|
Подтверждение связи между стороной, приславшей подписанное сообщение, и ее открытым ключом.
|
|
|
Сертификат должен быть создан ЦС, которому приемная сторона доверяет.
Истинность полученного сертификата может быть проверена с помощью открытого ключа, принадлежащего создавшему этот сертификат ЦС. Однако здесь возникает еще одна проблема. А действительно ли открытый ключ принадлежит данному ЦС? Для получения ответа на этот вопрос необходимо применить еще один сертификат. В результате возникает цепочка сертификатов, начинающаяся с сертификата открытого ключа стороны, передавшей подписанное сообщение, и заканчивающаяся сертификатом ЦС, которому приемная сторона безоговорочно доверяет. Такой сертификат называется
корневым сертификатом доверия
(trusted root certificate), поскольку он формирует
корень
(верхний узел)
иерархии открытых ключей к идентификаторов связи,
которую приемная сторона рассматривает как достойную доверия. Если приемная сторона определила ЦС, которому она будет безоговорочно доверять, то полным доверием будут пользоваться и все дочерние (подчиненные) ЦС, идентифицированные корневым сертификатом доверия.
Описанная выше модель идентификации передающей стороны предполагает, что секретно приемная сторона должна получить информацию только о наборе корневых сертификатов доверия.
Флаги, используемые в запросах
Каждый билет Kerberos содержит набор
флагов,
используемых для указания различных атрибутов данного билета. Большинство флагов требуются клиенту при получении билета. Некоторые из них автоматически устанавливаются и снимаются сервером Kerberos.
Характеристики безопасности
|
|
|
Аутентификация (проверка подлинности)
Это процесс надежного определения подлинности поддерживающих связь компьютеров. Аутентификация основана на методах криптографии, и это гарантирует, что нападающий или прослушивающий сеть не сможет получить информацию, необходимую для рассекречивания пользователя или другого объекта. Аутентификация позволяет поддерживающему связь объекту доказать свое тождество другому объекту без пересылки незащищенных данных по сети. Без "сильной" (strong) аутентификации и поддержания целостности данных любые данные и компьютер, который их послал, являются подозрительными.
|
|
|
Целостность (integrity)
Правильность данных, то есть их неизменность по сравнению с первоначально посланными. Службы, поддерживающие целостность, защищают данные от несанкционированного изменения по пути их следования.
|
|
|
Конфиденциальность (privacy)
Гарантия того, что данные будут раскрыты только тем получателем, которому они были предназначены. Это свойство не является обязательным.
|
|
|
Предотвращение повторного использования (anti-replay)
Предотвращение повторного использования гарантирует, что каждая посланная IР-датаграмма (IP-пакет) отличается от любой другой, чтобы помочь предотвратить атаки, в которых сообщение прерывается и сохраняется атакующим, а затем многократно используется им позже для организации попытки нелегального доступа к информации.
Хранилища сертификатов
Windows 2000 сохраняет сертификаты локально на том компьютере, с которого запрашивался сертификат для данного компьютера или для пользователя, работающего за данным компьютером. Место хранения сертификатов называется
хранилищем сертификатов
(certificate store). С помощью оснастки
Сертификаты
(Certificates) (Рисунок 26.13) можно просматривать хранилища сертификатов для пользователя, компьютера или сервиса, в которых сертификаты можно сортировать (переключатели в окне
Параметры просмотра
(View Options)) — вызывается из меню Вид (View))
по назначению
(Purpose) или
по логическим хранилищам
(Logical Store) (табл. 26.2). При сортировке сертификатов по логическим хранилищам можно также отобразить физические хранилища с указанием их иерархии.
|
|
|
Примечание 1
Примечание 1
|
|
|
Оснастка
Сертификаты
не включается в меню при инсталляции системы, ее нужно запускать (создать
инструмент
консоли ММС) вручную. Процедура создания инструмента ММС описана в разделе
"Создание новой консоли"
главы 6.
При наличии соответствующих прав вы можете импортировать или экспортировать сертификаты из любой папки в хранилище сертификатов. Если личный ключ, связанный с сертификатом, доступен для экспорта, то вы можете экспортировать сертификат и личный ключ в файл, соответствующий стандарту PKCS #12.
Оснастка
Сертификаты
также позволяет публиковать выпущенные сертификаты в Active Directory. Публикация сертификата в Active Directory дает возможность всем группам, которые имеют необходимые разрешения, извлекать сертификат при необходимости.
При наличии соответствующих прав можно запрашивать или импортировать сертификаты из любой папки в хранилище сертификатов. Однако вы можете экспортировать сертификаты из хранилищ сертификатов только при отображении физическогр хранилища.
Команда
Поиск сертификатов
(Find Certificates) (контекстного меню или меню
Действие
(Action)) помогает отыскать выпущенные сертификаты в хранилищах сертификатов. Вы можете провести поиск в определенном хранилище или во всех хранилищах и ограничить поиск на основании определенной информации сертификатов, например, искать сертификаты, выпущенные определенным центром сертификации.
|
|
Импорт и экспорт сертификатов
При импорте или экспорте сертификатов сертификат копируется в хранилище или из хранилища. Импорт или экспорт сертификата проводится при выполнении следующих задач:
|
|
|
Инсталляция сертификата, полученного вами от другого пользователя (импорт).
|
|
|
Восстановление сертификата, который хранился в виде резервной копии (импорт).
|
|
|
Создание резервной копии сертификата (экспорт).
|
|
|
Копирование сертификата или ключа для использования на другом компьютере (экспорт).
Передавать сертификаты можно в следующих форматах:
|
|
|
Personal Information Exchange (Обмен персональной информацией) (PKCS#l2).
Данный формат (Personal Information Exchange, PFX) позволяет приложениям передавать сертификаты и соответствующие личные ключи с одного компьютера на другой, на съемный накопитель или смарт-карту.
PKCS #12 является стандартным в отрасли форматом, применяемым для передачи или резервного копирования и восстановления сертификатов и их ключей. Сертификаты в этом формате могут передаваться между продуктами одного или различных производителей, например, Microsoft и IBM. Для использования формата PKCS #12 поставщик услуг шифрования (CSP) должен считать сертификаты и ключи доступными для экспорта.
Экспорт личного ключа — рискованная операция, поскольку ключом могут завладеть посторонние лица. Поэтому PKCS #12 является единственным форматом, который Microsoft поддерживает для экспорта сертификатов и связанных с ними личных ключей.
|
|
|
Cryptographic Message Syntax Standard (Криптографический стандарт на синтаксис сообщений) (PKCS #7).
Определяет общий синтаксис данных и дает рекомендации по шифрованию, цифровым подписям и цепочкам сертификатов. PKCS #7 определяет точный формат, в котором данные шифруются или подписываются, а также то, как определяются алгоритмы шифрования.
PKCS #7 позволяет передавать сертификат и все сертификаты в пути сертификата с одного компьютера на другой или с компьютера на съемный диск. Имена файлов сертификатов имеют расширение р7Ь.
|
|
|
DER Encoded Binary X.509.
Формат могут использовать центры сертификации, находящиеся не на серверах Windows 2000. Имена файлов сертификатов имеют расширение сеr.
|
|
|
Base64 Encoded XJ09.
Данный формат могут применять ЦС, находящиеся не на серверах Windows 2000, — например, ЦС, использующие программное обеспечение Netscape. Имена файлов сертификатов имеют расширение сеr.
Интегрированная аутентификация Kerberos
|
|
Интегрированная аутентификация Kerberos
В Windows 2000 аутентификация Kerberos реализована на уровне доменов, что позволяет выполнять одну регистрацию в системе при доступе ко всем ресурсам сети и поддерживать модель распределенной безопасности Windows 2000. На любом участке дерева доменов Windows 2000 протокол Kerberos обеспечивает взаимную аутентификацию, ускоренную аутентификацию и транзитное доверие на аутентификацию. Аутентификация Kerberos в Windows 2000 используется для выполнения интерактивной регистрации пользователя в домене. Расширение стандартной аутентификации Kerberos для применения открытого ключа позволяет применять регистрацию в Windows 2000 с помощью смарт-карты. Протокол Kerberos реализован в виде поставщика безопасности, доступ к которому осуществляется с применением
интерфейса поддержки поставщика безопасности
(Security Support Provider Interface, SSPI).
Поставщик безопасности Kerberos используется клиентом и сервером 8MB (Server Message Block). Он также доступен для DCOM, авторизованного RPC и любого протокола, использующего SSPI для обеспечения безопасности информации, передаваемой по сети. SSPI — это интерфейс безопасности Win32, который существует в составе Windows NT, начиная с версии 3.5. Он также поддерживается в Windows 95/98. В SSPI применяются те же архитектурные концепции, что и в наборе программных вызовов
общих служб безопасности
(Generic Security Services API, GSS-API), соответствующих RFC 1964; SSPI позволяет освободить приложения от непосредственного взаимодействия с протоколами сетевой безопасности.
В Windows 2000 реализован
Центр распространения ключей Kerberos
(Kerberos Key Distribution Center, KDC). На каждом контроллере домена Windows 2000 помимо службы Active Directory имеется служба KDC, выполняющаяся вместе с Active Directory как процесс в привилегированном режиме. Оба процесса осуществляют управление жизненно важной информацией, включая пароли учетных записей пользователей. Active Directory выполняет автоматическую репликацию служебной информации на всех контроллерах домена. Поэтому создавать новые учетные записи пользователей, настраивать членство пользователей в группах или переустанавливать пароли можно на любом контроллере домена. Это означает, что в отличие от Windows NT 4.0, где изменить административную информацию можно было только на Главном контроллере домена (Primary Domain Controller, PDC) с последующим обновлением доступных только для чтения реплик на Резервных контроллерах домена (Backup Domain Controller, BDC), в Windows 2000 можно изменять любую реплику Active Directory, хранящуюся на некотором контроллере домена.
Клиенты и серверы используют протокол Kerberos для взаимной аутентификации. Запрос Kerberos содержит билет сеанса и аутентификатор, получаемый в KDC и позволяющий исключить возможность подмены билета сеанса. Поставщик безопасности Kerberos на стороне клиента интегрируется с локальным администратором безопасности), поддерживающим локальный кэш билетов. При инициализации клиентом контекста безопасности, поставщик безопасности Kerberos считывает билет сеанса, соответствующий целевой службе, или запрашивает новый билет сеанса в KDC. Сообщение запроса Kerberos, созданного поставщиком безопасности Kerberos, соответствует форматам маркера механизма GSS KerbS, описанным в RFC 1964. Клиенты могут аутентифицироваться для любой службы домена или доверенного владения, поддерживающего механизм GSS. Поставщик безопасности Kerberos может воспринять запрос Kerberos, который сгенерирован любым клиентом, поддерживающим форматы маркера в стандарте GSS, RFC 1964.
Такой уровень взаимодействия позволяет осуществлять поддержку традиционной аутентификации Kerberos, основанной на именах, в многоплатформных средах. Для имперсонализации и управления доступом в рамках модели распределенной безопасности Windows 2000 службам Windows 2000 достаточно данных авторизации, находящихся в билете сеанса.
Использование сертификатов для обеспечения безопасности
Сертификаты можно использовать для решения различных задач безопасности. В их число входят:
|
|
|
Аутентификация
(authentication) или
проверка подлинности.
Проверка того, что объект, с которым вы взаимодействуете, является в ДействитеЛьнб;-сти авторизованным объектом.
|
|
|
Конфиденциальность
(privacy) или
секретность.
Обеспечение доступа к информации только авторизованным пользователям, даже если любой пользователь сети может перехватить сообщение.
|
|
|
Шифрование
(encryption). Обеспечивает доступ к информации только для того пользователя, кому она предназначена.
|
|
|
Цифровые подписи
(digital signatures). Обеспечение целостности и подлинности данных.
Использование сертификатов в Интернете
При работе в Интернете браузер Internet Explorer использует два типа сертификатов:
персональный сертификат
(personal certificate) и
сертификат веб-узла
(Web site certificate). Персональный сертификат удостоверяет личность пользователя. Информация сертификата используется при передаче личной информации через Интернет на веб-узел, который требует проверки пользователя посредством сертификата. Сертификат веб-узла подтверждает, что данный узел является безопасным и подлинным. При этом гарантируется, что никакой другой веб-узел не является идентичным оригинальному веб-узлу. Internet Explorer при подключении к веб-узлу проверяет, что Интернет-адрес в сертификате совпадает с действительным адресом и срок действия сертификата еще не истек
Для получения персонального сертификата зайдите на узел Microsoft Certification Authorities
(http://www.microsoft.com/ca/ca.htm)
и следуйте приведенным там инструкциям. Сертификат веб-узла можно получить при подключении к данному узлу или из базы данных центра сертификации узла. Использование сертификатов при работе с Internet Explorer и Outlook Express описано в главе 21.
Ключи
Для обеспечения безопасности данных в криптографии совместно с алгоритмами используются
ключи.
Ключ — это некоторое значение, применяемое для шифрования или дешифрования информации. Для шифрования в системах безопасности могут использоваться как закрытые, так и открытые ключи. Даже если алгоритм известен, без ключа данные нельзя просмотреть или изменить. Возьмем, например, замок с секретом. Алгоритм открывания замка с секретом общеизвестен — чтобы открыть замок, необходимо установить диски в заданном порядке. Однако ключ к замку, число комбинаторного кода, является секретным и известно только хозяину замка. Безопасность IP в Windows 2000 использует ключи большой длины, чтобы обеспечить повышенную безопасность. Если длину ключа увеличить на один бит, число возможных комбинаций удваивается. Безопасность IP в Windows 2000 также применяет динамическое обновление ключей; это означает, что после определенного интервала для продолжения обмена данными генерируется новый ключ. Такое решение позволяет защититься от злоумышленника, который получил доступ к части информации во время ее передачи.
Компоненты Windows 2000, обеспечивающие шифрование
На Рисунок 26.1 схематично показана логическая взаимосвязь средств Windows 2000, позволяющих применять шифрование с открытым ключом.
Изображенные на Рисунок 26.1 средства не обязательно должны размещаться на отдельных компьютерах. Несколько служб могут эффективно работать на одном компьютере. Ключевое звено схемы — служба сертификатов Microsoft (Microsoft Certificate Services). Она позволяет создать один или несколько ЦС предприятия, поддерживающих создание и отзыв сертификатов. Они интегрированы в Active Directory, где хранится информация о политике ЦС и их местоположении. Кроме того, с помощью Active Directory выполняется публикация информации о сертификатах и их отзыве.
|
|
|
|
Рис 26.1.
Взаимосвязь средств Windows 2000, предназначенных для работы с открытым ключом
Средства работы с открытым ключом не заменяют существующих механизмов доверительных отношений между доменами и аутентификации, реализованных с помощью контроллеров доменов и
центров распространения: ключей Kerberos
(Key Distribution Center, KDC). Напротив, данные средства взаимодействуют с этими службами, что позволяет приложениям безопасно передавать конфиденциальную информацию через Интернет и корпоративным глобальным каналам.
Поддержка прикладных средств шифрования информации с открытым ключом включена в состав программного обеспечения операционных систем Windows 2000, Windows NT, а также Windows 95/98. На Рисунок 26.2 показана структура служб, предназначенных для поддержки прикладных программ. Основой архитектуры поддержки прикладных программ шифрования информации с открытым ключом является библиотека CryptoAPI. Она позволяет работать со всеми устанавливаемыми
поставщиками услуг шифрования
(Cryptographic Service Providers, CSP) через стандартный интерфейс. CSP могут быть реализованы на программном уровне или с помощью специального оборудования. Они поддерживают различные длины ключей и алгоритмы шифрования. Как видно на Рисунок 26.2, один из CSP поддерживает смарт-карты. Услугами служб шифрования пользуются службы управления сертификатами. Они соответствуют стандарту Х.509 v3 и позволяют организовывать принудительное хранение, службы подсчета и дешифрования. Кроме того, эти службы предназначены для работы с различными отраслевыми стандартами сообщений. В основном они поддерживают стандарты PKCS и разработанный в IETF (Internet Engineering Task Force) набор предварительных стандартов PKIX (Public Key Infrastructure, X.509).
|
|
|
|
Рис 26.2.
Службы средств шифрования информации с открытым ключом, поддерживающие прикладные программы
Остальные службы используют CryptoAPI для придания дополнительной функциональности прикладным программам. Защищенный канал (Secure Channel) поддерживает сетевую аутентификацию и шифрование в соответствии со стандартными протоколами TLS и SSL, обращение к которым может быть выполнено с помощью интерфейсов Microsoft Winlnet и SSPI. Служба Authenticode предназначена для проверки и подписи объектов и в основном используется при получении информации через Интернет.
В состав программного обеспечения служб поддержки прикладных средств шифрования входит поддержка интерфейса, предназначенного для работы со смарт-картами. Они используются для регистрации на компьютере и в сети Windows 2000.
Конфиденциальность
|
|
|
Для обеспечения конфиденциальности при передаче данных в незащищенных сетях или по частным локальным сетям применяется
шифрование с секретным,
или
закрытым, ключом
(secret key encryption).
|
|
|
Сертификаты обеспечивают конфиденциальность передаваемых данных при помощи ряда методов. Протоколы, наиболее широко используемые для обеспечения секретности:
Secure Multipurpose Internet Mail Extensions (S/MIME)
Transport Layer Security (TLS)
IP Security (IPSec)
Копирование, перемещение, переименование и уничтожение зашифрованных файлов и папок
Операции копирования, перемещения, переименования и уничтожения зашифрованных файлов и папок выполняются точно так же, как и с незашифрованными объектами. Однако следует помнить, что пункт назначения зашифрованной информации должен поддерживать шифрование (должен иметь файловую систему NTFS 5.0). В противном случае при копировании данные будут расшифрованы, и копия будет содержать открытую информацию.
Временные файлы, создаваемые приложениями, наследуют
EPS тесно взаимодействует с NTFS 5.0. Временные файлы, создаваемые приложениями, наследуют атрибуты оригинальных файлов (если файлы находятся в разделе NTFS). Вместе с файлом шифруются также и его временные копии. EPS находится в ядре Windows 2000 и использует для хранения ключей специальный пул, не выгружаемый на жесткий диск. Поэтому ключи никогда не попадают в файл подкачки.
Конфигурация EFS, устанавливаемая по умолчанию, позволяет пользователю шифровать свои файлы без всякого вмешательства со стороны администратора. В этом случае EFS автоматически генерирует для пользователя пару ключей (открытый и личный), применяемую для криптозащиты данных. Шифрование и дешифрование файлов может быть выполнено как для определенных файлов, так и для целого каталога. Криптозащита каталога прозрачна для пользователя. При шифровании каталога автоматически шифруются и все входящие в него файлы и подкаталоги. Каждый файл обладает уникальным ключом, позволяющим легко выполнять операцию переименования. Если вы переименовываете файл, находящийся в зашифрованном каталоге, и переносите его в незашифрованный каталог, сам файл остается зашифрованным (при условии, что целевой каталог находится на томе NTFS 5.0). Средства шифрования и дешифрования доступны через Проводник. Кроме того, можно использовать все возможности криптозащиты данных с помощью набора утилит командной строки и интерфейсов администрирования.
EFS исключает необходимость предварительного расшифровывания данных при доступе к ним. Операции шифрования и Дешифрования выполняются автоматически при записи или считывании информации. EFS автоматически распознает зашифрованный файл и найдет соответствующий ключ пользователя в системном хранилище ключей. Поскольку механизм хранения ключей основан на использовании CryptoAPI, пользователи получают возможность хранить ключи на защищенных устройствах, например, смарт-картах. Если зашифрованные файлы хранятся на общих ресурсах, то для работы с ними пользователи должны иметь сертификат и личный ключ того, кто установил шифрование этих файлов. Впоследствии каждый пользователь может при необходимости независимо расшифровать файл при помощи своего личного ключа.
|
|
|
Предупреждение
|
|
|
Будьте внимательны: нельзя шифровать сжатые файлы и папки (и наоборот — сжимать зашифрованные данные)!
|
|
|
Напомним, что каталоги и файлы можно шифровать только на томах NTFS.
Модель распределенной безопасности Windows 2000
Модель распределенной безопасности Windows 2000 основана на трех основных концепциях:
|
|
|
Каждая рабочая станция и сервер имеют прямой
доверенный путь
(trust path) к контроллеру домена, членом которого является данная машина. Доверенный путь устанавливается службой NetLogon с помощью аутен-тифицйрованного соединения RPC с контроллером домена. Защищенный канал устанавливается и с другими доменами Windows NT с помощью междоменных доверительных отношений. Он используется для проверки информации безопасности, включая
идентификаторы безопасности
(Security Identifiers, SID) пользователей и групп.
|
|
|
Перед выполнением запрошенных клиентом операций сетевые службы имперсонализируют контекст безопасности этого клиента; Имперсонализация основана на маркере адреса безопасности, созданном
локальным администратором безопасности
(Local Security Authority, LSA). Он представляет собой авторизацию клиента на сервере. Поток, находящийся на сервере и соответствующий данному клиенту, имперсонализирует контекст безопасности клиента, и выполняет операции в соответствии с авторизацией данного клиента, а не в соответствии с идентификатором безопасности сервера. Имперсонализация поддерживается, всеми службами Windows 2000, включая, например” службу удаленного файлового сервера CIFS/SNB. Аутентифицированный RPC и DCOM поддерживают имперсонализацию для распределенных приложений. Серверы семейства BackOffice: Exchange Server, SNA Server и Internet Information Server также поддерживают имперсонализацию.
|
|
|
Ядро Windows 2000 поддерживает объектно-ориентированное управление доступом, сравнивая SID в маркере доступа с правами доступа, определенными в списке управления доступом данного объекта. Каждый объект Windows 2000 (ключи реестра, файлы и каталоги NTFS, общие ресурсы, объекты ядра, очереди печати и т. д.) имеют собственные списки управления доступом. Ядро Windows 2000 проверяет разрешения при каждой попытке доступа к данному объекту. Управление доступом и аудит осуществляются с помощью настройки свойств безопасности объекта, позволяющих предоставить пользователю или группе доступ к объекту. Управление авторизацией выполняется централизованно посредством включения пользователей в группы Windows 2000, которым предоставлены необходимые права доступа операционной системе Windows 2000 существуют дополнительные средства обеспечения безопасности — аутентификация клиента с помощью открытого ключа посредством SSL/TLS и протокола Kerberos версии 5, которые интегрированы в систему безопасности.
Обеспечение истинности открытых ключей
При шифровании с открытым ключом жизненно важна абсолютно достоверная ассоциация открытого ключа и передавшей его стороны, поскольку в обратном случае возможна подмена открытого ключа и осуществление несанкционированного доступа к передаваемым зашифрованным данным. Необходим механизм, гарантирующий достоверность корреспондента, например, применение сертификата, созданного авторизованным генератором сертификатов.
Обновление сертификатов
Каждый выпущенный сертификат имеет определенный срок действия, по истечении которого сертификат становится недействительным. В общем случае вы можете обновить сертификат с истекшим сроком действия. Если ваш администратор создал политику открытых ключей для автоматических запросов на получение сертификатов, то сертификаты будут обновляться автоматически.
Если вы пользуетесь смарт-картой, или в вашей организации не применяется политика автоматических запросов на получение сертификатов, то оснастка
Сертификаты
уведомит вас об истечении срока действия сертификата и при этом:
|
|
|
Сообщит вам информацию о центре сертификации, выпустившем сертификат.
|
|
|
(необязательно)
Предложит вам выбрать новую пару "открытый/личный ключи". Если вы хотите получить новую пару ключей, то вам будет предложено выбрать поставщика службы криптографии (CSP), используемого для генерации пары ключей.
Общие понятия и терминология
Общие понятия и терминология
Рассмотрим сначала некоторые общие понятия и термины, относящиеся к защите данных и методам шифрования, без которых невозможно описывать средства безопасности Windows 2000.
Операция дешифрования
Дешифрование данных производится следующим образом:
|
|
1.
|
Из DDF извлекается зашифрованный РЕК и дешифруется с помощью секретной части ключа пользователя.
|
|
2.
|
Зашифрованный файл пользователя дешифруется с помощью РЕК, полученного на предыдущем этапе.
При работе с большими файлами дешифруются только отдельные блоки, что значительно ускоряет выполнение операций чтения.
Операция шифрования
Шифрование данных производится в следующем порядке:
|
|
1.
|
Незашифрованный файл пользователя шифруется с помощью сгенерированного случайным образом ключа шифрования файла, РЕК.
|
|
2.
|
РЕК шифруется с помощью открытой части пары ключей пользователя и помещается в поле дешифрования данных, DDF.
|
|
3.
|
РЕК шифруется с помощью открытой части ключа восстановления и помещается в поле восстановления данных, DRF.
Поиск неисправностей
Если сетевое взаимодействие с использованием безопасности IP не функционирует должным образом или невозможно создавать и конфигурировать политики:
|
|
|
Убедитесь, что агент политики (Policy Agent) запущен на компьютере. Можно открыть оснастку
Службы
(Services) и просмотреть список служб и их состояние. Если агент не запущен, определите возможные причины отказа при помощи оснастки
Просмотр событий
(Event Viewer).
|
|
|
Агент политики останавливается, если он не находит никакой политики безопасности в Active Directory. После того как политика безопасности была создана и назначена, необходимо перезагрузить компьютеры, которым эта политика была назначена. Это заставит агента политики снова обратиться к службе Active Directory.
|
|
|
Убедитесь, что служба ISAKMP/Oakley работает на компьютере. Агент политики должен быть запущен до запуска службы ISAKMP. Можно просмотреть список служб и их состояние с помощью оснастки
Службы.
Если служба не запущена, используйте оснастку
Просмотр событий,
чтобы определить возможные причины отказа.
|
|
|
Можно воспользоваться
Сетевым монитором
(Network Monitor), чтобы видеть пакеты, обработанные безопасностью IP. В качестве номера протокола для таких пакетов будет отображаться 50 (номер протокола ESP в десятичной форме), а для протокола АН 'будет отображаться 51 (десятичное). Для ISAKMP/Oakley будет виден номер порта UDP = 500 (десятичное число).
Политики безопасности
Политики безопасности действуют в рамках сайта, домена или контейнера (подразделения, организационной единицы, OU) и распространяются на группы, компьютеры и пользователей — то есть на все объекты администрирования. Безопасность шифрования с открытым ключом является одним из аспектов общей политики безопасности Windows 2000 и интегрирована в ее структуру. Это механизм, с помощью которого можно посредством объектов политики безопасности централизованно осуществлять настройку и управление глобальной политикой работы с открытым ключом.
С помощью политики открытого ключа можно определять следующие аспекты безопасности Windows 2000:
|
|
|
Доверенные корни ЦС
|
|
|
Регистрация и обновление сертификатов
|
|
|
Регистрация в системе с помощью смарт-карты
Операционная система Windows 2000 обладает
Операционная система Windows 2000 обладает развитыми средствами шифрования данных с открытым ключом, представляющими собой дальнейшее развитие служб шифрования информации Windows NT. На данный момент Windows 2000 располагает интегрированным набором служб и инструментов администрирования, предназначенных для создания, реализации и управления приложениями, использующими алгоритмы шифрования с открытым ключом. Это позволит независимым разработчикам программного обеспечения интенсивно применять в своих продуктах технологию
общего ключа
(shared key). В то же время предприятия получают возможность создавать и поддерживать эффективные защищенные вычислительные среды, применяя для этого хорошо развитый и легкий в работе набор инструментов и механизмов обеспечения соблюдения политик безопасности.
Аутентификация Kerberos используется многими службами
Аутентификация Kerberos используется многими службами домена Windows 2000. SSPI применяется для аутентификации в большинстве системных служб, поэтому их перевод с аутентификации NTLM на Kerberos требует минимальных усилий. Более сложные изменения необходимы на сервере 8MB, который не использовал SSPI до версии Windows 2000. Многие новые распределенные службы Windows 2000 уже используют аутентификацию Kerberos. Примеры областей применения аутентификации Kerberos в Windows 2000:
|
|
|
Аутентификация в Active Directory с применением LDAP для запросов или управления каталогом
|
|
|
Протокол удаленного доступа к файлам CIFS/SMB
|
|
|
Управление распределенной файловой системой DFS
|
|
|
Защищенное обновление адресов DNS
|
|
|
Служба печати
|
|
|
Необязательная взаимная аутентификация IPSec-хостов в ISAKMP/Oakley
|
|
|
Запросы резервирования для службы качества обслуживания (Quality of Service)
|
|
|
Аутентификация интрасети в Internet Information Services
|
|
|
Аутентификация запросов сертификата открытого ключа, приходящих от пользователей и компьютеров домена, в Microsoft Certificate Service
|
|
|
Удаленное управление сервером или рабочей станцией с помощью аутентифицированного RPC и DCOM
Это первый шаг к основной цели, поставленной в Windows 2000, — полному исключению аутентификации NTLM в компьютерных сетях, основанных на этой операционной системе.
Принципы шифрования
|
|
Принципы шифрования
В EFS для шифрования и дешифрования информации используются открытые ключи. Данные зашифровываются с помощью симметричного алгоритма с применением
ключа шифрования файла
(File Encryption Key, FEK). FEK — это сгенерированный случайным образом ключ, имеющий определенную длину.
В свою очередь, FEK шифруется с помощью одного или
нескольких
открытых ключей, предназначенных для криптозащиты ключа. В этом случае создается
список
зашифрованных ключей FEK, что позволяет организовать доступ к файлу со стороны нескольких пользователей. Для шифрования набора FEK используется открытая часть пары ключей каждого пользователя. Список зашифрованных ключей FEK хранится вместе с зашифрованным файлом в специальном атрибуте EFS, называемом
полем дешифрования данных
(Data Decryption Field, DDF). Информация, требуемая для дешифрования, привязывается к самому файлу. Секретная часть ключа пользователя используется при дешифровании FEK. Она хранится в безопасном месте, например на смарт-карте или другом устройстве, обладающем высокой степенью защищенности.
|
|
|
Примечание 1
Примечание 1
|
|
|
Шифрование на основе ключа пользователя может быть выполнено с помощью симметричного алгоритма, применяющего ключ, образованный из пароля. EFS не поддерживает этот подход, поскольку схема, основанная на пароле пользователя, не обладает необходимой устойчивостью к атакам с применением словарей.
FEK применяется для создания ключей восстановления. Для этого FEK шифруется с помощью одного или нескольких
открытых ключей восстановления.
Список РЕК, зашифрованных для целей восстановления, хранится вместе с зашифрованным файлом в специальном атрибуте EFS, называемом
полем восстановления данных
(Data Recovery Field, DRF). Благодаря существованию набора зашифрованных FEK файл может восстановить несколько агентов восстановления данных (см. ниже). Для шифрования РЕК в DRF
необходима только общая часть пары ключей восстановления, ее присутствие в системе необходимо в любой момент времени для нормального функционирования файловой системы. Сама процедура восстановления выполняется довольно редко, когда пользователь увольняется из организации или забывает секретную часть ключа. Поэтому агенты восстановления могут хранить секретную часть ключей восстановления в безопасном месте, например на смарт-картах или других хорошо защищенных устройствах.
Процесс восстановления файла после утраты секретной части ключа
Для восстановления данных выполняются следующие операции:
|
|
1.
|
Из DDF извлекается зашифрованный РЕК и дешифруется с помощью секретной части ключа восстановления.
|
|
2.
|
Зашифрованный файл пользователя дешифруется с помощью РЕК, полученного на предыдущем этапе.
Описанная выше общая система криптозащиты позволяет применять максимально надежную технологию шифрования и дает возможность многим пользователям и агентам восстановления получать общий доступ к зашифрованным файлам. Она полностью независима от применяемого алгоритма шифрования, что очень важно, поскольку позволит в будущем легко перейти на новые, более эффективные алгоритмы.
Просмотр сертификатов
С помощью оснастки
Сертификаты
можно просматривать информацию о выпущенных сертификатах. Для этого дважды щелкните на названии сертификата.
Откроется диалоговое окно
Сертификат
(Certificate) с тремя вкладками:
Общие
(General),
Состав
(Details) и
Путь сертификации
(Certification Path). На вкладке
Общие
приведена обзорная информация о сертификате: тип сертификата, выдавший сертификат ЦС, пользователь или ЦС, для которого выдан сертификат, и период действия сертификата.
На вкладке
Состав
(Рисунок 26.14) и в табл. 26.3 отображена информация о сертификате.
|
|
Протокол аутентификации Kerberos
|
|
Протокол аутентификации Kerberos
Основы протокола Kerberos
Kerberos представляет собой набор методов идентификации и проверки истинности партнеров по обмену информацией (рабочих станций, пользователей или серверов) в открытой (незащищенной) сети. Процесс идентификации не зависит от аутентификации, выполняемой сетевой операционной системой, не основывается в принятии решений на адресах хостов и не предполагает обязательную организацию физической безопасности всех хостов сети. Кроме того, допускается, что пакеты информации, передаваемые по сети, могут быть изменены, прочитаны и переданы в любой момент времени. Следует, однако, отметить, что большинство приложений использует функции протокола Kerberos только при создании сеансов передачи потоков информации. При этом предполагается, что последующее несанкционированное разрушение потока данных невозможно. Поэтому применяется прямое доверие, основанное на адресе хоста. Kerberos выполняет аутентификацию как доверенная служба третьей стороны, используя шифрование с помощью
общего секретного ключа
(shared secret key).
Аутентификация выполняется следующим образом:
|
|
1.
|
Клиент посылает запрос
серверу аутентификации
(Authentication Server, AS) на информацию, однозначно идентифицирующую некоторый нужный клиенту сервер.
|
|
2.
|
Сервер AS передает требуемую информацию, зашифрованную с помощью известного пользователю ключа. Переданная информация состоит из
билета
сервера и временного ключа, предназначенного для шифрования (часто называемого
ключом сеанса).
С .
|
|
3.
|
Клиент пересылает серверу билет, содержащий идентификатор клиента и ключ сеанса, зашифрованные с помощью ключа, известного серверу.
|
|
4.
|
Теперь ключ сеанса известен и клиенту, и серверу. Он может быть использован для аутентификации клиента, а также для аутентификации сервера.
Ключ сеанса можно применять для шифрования передаваемой в сеансе информации или для взаимного обмена ключами подсеанса, предназначенными для шифрования последующей передаваемой информации.
Протокол Kerberos функционирует на одном или нескольких серверах аутентификации, работающих на физически защищенном хосте. Серверы аутентификации ведут базы данных партнеров по обмену информацией в сети (пользователей, серверов и т. д.) и их секретных ключей. Программный код, обеспечивающий функционирование самого протокола и шифрование данных, находится в специальных библиотеках. Для того чтобы выполнять аутентификацию Kerberos для своих транзакций, приложения должны сделать несколько обращений к библиотекам Kerberos. Процесс аутентификации состоит из обмена необходимыми сообщениями с сервером аутентификации Kerberos.
Протокол Kerberos состоит из нескольких субпротоколов (или протоколов обмена сообщениями). Существует два метода, которыми клиент может запросить у сервера Kerberos информацию, идентифицирующую определенный сервер. Первый способ предполагает, что клиент посылает AS простой текстовый запрос билета для конкретного сервера, а в ответ получает данные, зашифрованные с помощью своего секретного ключа. Как правило, в данном случае клиент посылает запрос на
билет, позволяющий получить билет
(Ticket Granting Ticket, TGT), который в дальнейшем используется для работы с
выдающим билеты сервером
(Ticket Granting Server, TGS). Второй способ предполагает, что клиент посылает TGT-билеты на TGS-сервер так же, как будто он обменивается информацией с другим сервером приложений, требующим аутентификации Kerberos.
Информация, идентифицирующая сервер, может быть использована для идентификации партнеров по транзакции, что позволит гарантировать целостность Передаваемых между ними сообщений или сохранить в секрете передаваемую информацию.
Для идентификации партнеров по транзакции клиент посылает билет на сервер. Поскольку посылаемый билет "открыт" (некоторые его части зашифрованы, но они не помешают выполнить посылку копии) и может быть перехвачен и использован злоумышленником, для подтверждения истинности партнера, пославшего билет, передается дополнительная информация, называемая
Имперсонализация Windows 2000 требует, чтобы
Имперсонализация Windows 2000 требует, чтобы локальный администратор безопасности (LSA) сервера мог безопасно получать SID пользователя и список идентификаторов безопасности членов групп.
Идентификаторы безопасности
генерируются системой безопасности домена и используются в LSA при создании маркеров доступа для имперсонализации. После создания соединения связанный с ним поток имперсонализирует зарегистрировавшегося пользователя, после чего Windows 2000 сравнивает маркер доступа клиента с ACL объекта, к которому пользователь пытается получить доступ. При аутентификации NTLM идентификаторы безопасности пользователя и группы передаются с помощью защищенного канала NetLogon прямо с контроллера домена или любого доверенного домена. При использовании протокола Kerberos идентификаторы безопасности пользователей и групп передаются в составе данных авторизации билета сеанса Kerberos.
Данные авторизации, находящиеся в билете Kerberos, полученном из KDC, содержат список идентификаторов безопасности пользователей и идентификаторов, определяющих членство в группах. Локальному администратору безопасности данные авторизации нужны для поддержки имперсонализации поставщика безопасности Kerberos.
Протокол Kerberos позволяет обращаться к данным авторизации билета Keiberos, которые определяются приложением. Они полностью соответствуют RFC 1510. Кроме того, их структура преобразована для уменьшения проблем, возникающих при совместной работе с другими операционными системами.
При первоначальной регистрации пользователя в домене КОС помещает в ТОТ данные авторизации, включающие идентификаторы безопасности пользователей или групп
домена учетных записей
(account domain). Членство в группах также определяется при первоначальной регистрации. После этого КОС копирует данные авторизации из ТОТ в билеты сеанса, применяемые для аутентификации серверов приложений. В сети с несколькими доменами КОС, управляющий запросами на получение билетов сеанса, может добавлять в данные авторизации дополнительные группы целевого домена, к которым может принадлежать пользователь.
По мере развития ОС Windows 2000 формат данных авторизации может изменяться. Но в любом случае эти данные будут содержать список идентификаторов безопасности, предназначенных для поддержки аутентификации Kerberos в многоплатформных системах, а также подпись, обеспечивающую целостность данных и устанавливаемую КОС.
Протоколы безопасности
На базе
протоколов безопасности
реализуются различные службы, обеспечивающие безопасный обмен информацией по сети. Windows 2000 использует следующие протоколы безопасности:
|
|
|
Протокол ассоциаций безопасности и управления ключами Internet (ISAKMP, Internet Security Association and Key Management Protocol)
Прежде чем IP-пакеты будут переданы от одного компьютера другому, должна быть установлена
ассоциация,
или
сопоставление, безопасности
(Security Association, SA). SA — набор параметров, который определяет необходимые для защищенной связи услуги и механизмы, типа ключей для безопасных протоколов. SA должна существовать между двумя поддерживающими связь сторонами, использующими безопасность IP. ISAKMP определяет основу для поддержки и установления ассоциаций безопасности. Протокол ISAKMP не связан ни с одним конкретным алгоритмом, методом порождения ключей или протоколом безопасности.
|
|
|
Oakley
Протокол определения ключей, который использует алгоритм обмена ключами Diffie-Hellman (D-H). Oakley генерирует ключи, необходимые для безопасного обмена информацией.
|
|
|
Заголовок аутентификации IP (АН, Authentication Header)
АН обеспечивает целостность, установление подлинности и защиту от повторного использования. Также при помощи АН поддерживается конфиденциальность. АН основан на некотором алгоритме вычисления ключевого кэшированного значения сообщения (НМАС) для каждого IP-пакета (Рисунок 26.5).
|
|
|
|
Рис 26.5.
Заголовок аутентификации АН
|
|
|
Протокол инкапсуляции безопасности (ESP, Encapsulating Security Protocol)
В дополнение к услугам АН, описанным выше, ESP обеспечивает конфиденциальность, используя алгоритм DES-CBC (Рисунок 26.6).
|
|
|
|
Рис 26.6.
Протокол инкапсуляции безопасности ESP
Протоколы обмена сообщениями
Далее описаны протоколы взаимодействия клиента и сервера и используемые при этом типы сообщений.
Протокол службы аутентификации.
Протокол службы аутентификации предназначен для обмена информацией между клиентом и сервером аутентификации (AS) Kerberos. Обычно обмен инициируется клиентом при попытке получения на сервере некоторой информации для идентификации. Для шифрования и дешифрования используется секретный ключ клиента! Этот протокол обычно применяется при инициализации сеанса входа в систему для получения информации идентификаций на TGS-сервере, который впоследствии будет использован для получения идентификационной информации других серверов без применения секретного ключа клиента. Также протокол службы аутентификации может быть использован для запроса идентификационной информации у служб, доступ к которым не может быть получен с помощью службы выдачи билетов, а требует применения секретного ключа партнера по обмену данными. К таким службам относится, например, служба изменения пароля. Запрос на изменение пароля не может быть удовлетворен до тех пор, пока клиент не сообщит свой старый пароль — текущий секретный пароль пользователя, — иначе любой пользователь мог бы сменить чужой пароль.
Протокол службы аутентификации по сути никак не идентифицирует пользователя. Для аутентификации пользователя, входящего в локальную систему, идентификационная информация, полученная по протоколу службы аутентификации, сначала может быть использована при обмене с TGS-сервером для получения идентификационной информации локального сервера, о достоверности которой говорит успешное установление соединения между клиентом и локальным сервером.
Протокол службы аутентификации состоит из двух сообщений: KRB_, AS_REQ, отправляемого от клиента серверу Keiberos, и KRB_AS_REP или KRB_ERROR, приходящего в ответ.
Запрос, посылаемый клиентом в открытом текстовом формате, содержит свой собственный идентификатор и идентификатор сервера, для которого необходимо получить идентификационную информацию. Сообщение ответа, KRB_AS_REP, содержит билет, предназначенный для клиента, который необходимо представить серверу, и ключ сеанса, который является общим для клиента и сервера. Ключ сеанса и дополнительная информация зашифровываются с помощью секретного ключа клиента. Сообщение KRB_AS_REP содержит информацию, которая может быть использована для обнаружения отправки заранее перехваченных копий и ассоциирования ее с сообщением, в ответ на которое она была послана. При возникновении ошибок вместо KRB_AS_REP посылается сообщение KRB_ERROR. Сообщение об ошибке не шифруется. Информация сообщения позволяет ассоциировать его с соответствующим запросом, но отсутствие шифрования не позволяет обнаружить факт подмены таких сообщений.
Как правило, сервер аутентификации не знает, является ли клиент, приславший запрос, тем партнером по обмену данными, имя которого указано в запросе. Сервер просто посылает ответ. Его не интересует, кому он передает информацию. Это допускается, поскольку никто, кроме партнера по обмену данными, идентификатор которого указан в запросе, не сможет использовать ответ, т. к. вся информация зашифрована с помощью секретного ключа партнера, пославшего запрос. Первоначальный запрос содержит необязательное поле, которое может служить для передачи дополнительной информации, необходимой при инициировании обмена информацией.
Протокол аутентификации клиента и сервера.
Протокол аутентификации клиента и сервера используется сетевыми приложениями для аутентификации клиента на сервере и наоборот. Для успешного выполнения аутентификации клиент должен заранее получить с помощью службы выдачи билетов или TGS информацию идентификации сервера.
Протокол выдачи билетов.
Протокол выдачи билетов предназначен для обмена информацией между клиентом и сервером Kerberos, выдающим билеты (TGS). Он инициируется клиентом При необходимости получить информацию идентификации для определенного сервера (который может быть зарегистрирован в удаленном владении). С помощью полученной информации клиент сможет проверить или обновить существующий билет или получить proxy-билет. В первом случае клиент должен заранее получить билет с помощью службы выдачи билетов ТОТ. Обычно такой билет клиент получает при первоначальной аутентификации в системе, например при входе в систему. Формат сообщения протокола выдачи билетов практически совпадает с форматом сообщений протокола службы аутентификации. Основное различие в том, что шифрование и дешифрование информации в протоколе выдачи билетов выполняются без использования ключа клиента. Вместо него используется ключ сеанса, находящийся в билете на получение билета, или ключ субсеанса, находящийся в аутентификаторе. Как в случае серверов приложений, билеты, срок действия которых истек, не принимаются в TGS. Поэтому после того как время работы
обновляемого билета
или
билета на получение билета
истекло, клиент должен с использованием специального протокола получить работоспособный билет.
Протокол выдачи билетов состоит из двух сообщений: запрос от клиента к серверу Kerberos, выдающему билеты, — KRB_TGS_REQ — и ответ на этот запрос — KRB_TGS_REP или KRB_ERROR. Сообщение KRB_TGS_REQ несет информацию, аутентифицирующую пользователя, а также запрос на идентификационную информацию. Информация аутентификации содержит
заголовок аутентификации
(KRB_AP_REQ), включающий предварительно полученный клиентом билет на получение билета, обновляемый или неработоспособный билет. Если передается билет на получение билета, запрос может включать следующую дополнительную информацию: список сетевых адресов, набор типизированных данных авторизации, которые должны быть помещены в билет для дальнейшего использования в процессе авторизации сервером приложения, или дополнительные билеты. Сообщение KRB_TGS_REP содержит запрошенную информацию идентификации, зашифрованную с помощью ключа сеанса, находящегося в билете на получение билета или в обновляемом билете, или с помощью ключа субсеанса, находящегося в аутентификаторе. Сообщение KRB_ERROR содержит код ошибки и текстовое объяснение причины ее возникновения. Это сообщение не шифруется. В сообщении KRB_TGS_REP находится информация, позволяющая обнаружить факт посылки заранее перехваченной копии данных, а также ассоциировать ответ с вызвавшим его запросом. Информация сообщения KRB_ERROR тоже позволяет ассоциировать его с соответствующим запросом, но отсутствие шифрования не позволяет обнаружить факт подмены таких сообщений.
Протокол KRB_SAFE.
Сообщение KRB_SAFE используется клиентами при необходимости обнаружения несанкционированной модификации сообщений, которыми они обмениваются. Модификация сообщений обнаруживается с помощью подсчета контрольной суммы данных пользователя и дополнительной контрольной информации. Контрольная сумма шифруется с помощью специального ключа, который выбирается в результате переговоров, или с помощью ключа сеанса.
Протокол KRB_PRIV.
При помощи сообщения KRB_PRIV клиенты при необходимости передают чрезвычайно конфиденциальные данные и обнаруживают несанкционированную модификацию сообщений. Это делается с
помощью подсчета контрольной суммы данных пользователя и дополнительной контрольной информации.
Протокол KRB_CRED.
Сообщение KRB_CRED используется клиентами при необходимости отправки информации идентификации Kerberos от одного хоста другому хосту. Этот протокол предполагает отправку билетов вместе с зашифрованными данными, содержащими ключи сеанса и другую информацию, ассоциированную с билетами.
Работа с EFS
|
|
Работа с EFS
Управление сертификатами пользователей
Пользователи могут запрашивать, экспортировать, импортировать сертификаты, служащие в EFS для идентификации пользователей, а также управлять ими. Эта возможность предназначена для опытных пользователей, которые хотят иметь средство управления собственными сертификатами. Обычно пользователям не приходится самостоятельно управлять сертификатами, поскольку EFS автоматически генерирует для них пару ключей при первом обращении к ней — т. е. при попытке зашифровать файл или каталог (при этом открытый ключ сертифицируется в центре сертификации, а если таковой недоступен, то EFS сама подписывает открытый ключ).
|
|
|
Примечание 1
Примечание 1
|
|
|
В вышесказанном легко убедиться, если после инсталляции системы запустить оснастку
Сертификаты
и раскрыть узел (папку)
Личные:
этот узел будет пуст. Если затем зашифровать некоторый файл или папку и вернуться в оснастку
Сертификаты,
то можно увидеть, что в папке
Личные
появился сертификат, выданный текущему пользователю.
Управление сертификатами, их импорт и экспорт осуществляется с помощью контекстных меню оснастки
Сертификаты
(Certificates) (см. ниже раздел
"Сертификаты"
и Рисунок 26.13). Пользователи имеют возможность управлять только своими собственными сертификатами.
|
|
|
Предупреждение
|
|
|
Если вы зашифровали какую-нибудь информацию, то
обязательно
выполните экспорт сертификата с записью его на дискету! Если вдруг понадобится выполнить заново инсталляцию системы и вы забудете расшифровать эту информацию (что весьма вероятно!), то
доступ к ней навсегда будет утерян.
Распределенная аутентификация
Шифрование с открытым ключом применяется для создания надежной службы
распределенной аутентификации,
гарантирующей, что данные пришли получателю от истинного корреспондента.
Разработка плана безопасности
Перед тем как реализовать безопасность IP в Windows 2000, полезно разработать и задокументировать
план безопасности,
охватывающий всю корпоративную сеть. Необходимо:
|
|
|
Оценить тип данных, посылаемых по сети.
Нужно определить, являются ли эти данные конфиденциальной информацией, частной информацией или сообщениями электронной почты. Если вся информация такого рода передается по сети или через Интернет, то она может быть перехвачена, исследована или изменена кем-то, кто прослушивает сеть.
|
|
|
Определить вероятные сценарии связи.
Например, удаленным отделам сбыта может потребоваться связь с главным офисом, а внутренней сети — соединение с сетями других компаний. Удаленным пользователям может понадобиться связь с частными пользователями сети из дома, а другим может потребоваться связь с файловым сервером, содержащим конфиденциальную информацию.
|
|
|
Определить уровень безопасности, необходимый для каждого сценария.
Например, могут быть некоторые отделы или пользователи, которые нуждаются в более высоком уровне безопасности, чем другие.
Необходимо создать и сконфигурировать политику безопасности для каждого сценария, который был указан в плане.
Например, в компании может быть юридический отдел, которому требуется собственная политика безопасности для любых данных, посланных с использованием IP-протокола. Пользователи в юридическом отделе должны иметь высокий, обеспечивающий конфиденциальность, уровень безопасности для любых данных, посылаемых за пределы отдела. Однако в плане безопасности компании может быть определено, что пользователи в юридическом отделе не требуют конфиденциальности при посылке данных друг другу.
Чтобы реализовать план безопасности для юридического отдела, администратор может выполнить следующие шаги:
|
|
1.
|
Создать политику безопасности с именем Legal и привязать ее к заданной по умолчанию политике домена (Default Domain Policy). Поскольку каждый компьютер входит в домен компании, агент политики компьютера выберет политику безопасности Legal в каталоге Active Directory. Политика безопасности Legal могла бы иметь описанные ниже политику переговоров и IP-фильтры, связанные с ней.
|
|
2.
|
Создать две политики переговоров и связать их с политикой безопасности Legal:
Первую политику переговоров, Legal NP 1, настроенную на службы и обеспечивающую конфиденциальность для взаимодействия пользователей юридического отдела с пользователями других отделов ("передаваемые данные будут конфиденциальны, подлинны и не модифицированы" — парадигма протокола безопасности ESP).
Вторую политику переговоров, Legal NP 2, настроенную на службы и обеспечивающую только установление подлинности и защиту от изменений, когда пользователи юридического отдела общаются друг с другом ("передаваемые данные будут подлинны и не модифицированы"— парадигма протокола безопасности АН).
|
|
3.
|
Создать два IP-фильтра и связать каждый с политикой переговоров.
Пользователи в юридическом отделе находятся в сети 157.55.0.0 с маской подсети 255.255.0.0. Пользователи других отделов находятся в сети 147.20.0.0 с маской подсети 255.255.0.0.
Первый IP-фильтр, Legal IP Filter 1, предназначен для пользователей в юридическом отделе, которые связываются с пользователями других отделов. Он будет связан с политикой переговоров Legal NP 1. Администратор устанавливает свойства фильтра в соответствии со следующими значениями:
Заданный IP-адрес для источника — 157.55.0.0. Этот адрес будет соответствовать любому адресу IP в сети юридического отдела, т. к. он является IP-адресом подсети
Заданный IP-адрес для получателя — 147.20.0.0
Поскольку план безопасности компании обусловливает безопасность всех данных, посланных при помощи протокола IP, тип протокола — любой (Any)
Пользователи юридического отдела, поддерживающие связь с другими пользователями внутри отдела, используют второй IP-фильтр, Legal IP Filter 2. Он связан с политикой переговоров, Legal NP 2, а параметры фильтра установлены в соответствии со следующими значениями:
Заданный IP-адрес для источника — 157.55.0.0
Заданный IP-адрес для получателя — 157.55.0.0
Тип протокола — любой (Any)
Когда пользователь в юридическом отделе посылает информацию любому другому пользователю, адреса источника и получателя IP-пакетов вверяются с IP-фильтрами политики безопасности Legal. Если адреса соответствуют одному из фильтров, связанная политика переговоров определяет уровень IP-безопасности для поддержания взаимодействия.
Например, если пользователь в юридическом отделе с адресом IP 157.55.2.1 посылает данные пользователю с адресом 147.20.4.5, это соответствует Legal IP Filter 1. Это означает, что связь будет организована на уровне безопасности, определенном политикой переговоров Legal NP 1, которая обеспечивает установление подлинности, защиту от изменений и конфиденциальность связи.
Сертификаты
Сертификаты с открытым ключом
(public key certificate) представляют собой средство идентификации пользователей в незащищенных сетях (таких как Интернет), а также предоставляют информацию, необходимую для проведения защищенных частных коммуникаций.
Под
незащищенными сетями
понимаются компьютерные сети, к которым пользователи могут получить доступ без разрешений. Коммуникации в таких сетях открыты для просмотра другими пользователями. Также существует определенная опасность возникновения ложных коммуникаций, когда отправителями сообщений являются ложные пользователи.
Даже частные локальные сети подвержены нападениям взломщиков с целью получения физического доступа к сети. Совершенно защищенные сети практически невозможны. Тем не менее, в защищенных сетях большие бреши в системе безопасности возникают крайне редко. Поэтому, поскольку пользователи доверяют друг другу, в таких сетях можно обмениваться данными, не применяя средств безопасности.
В открытых сетях, таких как Интернет, информация может попасть в руки пользователей, намерения которых никому не известны. Информация, не представляющая особой ценности, не нуждается и в безопасности. Однако, если информация является ценной или конфиденциальной, необходимо предпринять соответствующие меры безопасности для ее защиты.
Шифрование больших объемов данных
Поскольку алгоритмы шифрования с открытым ключом требуют значительно больших, по сравнению с алгоритмами секретного ключа, вычислительных ресурсов, они плохо подходят для шифрования больших объемов данных. Поэтому существует технология, комбинирующая оба алгоритма. В соответствии с ней весь объем данных шифруется с помощью секретного ключа (например, по стандарту Data Encryption Standard, DES), который в свою очередь шифруется с открытым ключом и посылается корреспонденту вместе с зашифрованными данными. Приемная сторона расшифровывает секретный ключ с помощью своего личного ключа, а затем расшифровывает данные с помощью полученного секретного ключа.
Шифрование файлов и каталогов
Поскольку шифрование и дешифрование выполняется автоматически, пользователь может работать с файлом так же, как и до установки его криптозащиты. Например, можно так же открыть текстовый процессор Word, загрузить документ и отредактировать его, как и прежде. Все остальные пользователи, которые попытаются получить доступ к зашифрованному файлу,
получат сообщение об ошибке доступа, поскольку они не владеют необходимым личным ключом, позволяющим им расшифровать файл.
Следует отметить, что пользователи (в данном случае администраторы) не должны шифровать файлы, находящиеся в системном каталоге, поскольку они необходимы для загрузки системы, в процессе которой ключи пользователя недоступны. Это сделает невозможным дешифрование загрузочных файлов, и система потеряет работоспособность. Проводник предотвращает возможность возникновения такой ситуации, не позволяя шифровать файлы с атрибутом
системный.
Шифрование информации задается в окне свойств файла или папки:
|
|
1.
|
Укажите файл или папку, которую требуется зашифровать, нажмите правую кнопку мыши и выберите в контекстном меню команду Свойства (Properties).
|
|
2.
|
В появившемся окне свойств на вкладке
Общие
(General) нажмите кнопку
Другие
(Advanced). Появится окно
диалога Дополнительные атрибуты
(Advanced Attributes) (Рисунок 26.4).
|
|
3.
|
В группе
Атрибуты сжатия и шифрования
(Compress or Encrypt attributes) установите флажок
Шифровать содержимое для зашиты данных
(Encrypt contents to secure data) и нажмите кнопку
ОК.
|
|
4.
|
Нажмите кнопку ОК в окне свойств зашифровываемого файла или папки. В появившемся окне диалога укажите режим шифрования.
|
|
|
|
Рис 26.4.
Окно диалога
Дополнительные атрибуты
Advanced Attributes)
При шифровании папки можно указать следующие режимы применения нового атрибута:
|
|
|
Только к этой панке
(Apply changes to this folder)
|
|
|
К этой папке и всем вложенным папкам и файлам
(Apply changes to this folder, subfolders and files)
Шифрование с открытым ключом
|
|
Шифрование с открытым ключом
Криптография —
это наука о защите данных. Алгоритмы криптографии с помощью математических методов комбинируют входной открытый текст и ключ шифрования, в результате чего получаются зашифрованные данные. Применение криптографии обеспечивает надежную передачу данных и предотвращение их получения несанкционированной стороной. Применяя хороший алгоритм шифрования, можно сделать практически невозможным, с точки зрения необходимых вычислительных и временных ресурсов, взлом защиты и получения открытого текста подбором ключа. Для быстрого выполнения подобного преобразования необходим
расшифровывающий ключ.
В традиционном
шифровании с секретным ключом
(secret key) (симметричное шифрование) зашифровывающий и расшифровывающий ключи, совпадают. Стороны, обменивающиеся зашифрованными данными, должны знать общий секретный ключ. Процесс обмена информацией о секретном ключе представляет собой брешь в безопасности вычислительной системы.
Фундаментальное отличие
шифрования с открытым ключом
(асимметричное шифрование) заключается в том, что зашифровывающий и расшифровывающий ключи не совпадают. Шифрование информации является односторонним процессом: открытые данные шифруются с помощью зашифровывающего ключа, однако с помощью того же ключа нельзя осуществить обратное преобразование и получить открытые данные. Для этого необходим расшифровывающий ключ, который
связан
с зашифровывающим ключом, но
не совпадает
с ним. Подобная технология шифрования предполагает, что каждый пользователь имеет в своем распоряжении пару ключей —
открытый ключ
(public key) и
личный
или
закрытый ключ
(private key). Свободно распространяя открытый ключ, вы даете возможность другим пользователям посылать вам зашифрованные данные, которые могут быть расшифрованы с помощью известного только вам личного ключа. Аналогично, с помощью личного ключа вы можете преобразовать данные так, чтобы другая сторона убедилась в том, что информация пришла именно от вас. Эта возможность применяется при работе с
цифровыми
или
электронными подписями.
Шифрование с открытым ключом имеет все возможности шифрования с закрытым ключом, но может проходить медленнее из-за необходимости генерировать два ключа. Однако этот метод безопаснее.
Появление пары "личный ключ/открытый ключ" привело к возникновению нескольких новых технологий, наиболее важными из которых являются цифровые подписи, распределенная аутентификация, соглашение о секретном ключе, достигаемое с применением открытого ключа, и шифрование больших объемов данных без предварительного соглашения о секретном ключе. Существует несколько хорошо известных алгоритмов шифрования с открытым ключом. Некоторые из них, например
RSA
(Rivest-Shamir-Adelman) и
шифрование с помощью эллиптической кривой
(Elliptic Curve Criptography, ECC), являются алгоритмами общего употребления в том смысле, что они поддерживают все упомянутые выше операции. Другие алгоритмы поддерживают только некоторые операции. К ним относятся: алгоритм
цифровой подписи
(Digital Signature Algorithm, DSA), используемый только для работы с цифровыми подписями, и алгоритм
DiJfie-Hetlman
(D-H), применяемый только для соглашений о секретных ключах. Алгоритмы шифрования, используемые безопасностью IP (IP Security), подробнее описаны в данной главе в разделе
"Безопасность IP".
Ниже кратко рассмотрены основные области применения шифрования с открытым ключом.
Шифрующая файловая система EPS
На персональном компьютере операционную систему можно загрузить не с жесткого, а с гибкого диска. Это позволяет обойти проблемы, связанные с отказом жесткого диска и разрушением загрузочных разделов. Однако, поскольку с помощью гибкого диска можно загружать различные операционные системы, любой пользователь, получивший физический доступ к компьютеру, может обойти встроенную систему управления доступом файловой системы Windows 2000 (NTFS) и с помощью определенных инструментов прочесть информацию жесткого диска. Многие конфигурации оборудования позволяют применять пароли, регулирующие доступ при загрузке. Однако такие средства не имеют широкого распространения. Кроме того, если на компьютере работает несколько пользователей, подобный подход не дает хороших результатов, да и сама защита с помощью пароля недостаточно надежна. Вот типичные примеры несанкционированного доступа к данным:
|
|
|
Хищение переносного компьютера.
Любой злоумышленник может похитить переносной компьютер, а затем получить доступ к конфиденциальной информации, находящейся на его жестком диске.
|
|
|
Неограниченный доступ.
Компьютер оставлен в рабочем состоянии, и за ним никто не наблюдает. Любой пользователь может подойти к такому компьютеру и получить доступ к конфиденциальной информации.
|
|
|
Основной целью создания системы безопасности является защита конфиденциальной информации, которая обычно находится в незащищенных файлах на жестком диске, от несанкционированного доступа. Доступ к данным можно ограничить с помощью средств NTFS. Такой подход обеспечивает хорошую степень защиты, если единственной загружаемой операционной системой является Windows 2000, жесткий диск не может быть физически удален из компьютера, и данные находятся в разделе NTFS. Если кто-либо захочет получить доступ к данным, он может осуществить свое желание, получив физический доступ к компьютеру или жесткому диску. Существуют
инструменты, позволяющие получить доступ к файлам, находящимся в разделе NTFS,
из операционных систем MS-DOS или UNIX в обход системы безопасности NTFS.
Из приведенных выше соображений следует вывод: единственный надежный способ защиты информации — это шифрующая файловая система. На рынке программного обеспечения существует целый набор продуктов, обеспечивающих шифрование данных с помощью образованного от пароля ключа на уровне приложений. Однако такой подход имеет ряд ограничений:
|
|
|
Ручное шифрование и дешифрование.
Службы шифрования большинства продуктов непрозрачны для пользователей. Пользователю приходится расшифровывать файл перед каждым его использованием, а затем опять зашифровывать. Если пользователь забывает зашифровать файл после окончания работы с ним, информация остается незащищенной. Поскольку каждый раз необходимо указывать, какой файл должен быть зашифрован (и расшифрован), применение такого метода защиты информации сильно затруднено.
|
|
|
Утечка информации из временных файлов и файлов подкачки.
Практически все приложения в процессе редактирования документов создают временные файлы. Они остаются на диске незашифрованными, несмотря на то что оригинальный файл зашифрован. Кроме того, шифрование информации на уровне приложений выполняется в режиме пользователя Windows 2000. Это значит, что ключ, применяемый для такого типа шифрования, может храниться в файле подкачки. В результате, с помощью изучения данных файла подкачки можно получить ключ и расшифровать все документы пользователя.
|
|
|
Слабая криптоствйкость ключей.
Ключи образуются от паролей или случайных фраз. Поэтому в случае, если пароль был легко запоминаемым, атаки с помощью словарей могут легко привести к взлому системы защиты.
|
Все перечисленные выше проблемы позволяет решить
шифрующая файловая система
(Encrypting File System, EPS), реализованная в Windows 2000 и работающая только на NTFS 5.O. В следующих разделах подробно описаны технология шифрования, место шифрования в операционной системе, взаимодействие с пользователями и способ восстановления данных.
Соглашение о секретном ключе, достигаемое с помощью открытого ключа
Шифрование с открытым ключом позволяет двум сторонам, используя открытый ключ в незащищенной сети, договориться о секретном ключе. Обе стороны посылают друг другу половины секретного ключа, зашифрованного соответствующими открытыми ключами. Каждая из сторон получает возможность расшифровать полученную половину секретного ключа и на ее основе, с учетом своей половины ключа, получить весь секретный ключ.
Совместная работа средств обеспечения безопасности сети
Домены Windows 2000 должны иметь возможность одновременно поддерживать клиентские компьютеры .и серверы, на которых работает программное обеспечение Windows NT 3.*—4,0, Windows 95/98,
а,
также Windows 2000 Professional/Server. Для этого в Windows 2000 остается поддержка аутентификации NTLM, обеспечивающей совместимость с операционными системами более ранних версий (однако, обновленный клиент имеется только Для систем Windows NT 4.0). Кроме того, в состав Windows 2000 входит обновленная версия (client extension)
клиента распределенных систем
(Distributed Systems Client) для Windows
9x.
Эта версия реализует, в частности, некоторые преимущества от использования Active Directory и поддерживает расширенные возможности аутентификации по протоколу NTLM v.2; протокол Kerberos не поддерживается.
Совместная работа протокола Kerberos с ОС UNIX тестируется с помощью MIT КегЬ5 1.0 и дополнительных пакетов обновления. Компания CyberSafe и другие производители программного обеспечения, работающего с протоколом Kerberos, проводят независимое тестирование взаимодействия ОС UNIX и Windows 2000 с помощью протокола Keiberos; Основная цель такого взаимодействия — позволить клиентам, использующим SSPI и GSS-APIна UNIX, аутентифицироваться в серверах приложений Windows 2000,х поддерживающих Kerberos. Эта возможность зависит, в основном, от поддержки имен Windows 2000 службами Kerberos, а не от самого протокола.
Ключи утилиты cipher
Таблица 26.1.
Ключи утилиты cipher
|
|
Ключ
|
Описание
|
|
/Е
|
Шифрует указанные в качестве параметра
путь
файлы. Каталоги помечаются как зашифрованные, все файлы, которые будут помещены в них впоследствии, шифруются автоматически
|
|
/D
|
Дешифрует все указанные после ключа файлы. Каталоги помечаются как незашифрованные — все файлы, которые будут помещены в них впоследствии, шифроваться не будут
|
|
/S
|
Выполняет заданную операцию с каталогом
каталог
и всеми его подкаталогами, файлы при этом не обрабатываются
|
|
/А
|
Выполняет определенную ключом операцию как для каталогов, так и для отдельных файлов
|
|
/I
|
Продолжает выполнение указанной операции даже после возникновения ошибочной ситуации. По умолчанию при появлении ошибки программа cipher останавливается
|
|
/F
|
Осуществляет принудительное шифрование всех файлов, указанных после ключа, даже если они уже зашифрованы. По умолчанию уже зашифрованные файлы не подвергаются вторичному шифрованию
|
|
/Q
|
Выдает только краткую информацию
|
|
/Н
|
Отображает файлы, для которых установлены атрибуты
скрытый
(Hidden) и
системный
(System)
|
|
/К
|
Создает новый ключ шифрования файлов для пользователя, запустившего команду; при этом все другие ключи команды игнорируются
Параметр путь
может быть маской, файлом или каталогом. Команда cipher без параметров выдает информацию о том, зашифрован ли данный каталог или файлы, находящиеся в нем. Если параметр путь
присутствует, то имен файлов может быть несколько. Между собой параметры должны быть разделены пробелом.
Для того чтобы зашифровать каталог
Мои документы,
введите команду:
c:\cipher /Е "Мои документы"
Для того чтобы зашифровать все файлы с расширением doc, введите команду:
c:\cipher /В /A *.doc
Папки хранилища сертификатов
Таблица 26.2.
Папки хранилища сертификатов
|
|
Сортировка по
|
Папка
|
Содержит
|
|
Логическим хранилищам
|
Личные (Personal)
|
Сертификаты, связанные с личными, закрытыми ключами пользователя
|
|
|
Доверенные корневые центры сертификации
(Trusted Root Certification Authorities)
|
Доверяемые корневые центры сертификации
|
|
|
Доверительные отношения в предприятии
(Enterprise Trust)
|
Список доверительных отношений сертификатов (certificate trust list). Обеспечивает механизм доверия к корневым сертификатам со стороны других организаций
|
|
|
Промежуточные центры сертификации
(Intermediate Certification Authorities)
|
Сертификаты, выпущенные для других пользователей и центров сертификации
|
|
|
Объект пользователя Active Directory
(Active Directory User Object)
|
Сертификаты, связанные с вашим пользовательским объектом и опубликованные в Active Directory
|
|
|
REQUEST
|
Сертификаты, для которых запущен запрос, и отклоненные сертификаты
|
|
Назначению (основные группы)
|
Проверка подлинности сервера (Server Authentication)
|
Сертификаты, которые используются серверными программами для аутентификации при обращении к клиентам
|
|
|
Проверка подлинности клиента (Client Authentication)
|
Сертификаты, которые используются клиентскими программами для аутентификации при обращении к серверам
|
|
|
Подписывание кода (Code Signing)
|
Сертификаты, связанные с парами ключей, используемых для подписи активного содержания
|
|
|
Защищенная электронная почта (Secure Email)
|
Сертификаты, связанные с парами ключей, используемых для подписи электронных сообщений
|
|
|
Шифрованная файловая система (Encrypting File System)
|
Сертификаты, связанные с парами ключей, которые шифруют и дешифруют симметричный ключ, используемый для шифрования и дешифрования данных
|
|
|
Восстановление файлов
(File Recovery)
|
Сертификаты, связанные с парами ключей, которые шифруют и дешифруют симметричный ключ, используемый для восстановления зашифрованных данных
Поля вкладки Состав (Details)
Таблица 26.3.
Поля вкладки
Состав
(Details)
|
|
Поле
|
Описание
|
|
Версия (Version)
|
Номер версии стандарта Х.509
|
|
Серийный номер (Serial Number)
|
Уникальный серийный номер, который ЦС назначил сертификату. Серийный номер является уникальным для всех сертификатов, выпущенных данным центром сертификации
|
|
Алгоритм подписи (Signature Algorithm)
|
Алгоритм хэширования (hash algorithm), который ЦС использует для цифровой подписи сертификата
|
|
Поставщик (Issuer)
|
Информация о ЦС, который выпустил сертификат
|
|
Действителен с (Valid from)
|
Дата начала действия сертификата
|
|
Действителен по (Valid to)
|
Дата окончания действия сертификата
|
|
Субъект (Subject)
|
Имя индивидуального пользователя или ЦС, для которого выпущен сертификат. Если выпустивший сертификат ЦС находится на сервере — члене домена вашего предприятия, то данное имя является отличительным именем внутри вашей организации. В противном случае в этом поле будут записаны полное имя и адрес электронной почты
|
|
Открытый ключ (Public Key)
|
Тип и длина открытого ключа, связанного с сертификатом
|
|
Улучшенный ключ (Enhanced Key Usage)
|
Дополнительные задачи, для решения которых можно использовать открытый ключ, связанный с сертификатом
|
|
Алгоритм печати (Thumbprint Algorithm)
|
Алгоритм хэширования, который генерирует снимок или
дайджест
данных для цифровых подписей
|
|
Печать (Thumbprint)
|
Снимок или дайджест
|
|
Понятное имя (Friendly Name)
|
Дружественное или общее имя
Вкладка
Путь сертификации
содержит путь выпустившего сертификат ЦС.
Технологии шифрования EFS
|
|
Технологии шифрования EFS
EFS основана на шифровании с открытым ключом и использует все возможности архитектуры CryptoAPI в Windows 2000. Каждый файл шифруется с помощью случайно сгенерированного ключа, зависящего от пары открытого (public) и личного, закрытого (private) ключей пользователя. Подобный подход в значительной степени затрудняет осуществление большого набора атак, основанных на
криптоанализе.
При криптозащите файлов может быть применен любой алгоритм симметричного шифрования. Текущая версия EFS использует алгоритм DESX (расширенный DES) с длиной ключа
56
бит. EFS позволяет осуществлять шифрование и дешифрование файлов, находящихся на удаленных файловых серверах.
|
|
|
Примечание 1
Примечание 1
|
|
|
В данном случае EPS может работать только с файлами, находящимися на диске. Шифрующая файловая система не осуществляет криптозащиту данных, передаваемых по сети. Для шифрования передаваемой информации в операционной системе Windows 2000 следует применять специальные сетевые протоколы, например SSL/PCT.
Требования к рабочему окружению
Протокол Kerberos налагает несколько требований на рабочее окружение, в котором он может эффективно работать:
|
|
|
Kerberos не противодействует атакам типа "отказ в обслуживании". Особенности протокола Kerberos позволяют злоумышленнику заставить приложение не принимать, участие в процессе аутентификации. Обнаружение и борьба с атаками этого типа (часть которых может проявляться в установлении необычных режимов работы программного обеспечения), как правило, лучше всего выполняются администраторами систем.
|
|
|
Партнеры по обмену данными должны хранить свои секретные ключи в надежном месте. Если злоумышленник каким-либо образом похитит секретный ключ, он сможет выдать себя за одного из партнеров или имперсонализировать сервер для законного клиента.
|
|
|
Kerberos не противодействует атакам типа "подбор пароля". Если пользователь задает легко угадываемый пароль, злоумышленник с большой ве-ро'ятностью может его определить подбором с применением словаря.
|
|
|
Каждый хост сети должен иметь часы, которые приблизительно синхронизируются с часами других хостов. Синхронизация необходима, чтобы было легче обнаружить факт передачи копии заранее перехваченного сообщения. Степень приблизительности синхронизации может быть установлена индивидуально для каждого сервера. Сам протокол синхронизации серверов сети должен быть защищен от атак злоумышленников.
|
|
|
Идентификаторы партнеров не могут быть повторно использованы через небольшой промежуток времени. Как правило, для управления доступом применяются
списки управления доступом
(Access Control List, ACL), в которых хранятся разрешения доступа, предоставленные всем партнерам по обмену данными. Если в базе данных списков управления доступом остался список уничтоженного партнера по обмену данными, идентификатор которого используется вторично, то новый партнер унаследует все права доступа уничтоженного партнера. Избежать подобной опасности можно, только если запретить использование идентификаторов уничтоженных партнеров в течение продолжительного времени, а лучше вообще сделать идентификаторы уникальными.
Установка центра сертификации
Центр сертификации (ЦС, СА) — важный элемент в системе безопасности организации, поэтому в большинстве организаций имеется собственный ЦС. В системе Windows 2000 есть два модуля политик, которые обеспечивают следующие два класса ЦС:
ЦС предприятия
(Enterprise СА) и
изолированный ЦС
(Stand-alone СА). Внутри каждого класса могут быть два типа ЦС:
корневой
(root) и
подчиненный
(subordinate). Модули политик определяют действия, которые должен выполнить ЦС при поступлении запроса на получение сертификата.
В большинстве случаев центры сертификации организованы в иерархическом порядке, где наиболее доверяемый или корневой центр находится на вершине иерархии. В корпоративной сети все остальные ЦС в иерархии являются подчиненными. В корпоративной сети ЦС предприятия имеет максимальное доверие. ЦС предприятия имеют специальный модуль политик, который определяет, как обрабатываются и выпускаются сертификаты. Информация политики из данного модуля хранится в Active Directory, поэтому для инсталляции ЦС предприятия сперва следует установить Active Directory и сервер DNS. Изолированные ЦС имеют очень простой модуль политик и не хранят никакой информации на удаленном сервере, поэтому для инсталляции данного центра не требуется наличие Active Directory.
Для инсталляции собственного ЦС:
|
|
1.
|
Выберите на панели управления значок
Установка и удаление программ
(Add/Remove Programs).
|
|
2.
|
В открывшемся диалоговом окне нажмите кнопку
Добавление и удаление компонентов Windows
(Add/Remove Windows Components). Откроется диалоговое окно
Мастер компонентов Windows
(Windows Components Wizard).
|
|
3.
|
Установите флажок
Службы сертификации
(Certificate Services) и нажмите кнопку
Далее
(Next).
|
|
4.
|
В следующем диалоговом окне необходимо выбрать тип ЦС:
корневой ЦС предприятия (Enterprise root CA) — установите переключатель в это положение, если данный ЦС будет выпускать сертификаты для всех устройств, подключенных к сети в организации, и будет зарегистрирован в Active Directory. Данный ЦС являемся корнем в корпоративной иерархии ЦС. Обычно корневой ЦС предприятия выпускает сертификаты только для подчиненных ЦС.
подчиненный ЦС предприятия
(Enterprise subordinate CA) — если у вас уже установлен корневой ЦС предприятия, выберите это положение переключателя. Однако данный ЦС не имеет наивысшего доверия в организации, поскольку он подчиняется корневому ЦС.
изолированный корневой ЦС
(Stand-alone root CA) — данный ЦС устанавливается для выпуска сертификатов за пределами корпоративной сети. Например, требуется установить изолированный корневой ЦС, если этот ЦС не будет участвовать в корпоративном домене и будет выпускать сертификаты для узлов во внешних сетях. Корневой ЦС обычно используется для выпуска сертификатов для подчиненных ЦС.
изолированный подчиненный ЦС
(Stand-alone subordinate CA) — подчиненный ЦС, который выпускает сертификаты для узлов за пределами корпоративной сети.
|
|
5.
|
Если вы собираетесь изменить установки шифрования, установите флажок
Дополнительные возможности
(Advanced Options).
|
|
6.
|
Нажмите кнопку Далее.
|
|
7.
|
В следующих диалоговых окнах вам будет предложено указать сведения о вас и о вашей компаний, которые будут занесены в сертификат, выбрать каталог, в котором будет находиться информация сертификатов. Введите необходимую информацию и нажмите кнопку
Далее.
|
|
8.
|
По окончании процедуры инсталляции нажмите кнопку
Готово
(Finish).
Утилита cipher
Эта утилита командной строки позволяет шифровать и дешифровать файлы. Ниже приведен ее синтаксис, описание ключей дано в табл. 26.1.
cipher [/Е | D] [t/S:каталог] [/A] [/I] [/F] [/Q] [/Н] [/К] [путь [...]]
Восстановление данных, зашифрованных с помощью неизвестного личного ключа
EFS располагает встроенными средствами восстановления зашифрованных данных в условиях, когда Неизвестен личный ключ пользователя. Необходимость подобной операции может возникнуть в следующих случаях:
|
|
|
Пользователь был уволен из компании и ушел, не сообщив свой пароль.
Работа с зашифрованными файлами такого пользователя невозможна.
|
|
|
Пользователь утратил свой личный ключ.
|
|
|
Органы государственной безопасности направили запрос на получение доступа к зашифрованным данным пользователя.
Windows 2000 позволяет создать необходимые ключи для восстановления зашифрованных данных в описанных ситуациях. Пользователи, которые могут восстанавливать зашифрованные данные в условиях утраты личного ключа, называются
агентами восстановления данных.
Агенты восстановления данных обладают сертификатом (Х509 version 3) на восстановление файлов и личным ключом, с помощью которых выполняется операция восстановления зашифрованных файлов. Используя ключ восстановления, можно получить только сгенерированный случайным образом ключ, с помощью которого был зашифрован конкретный файл. Поэтому агенту восстановления не может случайно стать доступной другая конфиденциальная информация. Средство восстановления данных предназначено для применения в разнообразных конфигурациях вычислительных сред. Параметры процедуры восстановления зашифрованных данных в условиях утраты личного ключа задаются
политикой восстановления.
Она представляет собой одну из политик открытого ключа. При установке Windows 2000 Server политика восстановления автоматически создается на первом контроллере домена. Администратор домена одновременно является и агентом восстановления. Могут быть добавлены и другие агенты. Это делается с помощью оснастки
Групповая политика
(Group Policy), в которой нужно раскрыть узел
Конфигурация компьютера | Конфигурация Windows | Параметры безопасности | Политики открытого ключа | Агенты восстановления шифрованных данных
(Computer Settings | Security Settings I Public Key Policies | Encrypted Data Recovery Agents) и выполнить в контекстном меню команду
Добавить
(Add) или
Создать
(Сгеа1е)( в первом случае выбирается пользователь с
имеющимся
сертификатом агента восстановления, во втором — запрашивается и устанавливается
новый
сертификат для текущей учетной записи). Политика восстановления существует и на одиночном компьютере. В этом случае агентом восстановления автоматически становится администратор компьютера.
|
|
|
Примечание 1
Примечание 1
|
|
|
Из вышесказанного следует, что политика восстановления определяется только для
компьютера,
но не для
пользователя.
Политика восстановления, применяемая по умолчанию, создается на каждом компьютере при инсталляции системы. Если компьютер подключается к сети, для него политика восстановления может быть определена также на уровне его домена или подразделения, причем она должна быть установлена
до
того, как начнет применяться шифрование, и имеет приоритет над политиками восстановления, задаваемыми локальными администраторами.
Существует три "типа" политик восстановления:
|
|
|
Политика агентов восстановления.
Когда администратор добавляет одного или нескольких агентов восстановления, начинает действовать политика агентов восстановления. Это наиболее широко используемый тип политики.
|
|
|
Пустая политика восстановления
(empty policy). Когда администратор уничтожает всех агентов восстановления и их сертификаты открытых ключей, начинает действовать пустая политика восстановления. Это значит, что не существует ни одного агента восстановления, и в пределах области действия данной политики пользователи не могут шифровать свои данные. Применение пустой политики восстановления эквивалентно отключению работы EFS.
|
|
|
Отсутствие политики восстановления
(no policy). Когда администратор удаляет групповую политику восстановления, для восстановления зашифрованных данных в условиях утраты личного ключа используются
локальные
политики восстановления, существующие на каждом компьютере, и процессом восстановления управляет локальный администратор компьютера.
Настройка параметров политики восстановления выполняется с помощью оснастки
Групповая политика
(узел
Политики открытых ключей
).
|
|
|
Примечание 2
Примечание 2
|
|
|
Некоторое неудобство
графическою
интерфейса оснастки Групповая политика состоит в том, что
в
узле Политики открытых ключей нечетко отображаются состояния "пустая политика" и "отсутствие политики". При отсутствии записей в этом узле о текущем состоянии можно судить косвенно по опциям контекстного меню: в первом случае присутствует команда Удалить политику и нельзя добавить/создать агента восстановления (хотя мастер и выполнит все операции), а во втором — имеется команда Инициализировать пустую политику.
Восстановление зашифрованных файлов на другом компьютере
Часто возникает необходимость восстановить зашифрованную информацию не на том компьютере, на котором она была заархивирована. Это можно выполнить с помощью утилиты архивации. Однако необходимо позаботиться о переносе на новый компьютер соответствующего сертификата и личного ключа пользователя с помощью перемещаемого профиля либо вручную.
На любом компьютере, где зарегистрировался пользователь, обладающий перемещаемым профилем, будут применяться одни и те же ключи шифрования.
Ручной перенос личного ключа и сертификата выполняется в два этапа: сначала следует создать резервную копию сертификата и личного ключа, а затем восстановить созданную копию на другом компьютере. Создание резервной копии сертификата состоит из следующих шагов:
|
|
1.
|
Запустите оснастку Сертификаты.
|
|
2.
|
В левом подокне оснастки
Сертификаты
откройте папку
Личные
(Personal), а затем папку
Сертификаты.
В правом подокне появится список ваших сертификатов.
|
|
3.
|
Укажите переносимый сертификат и щелкните правой кнопкой мыши. В появившемся контекстном меню выберите команду
Все задачи
(All Tasks). В ее подменю выберите команду
Экспорт
(Export). Запустится Мастер экспорта сертификатов (Certificate Export Wizard).
|
|
4.
|
Нажмите кнопку
Далее.
|
|
5.
|
В следующем окне мастера выберите опцию
Да, экспортировать закрытый ключ
(Yes, export the private key). Затем нажмите кнопку Далее.
|
|
6.
|
В следующем окне мастера доступен только один формат (PFX), предназначенный для персонального обмена информацией. Нажмите кнопку
Далее.
|
|
7.
|
В следующих окнах сообщите пароль, защищающий данные файла *.pfx, а также путь сохранения файла *.pfx; затем нажмите кнопку
Далее.
|
|
8.
|
Отобразится список экспортируемых сертификатов и ключей. Нажмите кнопку
Готово.
|
|
9.
|
Завершите работу мастера экспорта нажатием кнопки ОК в окне диалога, сообщающем об успешном выполнении процедуры экспорта.
В результате сертификат и секретный ключ будут экспортированы в файл с расширением pfx, который может быть скопирован на гибкий диск и перенесен на другой компьютер.
Для восстановления сертификата из резервной копии:
|
|
1.
|
Перенесите созданный на предыдущем этапе файл с расширением pfx на компьютер, где вы планируете восстанавливать зашифрованные данные.
|
|
2.
|
Запустите оснастку
Сертификаты.
|
|
3.
|
В окне структуры оснастки
Сертификаты
откройте папку
Личные,
затем папку
Сертификаты.
В правом подокне появится список ваших сертификатов.
|
|
4.
|
Щелкните правой кнопкой мыши на пустом месте правого подокна. В появившемся контекстном меню выберите команду
Все задачи.
В ее подменю выберите команду
Импорт
(Import). Запустится Мастер импорта сертификатов (Certificate Import Wizard).
|
|
5.
|
Следуйте указаниям мастера — укажите местоположение файла с расширением pfx и сообщите пароль защиты данного файла. Восстановление данных из резервной копии должно быть выполнено в папку
Личные.
|
|
6.
|
Для начала операции импорта нажмите кнопки
Готово
и
ОК.
После завершения процедуры импорта нажмите кнопку ОК и закройте окно мастера импорта.
В результате текущий пользователь получит возможность работать с зашифрованными данными на этом компьютере.
|
|
|
Примечание 1
Примечание 1
|
|
|
Официальные источники от Microsoft утверждают, что в текущей версии Windows совместное использование зашифрованных файлов невозможно. Однако описанная процедура позволяет получить доступ не только к своим зашифрованным данным, но и обеспечить доступ к информации на общем ресурсе всем пользователям, которые установят сертификат и ключ, примененные для шифрования (при большом числе пользователей это, конечно, обеспечить непросто). Предоставляем читателям возможность еще раз проверить это утверждение.
Взаимодействие безопасности IP с различными программными продуктами
Следующие замечания относятся к текущей версии Windows 2000 Server:
|
|
|
Для работы безопасности IP оба компьютера должны работать под управлением Windows 2000.
|
|
|
Безопасность IP в Windows 2000 не будет функционировать с Microsoft Proxy Server или брандмауэрами третьих фирм, если не разрешена пересылка IP-пакетов.
|
|
|
Сетевой монитор показывает пакеты, обработанные безопасностью IP, но не может отображать шифрованную информацию.
Взаимодействие с удаленными владениями
Протокол Kerberos может работать вне пределов одной компании. Клиент данной организации может быть аутентифицирован на сервере, находящемся в другой организации. Каждое предприятие, желающее применять в своей сети Kerberos, должно установить границы своего
владения
(realm; используется также термин
сфера).
Имя владения, в котором зарегистрирован данный пользователь, составляет часть его имени и может быть использовано конечной службой для принятия решения об удовлетворении данного запроса.
Установив общие ключи для владений, администраторы могут позволить клиентам различных владений выполнять
удаленную аутентификацию.
Конечно, обладая необходимыми разрешениями, клиент может зарегистрировать партнера, имеющего не связанное с данным владением имя, и установить нормальный обмен сообщениями. Однако даже при незначительном количестве удаленных регистрации такой подход создает большие неудобства, поэтому рекомендуются более автоматизированные методы. При обмене
общими во владениях ключами
(inter realm keys) (при передаче информации в каждом направлении может быть использован отдельный ключ) службы выдачи билетов регистрируются в противоположном владении в качестве партнера по обмену данными. После этого клиент может получать ТОТ от локальной службы выдачи билетов для такой же службы, находящейся в удаленном владении. При использовании этого TGT для его дешифрования удаленная служба выдачи билетов применяет общий для владений ключ, который, как правило, отличается от ключа TGS-сервера. Это гарантирует, что данный TGT был передан собственным TGS-сервером клиента. Билеты,
посланные удаленной службой выдачи билетов, укажут конечной службе, что аутентификация клиента была выполнена в удаленном владении.
Одно владение может обмениваться информацией с другим владением, если оба они обладают общим ключом, или если локальная служба выдачи билетов обладает общим ключом с промежуточным владением, в свою очередь обладающим общим ключом с целевым владением.
Путь аутентификации —
это последовательность промежуточных владений, каждое из которых может обмениваться информацией со своими соседями.
Как правило, владения организованы в иерархическую структуру. Каждое владение обладает общим ключом со своим родителем и отдельным общим ключом с каждым дочерним владением. Если между двумя владениями не существует общего ключа, иерархическая структура позволяет легко установить путь аутентификации. Если иерархическая структура владений не используется, для обнаружения пути аутентификации следует применять базу данных.
Иерархическая организация владений делает возможным альтернативный путь аутентификации — минуя промежуточные владения. Это может оптимизировать обмен данными между двумя владениями. Конечной службе важно знать, через какие владения проходит путь аутентификации, поскольку от этого зависит достоверность всего процесса аутентификации. Для облегчения принятия такого решения каждый билет содержит поле, где хранятся имена всех владений, которые составляют путь аутентификации.
Взаимодействие Windows 2000 КDС и UNIX
Часто возникает вопрос: как Windows 2000 будет работать с существующими серверами Kerberos, функционирующими в ОС UNIX? Windows 2000 взаимодействует с КОС, работающими на MIT Kerberos, двумя способами:
|
|
|
Компьютер с Windows 2000 может быть настроен на применение UNIX КОС. Пользователи могут входить в систему с помощью учетной записи, определенной в UNIX КОС, точно так же, как это делают станции UNIX, Любое приложение Windows 2000 или UNIX, требующее только аутентификации, основанной на имени, может использовать UNIX КОС в качестве сервера Kerberos. Например, сервер баз данных, имеющий собственную таблицу авторизации на доступ к базе, может аутентифицировать клиента Windows 2000 с помощью билетов Kerberos, полученных у UNIX KDC. Поскольку сервер баз данных не использует средства управления доступом Windows 2000, он может работать в среде Windows 2000 без применения имперсонализации. Для приема билетов сеанса, выдаваемых UNIX KDC, и запроса контекста безопасности для определенного имени клиента сервер вызывает поставщика безопасности Kerberos. Билеты, выданные UNIX KDC, могут быть использованы при взаимной аутентификации и защите сообщений. Однако без данных авторизации контекст безопасности не может быть использован для имперсонализации.
|
|
|
Windows 2000 может взаимодействовать с MIT Kerberos посредством доверия, установленного между владением UNIX и доменом Windows 2000. Это наилучший способ поддержки служб Windows 2000, использующих имперсонализацию и средства управления доступом. Доверие, установленное между владениями, очень похоже на широко применяемую модель нескольких доменов Windows NT 4.0, которые делятся на
домены учетных записей
и
домены ресурса”.
В этом случае KDC выполняет роль домена учетных записей, а службы, работающие в среде Windows 2000, находятся в домене ресурсов. Windows 2000 KDC — это сервер авторизации для служб Windows 2000. Данные авторизации Windows 2000 добавляются в KDC к билетам сеанса, предназначенным для серверов домена Windows 2000. Данные авторизации хранят соответствие между именами партнеров по обмену данными владения UNIX и теневыми (proxy) учетными записями; при этом учитывается принадлежность учетных записей к группам, информация о которых хранится в Active Directory. Эти учетные записи могут быть синхронизированы с помощью LDAP.
Может ли UNIX KDC быть сервером авторизации для служб Windows 2000? Модель распределенной безопасности Windows 2000 зависит не только от списка идентификаторов безопасности, хранящихся в данных авторизации билетов Kerberos. Например, Редактору ACL, используемому для управления безопасностью файлов, расположенных в NTFS, требуется для работы сервер домена, предназначенный для поиска соответствия имени и SID, в процессе которого посредством защищенного канала NetLogon выполняется RFC-вызов к контроллеру домена. Без трансляции идентификаторов, выполняемой интерфейсом RPC, Редактор ACL отображает права доступа к файлам NTFS для учетной записи, имя которой неизвестно (account unknown), поскольку идентификатор безопасности не может быть распознан.
Интерфейс пользователя должен позволять выбирать учетные записи, которым следует предоставить права доступа. Эта функция позволит администратору выбрать пользователя или группу из списка, являющегося результатом запроса LDAP к Active Directory. В нем установлены все соответствия между именами учетных записей и их идентификаторами безопасности.
Для успешной работы UNIX KDC в качестве сервера авторизации служб Windows 2000 необходимо, чтобы KDC обеспечивал поддержку имен NetBIOS. Пользователи Windows NT хорошо знакомы с именами компьютеров для NetBIOS. Кроме того, приложения должны иметь возможность аутентифицироваться в серверах с помощью имен типа
\\project1\projectshare.
Наконец, поставщик безопасности Kerberos проверяет данные авторизации, находящиеся в билетах Kerberos и присланные не обладающими доверием приложениями, с помощью RPC к контроллеру домена. Защищенный RPC используется, чтобы проверить подпись KDC для предотвращения несанкционированного использования привилегий членства в группах.
Замена контроллера домена на UNIX KDC потребует от MIT Kerberos возможности выполнения дополнительных функций, связанных с поддержкой защищенного канала NetLogon, аутентифицированного RPC, имен NetBIOS и протокола LDAP.
На данный момент компания Microsoft интенсивно работает над созданием сетевой системы безопасности, обладающей возможностью работы на различных платформах и основанной на протоколах, являющихся отраслевыми стандартами, например SSL, TLS, ISAKMP/Oakley и Kerberos версии 5. Следует отметить, что возможности взаимодействия со средствами обеспечения безопасности, работающими на других платформах, демонстрируемые Windows 2000, открывают новые перспективы построения защищенных распределенных компьютерных систем на базе гетерогенных сетей предприятий. Управление инфраструктурой системы безопасности сети предприятия требует целого набора протоколов, позволяющих поддерживать модель распределенной безопасности. Важнейшими элементами инфраструктуры распределенных систем на основе Windows 2000 являются аутентификация с использованием Active Directory и протокол Kerberos 5.
Запрос сертификата
Если ваш администратор создал политику открытого ключа для автоматизации запросов на получение сертификатов, то вам, возможно, никогда не придется запрашивать сертификаты самостоятельно, если только вы не работаете со смарт-картами. Пользователи смарт-карт должны запрашивать свои сертификаты.
Если вы пользуетесь смарт-картами, или в вашей организации не применяются автоматические запросы на получение сертификатов, то вы можете запросить новые сертификаты. Запросить новый сертификат можно с помощью Мастера запроса сертификата (Certificate Request Wizard) или на веб-страницах служб сертификации. При запросе сертификатов в центре сертификации предприятия Windows 2000 используется, как правило, Мастер запроса сертификата, вызываемый из оснастки
Сертификаты.
Кроме того, центр сертификации, установленный на Windows 2000 Server, имеет веб-страницу, на которой можно запрашивать базовые и расширенные сертификаты. По умолчанию эти сертификаты находятся по адресу
http://servemame/certsrv,
где
servername —
имя сервера Windows 2000, на котором находится ЦС.
Для того чтобы запросить сертификат в оснастке
Сертификаты
:
|
|
1.
|
Откройте окно оснастки
Сертификаты.
|
|
2.
|
На панели структуры (левое подокно) откройте нужный узел (для пользователя
Сертификаты — текущий пользователь
(Certificates | Current User), для компьютера —
Сертификаты (локальный компьютер)
(Certificates | Computer Name)).
|
|
3.
|
Если вы находитесь в режиме просмотра "по логическим хранилищам", выберите папку
Личные.
Если вы в режиме "по назначению", выберите соответствующий режим (папку).
|
|
4.
|
В меню
Действие
выберите команду
Все задачи | Запросить новый сертификат
(All Tasks | Request New Certificate).
|
|
5.
|
В окне мастера запроса сертификата выберите:
Шаблон сертификата, который вы запрашиваете
ЦС, который выдаст сертификат (если имеется несколько ЦС) (если установлен флажок
Дополнительные параметры
(Advanced Options))
Поставщика службы криптографии
(Cryptographic Service Provider, CSP) (если установлен флажок
Дополнительные параметры)
|
|
6.
|
После выбора и проверки всех параметров нажмите кнопку Готово (Finish), а затем, после получения сертификата — кнопку
Установить сертификат
(Install Certificate). Перед установкой выданный сертификат можно просмотреть.
Запуск оснастки Центр сертификации (Certification Authority)
После инсталляции центра сертификации выберите команду
Пуск | Программы | Администрирование | Центр сертификации
(Start | Programs | Administrative Tools | Certification Authority). Откроется окно оснастки (Рисунок 26.15), с помощью которой можно просматривать списки сертификатов и политики безопасности, а также управлять ими.
|
|
|
|
Рис 26.15.
Окно оснастки
Центр сертификации
(Certification Authority)
Проектирование доменов и развертывание Active Directory
Административные шаблоны (Administrative Templates)
Административные шаблоны (Administrative Templates)
С помощью расширения
Административные шаблоны
администратор системы может настроить целый набор параметров реестра, задающих режим функционирования компонентов операционной системы и приложений.
Задать конкретные параметры, доступные для модификации с помощью интерфейса пользователя оснастки
Групповая политика,
можно с помощью специальных административных шаблонов. Модифицируемые значения параметров реестра, относящиеся к зарегистрированному в компьютере пользователю, записываются в раздел реестра HKEY_CURRENT_USER. Значения шаблонов, относящиеся к компьютеру, записываются в раздел HKEY_LOCAL_MACHINE.
Административный шаблон представляет собой текстовый файл в кодировке Unicode с расширением adm, информация которого определяет, как доступные для модификации параметры реестра должны отображаться в окне интерфейса пользователя оснастки
Групповая политика.
Кроме того, административные шаблоны задают разделы реестра, куда должны быть записаны модифицированные значения параметров, с их помощью проверяется допустимость вводимых значений параметров. В некоторых случаях с помо-цЦью шаблонов могут быть заданы значения параметров реестра, выбираемые по умолчанию. Операционная система Windows 2000 содержит два файла административных шаблонов — system.adm и inetres.adm, где описаны все параметры реестра, доступные для изменения и отображаемые в расширении
Административные шаблоны
по умолчанию. Узел
Административные шаблоны
может быть расширен. Для этого администратор должен присоединить индивидуальный административный шаблон:
|
|
1.
|
Установите указатель мыши на узел
Административные шаблоны
и нажмите правую кнопку.
|
|
2.
|
В появившемся контекстном меню выберите команду
Добавление и удаление шаблонов
(Add/Remove Template).
|
|
3.
|
В окне
Добавление и удаление шаблонов
нажмите кнопку
Добавить.
Если вы на данном этапе хотите удалить ненужный шаблон, нажмите кнопку
Удалить
(Remove).
|
|
4.
|
Если была нажата кнопка
Добавить,
появится окно диалога
Шаблоны политики
(Policy Templates), в котором следует выбрать добавляемый шаблон и нажать кнопку
Открыть
(Open) (Рисунок 27.2).
|
|
5.
|
В окне
Добавление и удаление шаблонов
нажмите кнопку
Закрыть
(Close).
Внутри узла
Административные шаблоны
появятся дополнительные папки, соответствующие добавленному шаблону. С их помощью администратор может редактировать параметры дополнительного набора разделов реестра.
Создание индивидуального административного шаблона.
При установке нового программного обеспечения содержимое реестра изменяется. Как правило, в нем появляются новые параметры и даже ветви. Ими нельзя управлять с помощью оснастки
Групповая политика,
поскольку стандартные административные шаблоны не предоставляют доступ к вновь появившимся разделам реестра. В таких случаях необходимо создать индивидуальный административный шаблон. Он может быть сгенерирован с помощью любого текстового редактора, позволяющего работать с файлами в кодировке Unicode, например, программы Блокнот (Notepad). В административном шаблоне с помощью специального языка определяется иерархия категорий и подкатегорий, задающая взаимоотношения между доступными для модификации параметрами реестра. Каждая из категорий и подкатегорий может состоять из нескольких политик. Каждая политика, в свою очередь, может состоять из нескольких частей. Все политики и части политик описываются с помощью операторов языка создания административных шаблонов. Они позволяют описать название политики, параметр реестра, который регулирует политика, набор допустимых значений параметра, элементы управления пользовательского интерфейса оснастки
Групповая политика,
с помощью которых можно настроить данный параметр и т. д. Состав и синтаксис языка создания административных шаблонов в данной книге подробно не рассматривается. Дополнительную информацию по этому вопросу можно получить на сайте компании Microsoft.
Анализ нарушений политики безопасности системы
Анализ нарушений политики безопасности системы
Пусть политика безопасности системы предполагает, что в группу Администраторы могут быть включены только администраторы системы, а в группу Опытные пользователи — только определенные пользователи. Если членом этих групп станет другой пользователь, произойдет нарушение политики безопасности. Выполнив с помощью оснастки
Анализ и настройка безопасности
анализ текущей конфигурации безопасности системы, можно выявить эти и любые другие нарушения:
|
|
1.
|
В окне оснастки укажите корневой узел и нажмите правую кнопку мыши.
|
|
2.
|
В появившемся контекстном меню выберите команду
Открыть базу данных.
Убедитесь, что в качестве рабочей базы данных выбрана база, соответствующая текущей конфигурации безопасности системы.
|
|
3.
|
В этом же контекстном меню выберите команду
Анализ компьютера.
Начнется процесс анализа соответствия текущих настроек безопасности системы параметрам безопасности, хранящимся в базе данных.
Для просмотра результатов анализа текущих настроек безопасности в окне структуры откройте интересующую вас папку настроек безопасности (в данном примере,
Группы с ограниченным доступом)
(Рисунок 27.11). Не совпадающая с параметром базы данных текущая настройка безопасности будет помечена красным значком (крестиком или восклицательным знаком) и строка будет отмечена словом "Исследовать" (Investigate). Для получения более детальной информации о нарушении политики безопасности двойным щелчком выберите отмеченный параметр.
|
|
Блокирование локальных учетных записей
После нескольких неудачных попыток регистрации в системе учетная запись пользователя должна быть заблокирована. Вы можете установить допустимое максимальное количество неудачных попыток. Следует заметить, что разблокировать учетную запись может только администратор.
|
|
Что такое групповые политики?
Что такое групповые политики?
Эффективное функционирование ни одной многопользовательской операционной системы невозможно без четкого разграничения доступа к ресурсам. Одним из средств, позволяющих настраивать параметры безопасной работы пользователей в сети в операционных системах Windows, являются
политики безопасности.
В предыдущих версиях Windows NT Server политика безопасности домена хранилась в базе данных
Диспетчера учетных записей безопасности SAM
(Security Accounts Manager). Политика состояла из
дескриптора безопасности,
предоставляющего доступ к выполнению операции (таких, например, как создание учетной записи и просмотр учетных записей) и
свойств,
описывающих политики в отношении паролей и блокировки учетных записей пользователей.
Локальная политика
хранилась в базе данных политик и состояла из информации о привилегиях пользователей и конфигурации аудита. Она реплицировалась между контроллерами домена, поэтому все контроллеры получали одинаковые настройки аудита и привилегий. Политика домена действовала в отношении всего домена, но не могла быть общей для нескольких доменов. Дополнительное управление политиками могло быть осуществлено с помощью членства пользователей в группах.
Реализация политик безопасности в Windows 2000 предоставляет значительно более широкие возможности. При необходимости вы можете устанавливать политики для всего дерева доменов. Различные контроллеры в пределах одного домена могут обладать индивидуальными политиками безопасности. Установив политику безопасности в одном месте, администраторы могут контролировать безопасность всех серверов и рабочих станций домена. Политики безопасности в Windows 2000 реализуются с помощью средств
групповых политик
(group policy).
Групповая политика имеет следующие преимущества:
|
|
|
Основываясь на службе Active Directory системы Windows 2000, позволяет как централизованно, так и децентрализовано управлять параметрами политики.
|
|
|
Обладает гибкостью и масштабируемостью. Может быть применена в широком наборе конфигураций системы, предназначенных как для малого бизнеса, так и для больших корпораций.
|
|
|
Предоставляет интегрированный инструмент управления политикой с простым и хорошо понятным интерфейсом — оснастку консоли управления
Групповая политика
(Group Policy).
|
|
|
Обладает высокой степенью надежности и безопасности.
Групповые политики расширяют и используют преимущества Active Directory. Их настройки находятся в
объектах групповых политик
(Group Policy Object, GPO), которые в свою очередь ассоциируются с такими контейнерами Active Directory, как сайты, домены и подразделения (организационные единицы).
Политики безопасности Windows 2000 хранятся в двух типах объектов GPO:
локальном объекте групповой политики
и
объекте групповой политики домена.
Делегирование управления объектами групповой политики
Делегирование управления объектами групповой политики
С помощью инструментов управления Active Directory администратор может делегировать другим пользователям и группам право управления частью каталога. Это в полной мере относится и к объектам групповой политики, в отношении которых могут быть, в частности, делегированы следующие права: П
Управление связями GPO с сайтом, доменом или подразделением
(OU). Для этого с помощью инструмента управления Active Directory укажите сайт, домен или OU и щелкните правой кнопкой мыши. В появившемся контекстном меню выберите команду
Делегирование управления
(Delegate Control). Запустится
Мастер делегирования управления
(Delegation of Control Wizard). С его помощью можно выбрать объект групповой политики, группу или пользователя, которому должны быть делегированы права, а также и само право (в данном случае
Управление ссылками групповой политики
(Manage Group Policy links)).
|
|
|
Создание и удаление всех дочерних объектов групповой политики.
По умолчанию правом создания объектов в GPO обладают администраторы домена (Domain Admins) и администраторы предприятия (Enterprise Admins), а также операционная система. Для делегирования пользователю права управления объектами групповой политики домена необходимо включить его в группу
Создатели-владельцы групповой политики
(Group Policy Creator Owners).
|
|
|
Редактирование свойств объектов групповой политики.
По умолчанию правом редактирования GPO обладают администраторы домена, администраторы предприятия и операционная система. Для делегирования пользователю права редактирования объекта групповой политики необходимо включить его в одну из указанныхтрупп безопасности.
Хранение GPO
Хранение GPO
Объекты GPO и Active Directory
GPO хранит информацию о настройках групповых политик в двух структурах —
контейнере групповых политик
(Group Policy Container, GPC) и
шаблоне групповых политик
(Group Policy Template, GPT). Контейнер групповых политик представляет собой объект Active Directory, в котором хранятся свойства GPO: версия, список расширений, которые хранят свои настройки в объекте групповой политики, состояние GPO и т. д. Шаблон групповых политик — это папка, где находится информация о настройках, модифицируемых с помощью оснастки
Групповая политика:
политики, настраиваемые с помощью административных шаблонов, настройки безопасности, приложения, управление которыми осуществляется посредством расширения
Установка программ,
сценарии, заданные с помощью расширения Сценарии, и т. д. Папка шаблона групповых политик находится на системном томе контроллеров доменов в папке
Policies.
При работе с GPO имя папки его шаблона групповых политик выступает в качестве
глобального уникального идентификатора
(Global Unique Identifier, GUID), уникально характеризующего данный объект групповой политики.
Оснастку
Групповая политика
можно настроить так, что информация о групповых политиках будет храниться вне GPO. Однако в этом случае в одном из стандартных мест хранения информации о групповых политиках необходимо сохранить ссылку (link) на местоположение данных GPO.
Инструменты настройки безопасности
Инструменты настройки безопасности
Обеспечение эффективной безопасности системы имеет несколько аспектов.
Во-первых, операционная система должна соответствовать базовым требованиям к безопасности. Например, требования к системе, соответствующей уровню безопасности С2, включают защиту памяти, дискреционное управление доступом и наличие средств аудита.
Во-вторых, для создания эффективной безопасности следует создать инструмент, позволяющий управлять всеми средствами обеспечения безопасности, заложенными в операционной системе. В Windows 2000 для управления безопасностью системы применяется
Набор инструментов настройки безопасности
(Security Configuration Tool Set). В него включены параметры безопасности операционной системы, собранные в единый блок управления, и ряд программных инструментов, позволяющих управлять этими параметрами.
Набор инструментов настройки безопасности состоит из следующих компонентов:
|
|
|
Служба настройки безопасности
(Security Configuration Service) — служба, являющаяся ядром Набора инструментов настройки безопасности. Она работает на любой машине и отвечает за выполнение функций, связанных с настройкой безопасности и ее анализом. Эта служба является центральной для всей инфраструктуры безопасности системы.
|
|
|
Начальная безопасность
(Setup Security) — первоначальная конфигурация безопасности, создаваемая при установке Windows 2000 с помощью заранее определенного шаблона, поставляемого вместе с системой. На каждом компьютере Windows 2000 формируется первоначальная база данных безопасности, называемая
локальной политикой компьютера
(Local Computer Policy).
|
|
|
Оснастка
Шаблоны безопасности
(Security Templates) — этот инструмент позволяет определять конфигурации безопасности, не зависящие от машины, которые хранятся в виде текстовых файлов.
|
|
|
Оснастка
Анализ и настройка безопасности
(Security Configuration and Analisys ) — этот инструмент позволяет импортировать одну или несколько хранящихся конфигураций безопасности в базу данных безопасности (это может быть база данных локальной политики компьютера или любая другая личная база). Импорт конфигураций создает специфическую для машины базу данных безопасности, которая хранит композитную настройку. Ее можно активизировать на компьютере и проанализировать состояние текущей конфигурации безопасности по отношению к композитной настройке, хранящейся в базе данных.
Использование групп безопасности
Группы безопасности
(security groups) предназначены для решения следующих двух задач: ограничения влияния групповой политики и делегирования управления объектами групповой политики.
Локальные GPO
На каждом компьютере сети Windows 2000 существует локальный объект групповой политики, представляющий собой шаблон групповых политик. По умолчанию он содержит только информацию безопасности. Его данные расположены в папке %.SystemRoot/w.R0of%\System32\GroupPolicy. Администраторы и операционная система обладают полным доступом к этой папке. Пользователи получают доступ только на чтение.
Настройка безопасности для раздела реестра
Настройка безопасности для раздела реестра
Ниже показано, как можно настроить безопасность для раздела реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT. Администраторы получат полный контроль, а все остальные аутентифицированные пользователи будут иметь доступ только на чтение. Последовательность настройки безопасности для раздела реестра:
|
|
1.
|
Запустите оснастку
Групповая политика.
|
|
2.
|
Откройте узел
Конфигурация компьютера | Конфигурация Windows | Параметры безопасности,
выберите папку
Реестр.
|
|
3.
|
Нажмите правую кнопку мыши. В появившемся контекстном меню выберите команду
Добавить раздел
(Add Key). Запустится браузер реестра.
|
|
4.
|
Перейдите к узлу
MacIune\Software\Microsoft\Windows
NT. (В качестве альтернативы можно ввести полный путь к редактируемому полю.)
|
|
5.
|
Нажмите кнопку ОК. Откроется стандартное окно редактора списков управления доступом (ACL), в котором можно настроить разрешения для выбранного раздела.
|
|
6.
|
Для изменения списка объектов, имеющих разрешение доступа к данному разделу, используйте кнопки
Добавить и Удалить.
Здесь вы можете задать полный доступ только для администраторов и доступ только на чтение для остальных пользователей. По завершении корректировки данных нажмите кнопку
ОК.
|
|
7.
|
При настройке безопасности раздела реестра можно задать три типа действия безопасности:
Распространить наследуемые разрешения на все подразделы
(Propagate inheritable permissions to all subkeys) — разрешения, установленные для данного раздела реестра, будут автоматически наследоваться ниже по дереву. При этом все напрямую заданные разрешения на доступ к подразделам будут сохранены, и к ним будут добавлены унаследованные разрешения.
Заменить текущие разрешения во всех подразделах наследуемыми
(Replace existing permissions on all subkeys with inheritable permissions) — разрешения на доступ, установленные для данного раздела реестра, будут автоматически наследоваться ниже по дереву. Но в данном случае любые напрямую заданные права доступа к подразделам будут перезаписаны новыми установками. Действовать будут только вновь созданные разрешения.
Запретить замену разрешений в этом разделе
(Do not allow permissions on this key to be replaced). Если для родительского раздела установлены новые разрешения, то они наследуются всеми подразделами и перезаписывают все остальные прямые установки. Однако один из подразделов может быть сконфигурирован так, что настройки безопасности родительского раздела будут игнорироваться и не будут распространяться ниже по дереву.
|
8.
|
Закройте программы настройки. Все сделанные вами изменения в настройках будут сохранены и начнут работать в локальной политике безопасности.
Настройка безопасности для всего диска С:
Настройка безопасности для всего диска С:
С помощью политик безопасности вы можете установить различные права доступа к устройству для разных пользователей (например, полный контроль для администраторов и права на чтение и создание подкаталогов, а также полный контроль над создаваемыми файлами — для пользователей)! Такая настройка невозможна для обычных компьютеров. Для настройки безопасности устройства на контроллере домена:
|
|
1.
|
Запустите оснастку
Групповая политика
для локального объекта групповой политики.
|
|
2.
|
Откройте узел
Конфигурация компьютера | Конфигурация Windows | Параметры безопасности,
выберите папку
Файловая система.
|
|
3.
|
Щелкните правой кнопкой мыши и выберите в контекстном меню команду
Добавить файл
(Add File). Запустится браузер файловой системы.
|
|
4.
|
В окне диалога
Добавление файла или папки
(Add file or folder) выберите диск
С:
и нажмите кнопку
ОК.
|
|
5.
|
По умолчанию группа
Все
(Everyone) имеет полный доступ к диску. В открывшемся окне диалога
Безопасность базы данных
(Database Security for) с помощью кнопки
Удалить
можно очистить список пользователей. Нажав кнопку
Добавить,
можно выбрать пользователей и группы, а затем определить соответствующие разрешения для диска С:. Чтобы настроить особые права доступа, нажмите кнопку
Дополнительно
(Advanced).
|
|
6
|
После установки необходимых разрешений нажмите кнопку
ОК.
|
|
7.
|
В открывающемся затем окне
Параметр шаблона политики безопасности
(Template Security Policy Setting) выберите тип действия безопасности (распространить, заменить и игнорировать разрешения). Здесь можно нажать кнопку
Изменить безопасность
(Edit Security) и вернуться к редактированию разрешений.
|
|
8.
|
Закончив выбор необходимых действий, нажмите кнопку ОК.
Настройка групповых политик компьютера в домене
Настройка групповых политик компьютера в домене
Создание объектов политики безопасности в Active Directory
Каждый домен по умолчанию обладает ассоциированной с ним
групповой политикой.
Объект групповой политики (Group Policy Object, GPO) автоматически создается при создании домена. Впоследствии этот объект можно отредактировать. Используя групповые политики, можно одновременно управлять поведением всех компьютеров в домене, а также контролировать делегирование прав администрирования.
При формировании сети предприятия очень важно правильно организовать групповые политики, что позволит минимизировать избыточность параметров и оптимизировать управление сетью. К сожалению, эти цели в определенном смысле противоречат друг другу. Для минимизации избыточности GPO должны с максимальной точностью описывать каждую из политик, действующих на конкретные домены и подразделения (организационные единицы, OU), что приводит к увеличению числа GPO. Для улучшения управления сетью следует, наоборот, создавать небольшое число GPO. Поэтому в каждом конкретном случае нужно правильно сбалансировать количество объектов политик безопасности.
Для правильного планирования структуры групповых политик сети следует:
|
|
|
Разделить политики на логические группы. Например, политики учетных записей могут быть объединены в одну группу.
|
|
|
Для каждой логической" группы создать один или несколько объектов GPO, имеющих различные настройки групповых политик.
|
|
|
Распределить объекты-компьютеры по иерархическим древовидным структурам, состоящим из подразделений. В качестве критерия при таком распределении следует выбрать функцию, которую выполняет данный компьютер.
В основном, каждое подразделение должно иметь определенную групповую политику, действующую на все находящиеся в ней компьютеры. Зачастую
это сделать непросто, поскольку подразделения могут отражать географическое расположение организации, а также иерархию управления сетью. В случаях, когда групповые политики должны распространяться на подмножество компьютеров организации, можно сделать следующее:
|
|
|
Создать в различных подразделениях организации внутренние подразделения, переместить туда нужные объекты-компьютеры и назначить внутренним подразделениям собственные групповые политики.
|
|
|
Если вы не хотите создавать внутренние подразделения, можно использовать схему фильтрации GPO, основанную на разрешениях доступа. С ее помощью вы сможете задать соответствие компьютеров и действующих на них GPO.
|
|
|
Настройка групповых политик на автономном компьютере
Настройка групповых политик на автономном компьютере
В операционной системе Windows 2000 реализована новая концепция управления политиками безопасности компьютера. Каждый компьютер обладает своим собственным
локальным объектом групповой политики
(Local Group
Policy Object, LGPO), который можно редактировать. Если компьютер Windows 2000 не присоединен к домену, то на нем активна только локальная групповая политика. После присоединения к домену групповые политики применяются в соответствии с их иерархией. Следует обратить внимание, что локальная групповая политика применяется даже при включенной блокировке наследования политики от контейнеров более высокого уровня.
Для редактирования локального объекта групповой политики загрузите его в оснастку
Групповая политика
(при присоединении оснастки в поле ввода
Объект групповой политики
нужно указать опцию
Локальный компьютер).
Ниже на примерах показано, как редактировать параметры локальных политик.
Настройка политики выбора контроллера домена
Настройка политики выбора контроллера домена
Можно сконфигурировать групповую политику, определяющую, какой контроллер домена будет выбираться по умолчанию при запуске оснастки
Групповая политика.
Для этого:
|
|
1.
|
Запустите оснастку
Групповая политика
для групповой политики контроллера домена или для политики всего домена.
|
|
2.
|
Откройте узел
Конфигурация пользователя | Административные шаблоны | Система | Групповая политика.
|
|
3.
|
Выберите в списке политику
Выбор контроллера домена групповой политики
(Group Policy domain controller selection) — откроется окно настройки политики.
|
|
4.
|
Включите политику и установите нужный вариант выбора контроллера домена:
Использовать основной контроллер домена (Use the Primary Domain Controller)
Унаследовать от оснасток Active Directory (Inherit from the Active Directory Snap-ins)
Использовать любой доступный контроллер домена (Use any available domain controller)
После того, как политика установлена, команда
Параметры контроллера домена
в меню Вид окна оснастки
Групповая политика
будет недоступна.
Объекты групповой политики (GPO)
Оснастка Групповая политика (Group Policy)
При создании, настройке и хранении параметров групповых политик применяется подход, позволяющий работать с GPO как с документами.
После создания GPO ассоциируется с определенным контейнером Active Directory, и в результате групповые политики, хранящиеся в данном GPO, будут выполняться для всех компьютеров и пользователей, находящихся в этом контейнере. Дополнительными средствами настройки групповых политик в контейнере являются группы безопасности и дискреционные разрешения доступа.
GPO создается с помощью оснастки консоли управления
Групповая политика,
которая может вызываться как изолированный инструмент и в качестве расширения таких оснасток, как
Active Directory—пользователи и компьютеры
(Active Directory Users and Computers) или
Active Directory—сайты и службы
(Active Directory Site and Services). Для вызова оснастки
Групповая политика
в качестве расширения в окне соответствующей оснастки укажите нужный контейнер и щелкните правой кнопкой мыши. В появившемся контекстном меню выберите команду
Свойства
(Properties). В открывшемся окне перейдите на вкладку
Групповая
политика (Group Policy). С ее помощью вы сможете просматривать контейнеры Active Directory и ассоциированные с ними GPO.
Для запуска оснастки
Групповая политика
в виде изолированной оснастки:
|
|
1.
|
Нажмите кнопку
Пуск
(Start). Выберите команду
Выполнить
(Run). В поле ввода введите с клавиатуры и нажмите кнопку
ОК.
Запустится консоль управления Microsoft.
|
|
2.
|
В окне консоли управления в меню
Консоль
(Console) выберите команду
Добавить/удалить оснастку
(Add/Remove Snap-in), затем нажмите кнопку
Добавить
(Add). В открывшемся окне выберите элемент
Групповая политика
и нажмите кнопку
Добавить.
|
|
3.
|
В следующем окне нажмите кнопку
Обзор
(Browse). В открывшемся окне диалога выберите GPO, который будет загружен в оснастку (можно выбрать GPO для отдельного компьютера, подразделения, сайта или домена), и нажмите кнопку ОК. Нажмите кнопки
Готово
(Finish),
Закрыть
(Close) и ОК. ( Пример окна оснастки приведен ниже, на Рисунок 27.1) Теперь оснастку можно сохранить в файле с любым именем.
Создать групповую политику для контейнера Active Directory можно только при наличии определенного набора условий. Необходимо иметь работающий контроллер домена Windows 2000. Пользователь, который создает групповую политику, должен обладать правами на чтение и запись в системный том контроллеров домена (папка Sysvol). Кроме того, он должен иметь право модификации выбранного контейнера Active Directory.
После запуска оснастки
Групповая политика
в окне структуры появляется набор узлов, которые являются расширениями этой оснастки. По умолчанию все расширения загружаются в процессе запуска оснастки. Однако их состав можно изменить с помощью средств создания индивидуальной конфигурации консоли ММС и с помощью политик, определяющих работу самой консоли. Подход, предполагающий применение расширений, позволяет пользователям создавать свои собственные расширения оснастки
Групповая политика,
наделяя ее способностью устанавливать дополнительные групповые политики. Любое расширение может в свою очередь состоять из расширений, поэтому оснастка
Групповая политика
— чрезвычайно гибкий инструмент, который можно сконфигурировать для конкретной компьютерной среды.
Ограничение влияния настроек групповой политики
Как уже говорилось, все компьютеры и пользователи, находящиеся в определенном контейнере, подпадают под влияние групповых политик, настройки которых находятся в GPO, связанном с данным контейнером. Для более тонкой настройки влияния определенного объекта груп повой политики на группы пользователей и компьютеров применяют
группы безопасности.
Они не могут быть связаны с GPO, но с помощью вкладки
Безопасность
окна свойств объекта групповой политики можно задать, будет ли данный GPO влиять на членов определенной группы безопасности.
Примечание 1
Примечание 1
Обратите внимание, что фильтрация влияния политик безопасности может быть выполнена только с помощью групп безопасности.
Группы дистрибуции
(distribution groups) для этого не подходят.
Для ограничения влияния настроек групповой политики:
|
|
1.
|
В правом подокне окна оснастки
Групповая политика
укажите корневой узел объекта групповой политики и нажмите правую кнопку мыши.
|
|
2.
|
В появившемся контекстном меню выберите команду
Свойства.
|
|
3.
|
В окне свойств объекта групповой политики перейдите на вкладку
Безопасность.
|
|
4.
|
Нажмите кнопку
Добавить
и добавьте нужную группу.
|
|
5.
|
Установите для нее надлежащие права доступа к объекту групповой политики. Можно разрешить или запретить доступ к GPO. На членов группы, для которой в строке
Применение групповой политики
флажок установлен в позиции
Разрешить,
влияют настройки данного объекта групповой политики. Чтобы запретить влияние групповой политики на определенную группу, в строке
Применение групповой политики
флажок необходимо установить в позиции
Запретить
(Deny). Если флажок не установлен ни в одной из позиций, это значит, что к данной группе не применяются настройки ни одной из установленных политик.
Примечание 2
Примечание 2
Следует очень хорошо осмыслить факт влияния групповых политик на группы безопасности! Хотя, как указывается в любой документации от Microsoft, относящейся к групповым политикам, "групповые политики (различные GPO) могут распространять свое влияние на сайты, домены и подразделения" — т. е. на
контейнеры
Active Directory, однако, используя механизмы безопасности, можно построить систему групповых политик, ориентированную на
группы.
Например, можно создать несколько политик на уровне домена и разрешить применение каждой из политик только к отдельным группам (при этом нужно в каждой политике удалить или запретить подключаемую по умолчанию группу Прошедшие проверку (Authenticated Users), в которую попадаются все пользователи). Иногда такой подход может оказаться весьма полезным и гибким.
Оснастка Анализ и настройка безопасности (Security Configuration and Analysis)
Оснастка Анализ и настройка безопасности (Security Configuration and Analysis)
Здесь мы поговорим об использовании оснастки
Анализ и настройка безопасности
для анализа различных аспектов безопасности систем Windows 2000. Эту оснастку, как и утилиту командной строки secedit, можно применять для интерактивного сбора анализируемых данных в системе или для выполнения периодического сбора информации с помощью сценария, запускаемого в соответствии с заданным расписанием.
Изолированная оснастка
Анализ и настройка безопасности
запускается стандартным образом, при помощи консоли управления. Пользовательский интерфейс оснастки прост и интуитивно понятен. Визуализация проблем (нарушении политики безопасности) выполняется с помощью специальных значков, шрифтов и цветовых выделений. При этом выводится информация, помогающая в устранении проблем. Применяются простые таблицы со списками атрибутов и соответствующих им значений, а также рекомендованных значений.
При выполнении анализа безопасности оснастка использует информацию базового шаблона безопасности, содержащего предпочтительные или рекомендуемые настройки, помещенные в базу данных безопасности. Ядро анализа оснастки
Анализ и настройка безопасности
запрашивает текущие настройки различных атрибутов по каждому из направлений настройки безопасности и сравнивает полученные величины с рекомендациями базового шаблона. Если настройка совпадает с шаблоном, она признается правильной. В обратном случае идентифицируется потенциальная проблема, требующая дополнительного исследования.
Оснастка Шаблоны безопасности (Security Templates)
Оснастка Шаблоны безопасности (Security Templates)
Редактор шаблонов безопасности реализован в виде оснастки ММС. Он предназначен для создания и редактирования текстовых файлов конфигурации безопасности операционной системы Windows 2000. Такие файлы значительно легче переносятся с одной системы на другую, чем соответствующие им базы данных безопасности.
Созданные при помощи оснастки
Шаблоны безопасности
текстовые файлы хранятся на жестком диске и при необходимости могут быть импортированы в базу данных безопасности. В этом случае все хранимые настройки безопасности начнут действовать.
С помощью оснастки
Шаблоны безопасности
можно конфигурировать:
|
|
|
Политики безопасности учетных записей
(Account Security). Здесь вы сможете настроить такие параметры безопасности, как политика паролей, политика блокировки паролей и т. д.
|
|
|
Локальные политики
(Local Policies). Здесь можно настроить параметры безопасности, касающиеся политики аудита, прав пользователей и индивидуальных параметров безопасности конкретной машины Windows 2000. Большинство этих параметров безопасности соответствуют значениям переменных реестра.
|
|
|
Журнал событий
(Event Log). Здесь настраиваются параметры, определяющие работу журналов системы, безопасности, приложений и службы каталогов (Directory Service).
|
|
|
Группы с ограниченным доступом
(Restricted Groups). Параметры, определяющие членство в группах, включая поддержку встроенных групп контроллеров домена.
|
|
|
Системные службы
(System Services). Здесь можно настроить параметры безопасности, касающиеся режима загрузки и управления доступом для всех системных служб, а также параметры, определяющие безопасность редиректора и сервера.
|
|
|
Реестр
(Registry). Можно управлять доступом к разделам реестра системы.
|
|
|
Файловая система
(File System). Можно настроить параметры управления доступом к файлам и папкам локальных томов файловой системы и деревьев каталога.
Значения параметров всех перечисленных выше областей обеспечения безопасности заносятся в текстовые файлы с расширением inf, называемые
шаблонами безопасности.
С их помощью можно конфигурировать систему. Кроме того, при анализе безопасности системы шаблоны могут быть использованы в качестве рекомендованной конфигурации.
Информация о конфигурации безопасности расположена в нескольких разделах. Вся информация шаблонов обрабатывается ядром оснастки
Шаблоны безопасности.
Шаблоны обладают гибкой архитектурой, позволяющей в случае необходимости создавать новые разделы для конфигурации и анализа информации безопасности.
Оснастка
Шаблоны безопасности
располагает набором созданных заранее шаблонов безопасности. По умолчанию они хранятся в папке
%SystemRoot%
\Security\Templates. Они могут быть модифицированы с помощью этой оснастки и импортированы в расширение
Параметры безопасности
(Security Settings) оснастки
Групповая политика.
Шаблоны безопасности отличаются друг от друга совокупностью хранящихся в них настроек. С помощью разных шаблонов можно устанавливать различные по степени защищенности конфигурации безопасности компьютера Windows 2000. Применять шаблоны безопасности, можно только в случае, если система была уже настроена с помощью параметров безопасности, установленных по умолчанию. Новые шаблоны безопасности не изменяют все старые настройки параметров системы безопасности, они лишь дополняют их, увеличивая (инкрементируя) степень защищенности компьютера. Поэтому их называют
инкрементирующими шаблонами безопасности.
Вы можете использовать их без изменения содержимого или в качестве основы для создания своих собственных шаблонов. Инкрементирующие шаблоны безопасности можно применять в системах Windows 2000, установленных на разделе NTFS. Если компьютер Windows 2000 был установлен путем обновления его из компьютера Windows NT 4.0, на нем необходимо предварительно установить базовый шаблон безопасности, который содержит значения параметров, безопасности, установленные по умолчанию. Если операционная система установлена в разделе FAT, такой компьютер не может быть защищен.
Оснастка
Шаблоны безопасности
предоставляет средства изменения информации, содержащейся в шаблонах. Поскольку усиленная безопасность часто отрицательно сказывается на производительности системы, настройки безопасности, определенные в заранее созданных шаблонах, не должны применяться в рабочем режиме без тщательного предварительного анализа последствий установки той или другой конфигурации безопасности.
Заранее определенные компанией Microsoft конфигурации безопасности делятся на следующие типы:
|
|
|
Базовая
(Basic). Это набор настроек безопасности, генерируемых по умолчанию на рабочих станциях, серверах и контроллерах доменов при первоначальной установке Windows 2000. Базовая конфигурация в основном служит для того, чтобы прекращать действие более жестких типов конфигураций безопасности. Операционная система Windows 2000 содержит три базовых шаблона безопасности:
basicwk.inf — для рабочих станций
basicsv.inf — для серверов
basicdc.inf — для контроллеров доменов
Базовые шаблоны безопасности содержат настройки параметров безопасности, устанавливаемые по умолчанию для всех областей обеспечения безопасности, за исключением прав пользователя и групп. Эти шаблоны можно применять в системе Windows 2000 с помощью оснастки
Анализ и настройка безопасности
или с помощью утилиты Secedit.exe.
|
|
|
Совместимая
(Compatible). Эти настройки безопасности генерируются в системах, где не требуются жесткие меры безопасности, и где работают устаревшие программные продукты. В выборе между обеспечением выполнения всех функций приложения и обеспечением безопасности данная конфигурация принимает сторону приложения. Помимо некоторого улучшения установок безопасности, совместимые конфигурации содержат в себе специальные настройки, предназначенные для защиты пакета Microsoft Office. В случае, если в системе используется этот продукт, совместимая конфигурация должна быть включена после установки пакета Office. Однако следует помнить, что конфигурация безопасности, создаваемая этим шаблоном, не считается защищенной. Файл совместимого шаблона безопасности называется compatws.inf.
|
|
|
Защищенная
(Secure). Обеспечивает более надежную безопасность по сравнению с совместимой конфигурацией. В выборе между обеспечением выполнения' всех функций приложения и обеспечением безопасности данная конфигурация принимает сторону безопасности. Она содержит жесткие настройки безопасности для политики учетных записей, аудита и некоторых широко используемых разделов реестра. Защищенную конфигурацию рекомендуется ставить на компьютеры, где не задействованы все возможности Microsoft Office, или если данный компьютер предназначен для решения узкого круга задач. Шаблоны защищенной безопас ности находятся в файлах securews.inf и securedc.inf.
|
|
|
Сильно защищенная
(High Security). Эта конфигурация позволяет получить идеально защищенную систему Windows 2000, не учитывающую функциональность приложений. Подобная конфигурация при обмене информацией предполагает обязательное использование электронной подписи и шифрования, которое обеспечивается только средствами Windows 2000. Поэтому компьютеры, на которых установлена сильно защищенная конфигурация безопасности, не могут обмениваться данными с другими операционными системами Windows. Сильно защищенную конфигурацию можно применять в системах, где работают приложения, предназначенные для функционирования в среде с усиленной системой безопасности. Шаблоны защищенной безопасности находятся в файлах hisecws.inf и hisecdc.inf.
Приложения, которые успешно работают на определенном уровне безопасности, обеспеченной заранее созданными шаблонами, также успешно функционируют на более низких уровнях безопасности.
Архитектура оснастки
Шаблоны безопасности
предполагает возможность расширения этого программного инструмента. Вы можете добавить расширения в качестве новых направлений обеспечения безопасности или в качестве новых атрибутов внутри существующих направлений. Поскольку информация конфигурации хранится в стандартных текстовых файлах, ее можно легко дополнить новыми параметрами и разделами с полным сохранением обратной совместимости.
Кроме того, в настоящее время в шаблоне определен раздел, относящийся к службам системы, архитектура которого дает возможность расширять его внутреннюю структуру. Это позволяет любой службе обратиться к оснастке
Шаблоны безопасности
и настроить с ее помощью свои параметры безопасности. Поэтому различные системы Windows 2000 могут быть сконфигурированы для работы с индивидуальными наборами служб. Кроме того, компания Microsoft ожидает, что независимые разработчики программного обеспечения, создающие новые службы, будут добавлять к общей структуре безопасности необходимую информацию конфигурации и анализа безопасности своих служб.
В следующих разделах приведены примеры работы с редактором шаблонов безопасности.
Параметры безопасности (Secyrity Settings)
Параметры безопасности (Secyrity Settings)
С помощью расширения
Параметры безопасности
в GPO можно определить параметры политики безопасности, определяющие различные аспекты работы системы безопасности Windows 2000. Созданная в объекте групповой политики конфигурация воздействует на все компьютеры, находящиеся в контейнере, к которому присоединен данный GPO.
Расширение
Параметры безопасности
позволяет настраивать следующие аспекты системы безопасности компьютера:
|
|
|
Политики учетных записей
(Account Policies). Можно настраивать политики безопасности как учетных записей в масштабах домена, так и локальных учетных записей. Здесь определяются политика паролей, политика блокировки паролей и новая политика Kerberos, распространяющаяся на весь домен.
|
|
|
Локальные политики
(Local Policies). Можно настраивать политику аудита, назначать права пользователей и различные параметры безопасности, доступные для настройки в системе Windows 2000.
|
|
|
Журнал событий
(Event Log). Можно настраивать политики безопасности, определяющие работу журналов событий приложений, системы и безопасности.
|
|
|
Группы с ограниченным доступом
(Restricted Groups). Можно регулировать членство пользователей в специфических группах. Сюда обычно включают встроенные группы, такие как Администраторы, Операторы архива и другие, имеющие по умолчанию права администратора. В эту категорию могут быть включены и другие группы, безопасность которых требует особого внимания и членство в которых должно регулироваться на уровне политики.
|
|
|
Системные службы
(System Services). Можно настраивать безопасность и параметры загрузки для работающих на компьютере служб. В этом разделе могут быть использованы расширения, с помощью которых можно осуществлять настройку безопасности, специфическую для данной службы. Например, расширение File Sharing Service позволяет настраивать политику безопасности для службы создания общего доступа к файлу (активизация подписи 8MB, ограничение анонимного доступа к общим ресурсам, формирование безопасности различных сетевых общих ресурсов и т. д.).
|
|
|
Реестр
(Registry). Можно настраивать безопасность различных разделов реестра.
|
|
|
Файловая система
(File System). Можно настраивать безопасность определенных файлов.
|
|
|
Политики открытого ключа
(Public Key Policies). Можно настраивать политики безопасности в отношении шифрования информации с помощью EFS, авторизации корневого сертификата в масштабах домена, авторизации доверенного сертификата и т. д.
|
|
|
Политики безопасности IP
(IPSEC). Позволяет настраивать политику безопасности IP для компьютеров, находящихся в определенной области действия.
Политики безопасности, определяемые расширением
Параметры безопасности,
действуют на компьютеры и частично на пользователей. Поскольку политика безопасности Windows 2000 значительно отличается от политик предыдущих версий Windows NT, при переходе к Windows 2000 низкоуровневые политики безопасности не переносятся. Если при переходе создается новое дерево доменов, одновременно создается и новая политика безопасности, назначаемая по умолчанию. Если при переходе домен присоединяется к уже существующему дереву, политика безопасности берется от родительского домена.
Для модификации настроек безопасности щелкните на папке
Параметры безопасности,
затем щелчками на соответствующих узлах откройте весь путь, ведущий к интересующим настройкам. В правом подокне окна оснастки
Групповая политика
двойным щелчком выберите настраиваемую политику и в
Перенаправление папки (Folder Redirection)
Перенаправление папки (Folder Redirection)
Оснастка
Перенаправление папки
позволяет перенаправить некоторые папки профиля пользователя в другое место (как правило, на общий ресурс сети). Перенаправление возможно для следующих папок:
|
|
|
Application Data
|
|
|
Мои рисунки
(My Pictures)
|
|
|
Рабочий стол
(Desktop)
|
|
|
Главное меню
(Start Menu)
|
|
|
Мои документы
(My Documents)
Перенаправление папки на общий ресурс сети позволяет, например, обеспечить доступ к информации перечисленных папок для различных компьютеров сети (особенно важно для папки
Мои документы),
а также повысить отказоустойчивость и упростить создание резервных копий информации.
Для перенаправления специальной папки на общий ресурс сети:
|
|
1.
|
Запустите оснастку
Групповая политика.
|
|
2.
|
Найдите узел
Перенаправление папки
и откройте его.
|
|
3.
|
Укажите специальную папку и нажмите правую кнопку мыши. В открывшемся контекстном меню выберите команду
Свойства.
|
|
4.
|
В окне свойств папки в раскрывающемся списке
Значение
(Setting) выберите пункт
Базовый
(Basic), если данная специальная папка переназначается в одно место для всех пользователей. Появится поле ввода
Размещение конечной папки
(Target Folder Location).
|
|
5.
|
Нажмите кнопку
Обзор
и укажите местоположение переназначаемой информации.
|
|
6.
|
Если специальная папка для различных
групп
переназначается в разные места, в списке
Значение
выберите пункт
Расширенный
(Advanced). В этом случае в нижней части окна свойств папки появится поле
Членство в группе безопасности
(Security Group Membership).
|
|
7.
|
Нажмите кнопку
Добавить.
В открывшемся окне диалога
Выбор группы и размещения
(Specify Group and Location) введите имя группы пользователей и соответствующее ей целевое местоположение переназначаемой информации.
Подкаталоги шаблона групповых политик
Внутри папки шаблона групповых политик имеются следующие подкаталоги:
|
|
|
Adm (если компьютер входит в домен). Здесь находятся все файлы *.adm для данного шаблона групповых политик.
|
|
|
Machine. Здесь хранится файл Registry.pol со значениями параметров реестра, устанавливаемыми для
компьютера.
При загрузке операционной системы файл Registry.pol копируется с контроллера домена, и его данные записываются в реестр в раздел HKEY_LQCAL_MACHINE. Если компьютер входит в домен, в папке
Machine
появляется подкаталог Scripts (где находятся все сценарии и связанные с ним файлы), в котором находятся подкаталоги
Shutdown и Startup
для сценариев выключения и запуска системы (соответственно).
|
|
|
User.
Здесь хранится (если компьютер входит в домен) файл Registry.pol со значениями параметров реестра, устанавливаемыми для
пользователей.
Когда пользователь регистрируется в системе, файл Registry.pol копируется с контроллера домена, и его данные записываются в реестр в раздел HKEY_CURRENT_USER. Если компьютер входит в домен, падка User содержит подкаталог
Scripts,
где находятся все сценарии и связанные с ними файлы, и подкаталоги
Logoff и Logon
(для сценариев выхода из системы и регистрации в системе).
Порядок применения групповых политик
Порядок применения групповых политик
Применение групповых политик происходит в последовательности, соответствующей иерархии GPO: сначала объект групповой политики сайта, затем домена, затем GPO, связанные с подразделениями в соответствии с их вложенностью, Порядок выполнения групповых политик можно изменить с помощью настроек, блокирующих определенные групповые политики или заставляющих их выполняться принудительно. Кроме того, на порядок выполнения групповых политик влияет применение групп безопасности, о которых речь пойдет ниже.
По умолчанию настройки групповой политики, применяемые к контейнеру определенного уровня, наследуются всеми контейнерами более низких уровней и находящимися внутри них пользователями и компьютерами. Если с дочерней организационной единицей (контейнером) связан свой GPO, он может устанавливать для нее
индивидуальные
настройки групповых политик, отменяющие применение к ней
наследуемых
настроек. Если некоторые настройки групповых политик родительского контейнера не заданы (not defined), то они не наследуются и дочерними контейнерами. Если родительский контейнер обладает сконфигурированными настройками групповых политик, которые
не
заданы в GPO дочернего контейнера, то такие настройки наследуются.
Наследование настроек групповых политик родительского контейнера дочерним контейнером, с которым связан собственный объект групповой политики, может иметь место только в случае
совместимости
этих групповых политик. Например, если политика родительского контейнера задает определенную конфигурацию рабочего стола компьютера пользователя, а политика дочернего контейнера дополняет ее, пользователь увидит на своем рабочем столе все элементы, заданные обеими политиками. Если же групповая политика родительского контейнера противоречит групповой политике дочернего контейнера,, выполняются только настройки GPO, связанного с дочерним контейнером.
Подобное положение вещей может быть изменено. Установка флажка
Блокировать наследование политики
(Block Policy inheritance), находящегося на вкладке
Групповая политика
окна свойств некоторого контейнера,
запрещает наследование
каких- либо групповых политик, установленных для
родительского
контейнера.
Существует средство, позволяющее настроить
принудительное применение
групповой политики, настроенной для некоторого контейнера, всеми контейнерами
более низкого
уровня. Для этого на вкладке
Групповая политика
окна свойств контейнера следует нажать кнопку
Параметры
(Options). В появившемся окне диалога
Параметры
имя_подразделения
необходимо установить флажок
Не перекрывать
(No override). В этом случае дочерние контейнеры будут наследовать (т. е. не смогут переопределить) все настройки родительского контейнера, даже в том случае, если для дочерних контейнеров установлен флажок
Блокировать наследование политики.
По умолчанию групповая политика применяется синхронно, т. е. политики компьютера применяются до появления окна
Вход в Windows
(Log on to Windows), а политики пользователя — до передачи операционной системой управления оболочке, интерактивно взаимодействующей с пользователем. Подобный порядок можно изменить, однако делать это не рекомендуется, поскольку асинхронное применение групповых политик может привести к непредсказуемым и нежелательным результатам.
Применение групповых политик не ограничивается только, например, моментом загрузки операционной системы компьютера или регистрацией пользователя в системе. При работе компьютера в сети групповые политики могут измениться, поэтому они применяются периодически (по умолчанию — каждые 90 минут). Длительность периода применения политик можно изменять. Если задать его равным нулю, групповые политики применяются через каждые 7 секунд. Следует учитывать, что при уменьшении периода применения групповых политик значительно увеличивается нагрузка на систему. На контроллерах доменов период применения политик равен 5-ти минутам.
Настройки расширений
Установка программ и Переназначение папки
применяются только при загрузке операционной системы или регистрации пользователя в системе, поскольку периодическое применение этих групповых политик может вызвать нежелательные результаты.
Для блокировки и настройки принудительного выполнения групповой политики:
|
|
1.
|
Запустите оснастку
Active Directory—пользователи и компьютеры,
укажите нужный контейнер и нажмите правую кнопку мыши.
|
|
2.
|
В появившемся контекстном меню выберите команду
Свойства.
|
|
3.
|
В окне свойств перейдите на вкладку
Групповая политика
(Рисунок 27.3). Нажмите кнопку
Параметры.
|
|
4.
|
В открывшемся окне установите флажок
Не перекрывать.
Теперь настройки дочерних объектов групповой политики не смогут изменять действие (переопределять) настроек данного объекта.
|
|
5.
|
Нажмите кнопку
ОК.
|
|
6.
|
В окне свойств контейнера установите флажок
Блокировать наследование политики,
что запретит распространение групповой политики более высокого уровня на текущий контейнер и контейнеры нижних уровней.
Применение групповых политик на клиентской стороне
Периодичность применения групповых политик на клиентской стороне во многом определяется пропускной способностью канала, по которому клиент обменивается информацией с серверами сети. При работе по медленному каналу администратор может увеличить период применения групповых политик.
Если система обнаружила, что клиент присоединен по низкоскоростной линии, устанавливаются соответствующие флаги, влияющие на применение групповых политик. По умолчанию при наличии медленного канала загружаются только настройки узлов
Административные шаблоны и Параметры безопасности.
Однако с помощью специальных настроек можно регулировать работу расширений оснастки
Групповая политика
на клиентской стороне. Среди таких настроек отметим следующие политики:
|
|
|
Обнаружение медленных подключений для групповой политики
(Group Policy slow link detection). Данная политика позволяет указать пороговую скорость подключения: если реальная скорость передачи обновлений групповых политик на компьютер будет ниже заданного порога, система считает это подключение "медленным".
|
|
|
Запретить фоновое обновление групповой политики
(Disable background refresh of Group Policy). Как уже говорилось, все групповые политики компьютера применяются при загрузке операционной системы, а политики пользователя — при его регистрации в системе. Периодическое фоновое применение групповых политик происходит каждые 90 минут. В условиях работы по медленному каналу удобнее отключить фоновое применение групповых политик для сохранения определенного уровня производительности системы.
|
|
|
Интервал обновления групповой политики для компьютеров
(Group Policy refresh interval for computers). Можно изменить заданную по умолчанию частоту обновлений в фоновом режиме. Помимо фонового обновления, политика для компьютера всегда применяется при запуске системы. Существует аналогичная политика для пользователей.
Для настройки всех перечисленных выше и других параметров:
|
|
1.
|
Запустите оснастку
Групповая политика.
|
|
2.
|
Если требуется настроить параметр для группы компьютеров, откройте узел
Конфигурация компьютера.
|
|
3.
|
Если требуется настроить параметр для группы пользователей, откройте узел
Конфигурация пользователя.
|
|
4.
|
Откройте узел
Административные шаблоны | Система | Групповая политика.
|
|
5.
|
Дважды щелкнув по нужной политике, установите необходимый параметр.
Просмотр и редактирование шаблона безопасности
Просмотр и редактирование шаблона безопасности
Щелкните на одном из стандартных шаблонов безопасности, которые вы видите в окне оснастки
Шаблоны безопасности.
Если вы хотите модифицировать какую-либо настройку безопасности, дважды щелкните на ней и отредактируйте значения параметров.
Создание пользовательского объекта в папке Файловая система или Реестр.
Обратите внимание, что для этих папок в правом подокне отображаются не все объекты, а только те, которые представляют интерес с точки зрения политики безопасности.
Кроме того, важно отметить, что модель наследования
дискреционного списка управления доступом
(Discretionary Access Control List, DACL), принятая в Windows 2000, позволяет распространять действие настроек безопасности на дочерние объекты файловой системы или реестра, список которых приведен в шаблоне безопасности. Например, даже если каталог
96SystemRoot96\System32
не присутствует в списке объектов файловой системы шаблона securews, он унаследует настройки безопасности от своего родительского каталога
%SystemRoot%,
который определен в списке объектов.
Для того чтобы добавить объект в папку
Файловая система:
|
|
1.
|
Выберите папку в окне структуры
оснастки Шаблоны безопасности
и нажмите правую кнопку мыши.
|
|
2.
|
В появившемся контекстном меню выберите команду
Добавить файл
(Add File).
|
|
3.
|
В открывшемся окне диалога
Добавление файла или папки
(Add file or Folder) выберите устройство или папку, которые вы хотите добавить в список объектов файловой системы, и нажмите кнопку
ОК.
|
|
4.
|
В окне
Безопасность базы данных
можно выбрать пользователей и группы и задать им разрешения на указанный файл или папку. Нажмите кнопку
ОК.
|
|
5.
|
Откроется окно диалога
Параметры шаблона политики безопасности
(Рисунок 27.9) Здесь можно выбрать один из способов применения устанавливаемой безопасности (например,
Распространить наследуемые разрешения на все подпапки и файлы).
|
|
6.
|
Если нужно вернуться к настройкам разрешений, нажмите кнопку
Изменить безопасность.
Откроется стандартное окно редактора списков управления доступом (ACL). В нем можно установить необходимые значения параметров безопасности.
|
|
7.
|
После ввода необходимых значений нажмите кнопку ОК.
Следует отметить, что установленные вами настройки безопасности записываются в файл шаблона безопасности. Их работа начнется, только когда конфигурация, определенная данным шаблоном, будет активизирована в системе (например, импортирована в некоторую групповую политику).
|
|
Просмотр результатов анализа
Просмотр результатов анализа
Для просмотра результатов анализа:
|
|
1.
|
Откройте оснастку
Анализ и настройка безопасности.
|
|
2.
|
Откройте папки, отображающие различные аспекты безопасности.
|
|
3.
|
Исследуйте найденные отличия текущих настроек безопасности системы и рекомендованных настроек, находящихся в шаблоне безопасности. Отличия помечены хорошо заметным красным значком, совладения — зеленой галочкой (Рисунок 27.10). Если в строке результатов нет метки, это значит, что данная настройка безопасности не входит в применяющийся при анализе шаблон.
|
|
Работа с групповыми политиками домена
Работа с групповыми политиками домена
Ниже приведен ряд примеров, демонстрирующих работу с групповыми политиками домена.
Создание объекта групповой политики.
Для создания самостоятельного, изолированного GPO:
|
|
1.
|
Запустите консоль управления Microsoft (MMC).
|
|
2.
|
Выберите в меню
Консоль
команду
Добавить/удалить оснастку,
в следующем окне нажмите кнопку
Добавить.
|
|
3.
|
В окне
Добавить изолированную оснастку
выберите элемент
Групповая политика,
затем нажмите кнопку
Добавить.
|
|
4.
|
В окне Поиск объекта групповой политики нажмите кнопку
Обзор.
Запустится браузер GPO.
|
|
5.
|
Для создания нового GPO с именем, установленным по умолчанию, нажмите кнопку
Новый объект групповой политики
(Create New Group Policy Object) (Рисунок 27.5).
|
|
6.
|
Переименуйте вновь созданный GPO. Дайте ему более информативное имя.
Примечание 1
Примечание 1
Операционная система не следит за уникальностью имен объектов групповых политик безопасности, поскольку каждый GPO обладает внутренним
глобальным уникальным идентификатором
(GUID). За уникальность имени отвечает его создатель.
|
7.
|
Чтобы закрыть окно браузера GPO, нажмите кнопку
ОК.
Нажмите кнопку
Готово,
чтобы закрыть окно диалога
Поиск объекта групповой политики.
|
|
8.
|
Нажмите кнопку
Закрыть,
чтобы закрыть окно диалога
Добавить изолированную оснастку,
затем закройте окно диалога
Добавить/удалить оснастку.
|
|
9.
|
|
|
Расширения оснастки групповая политика на стороне клиента
Расширения оснастки групповая политика на стороне клиента
Некоторым расширениям оснастки
Групповая политика,
находящимся на сервере, соответствуют расширения, работающие у клиента. Они предназначены, для отработки настроек групповых политик на клиентских компьютерах. Расширения, работающие на стороне клиента, представляют собой модули DLL (табл. 27.1), загружаемые в операционной системе клиентского компьютера по требованию в процессе отработки настроек групповых политик. При загрузке операционная система запрашивает список доступных объектов групповой политики. Затем последовательно просматриваются существующие расширения на стороне клиента и определяется, имеют ли они какие-либо данные в доступных GPO. Если расширение на стороне клиента имеет данные в каком-нибудь из доступных объектов групповой политики, оно вызывается с параметром — списком объектов групповой политики, которые необходимо обработать.
Расширения оснастки Групповая политика
Ниже родительских узлов
Конфигурация компьютера и Конфигурация пользователя
находятся дочерние узлы, каждый из которых является полноценным расширением оснастки
Групповая политика.
Они могут находиться в обоих родительских узлах, хотя и с различными параметрами, или индивидуально расширять узлы
Конфигурация компьютера
или
Конфигурация пользователя.
Оснастка
Групповая политика
имеет следующие расширения (Рисунок 27.1):
|
|
|
Административные шаблоны.
(Administrative Templates). Здесь находится групповая политика, определяющая параметры реестра, задающие работу и внешний вид рабочего стола, компонент операционной системы и приложений.
|
|
|
Параметры безопасности
(Security Settings). Служит для настройки параметров системы безопасности компьютеров, на которые воздействует данный объект групповой политики. С помощью групповых политик можно настроить безопасность локального компьютера, домена и целой сети. О
Установка программ
(Software Installation). Служит для централизованного управления программным обеспечением организации. С его помощью можно задавать различные режимы установки новых программ на компьютеры пользователей.
|
|
|
Сценарии
(Scripts). Сценарии используются для автоматического выполнения набора команд при загрузке операционной системы и в процессе завершения ее работы, а также при регистрации и отключении пользователя от сети. Для выполнения сценариев, написанных на Microsoft JScript и Microsoft Visual Basic Scripting Edition, можно применять сервер сценариев (Windows Scripting Host).
|
|
|
Перенаправление папок
(Folder Redirection). Позволяет перенаправлять обращение к специальным папкам в сеть.
|
|
Развернутое дерево
Рисунок 27.1.
Развернутое дерево оснастки
Групповая политика
(Group Policy), в котором можно видеть ее расширения (в виде узлов дерева)
Результаты анализа политики безопасности системы
Рисунок 27.10.
Результаты анализа политики безопасности системы
Нарушение политики безопасности системы в отношении группы Опытные пользователи
Рисунок 27.11
Нарушение политики безопасности системы в отношении группы Опытные пользователи
Присоединение административного шаблона
Рисунок 27.2.
Присоединение административного шаблона
Окно свойств групповых политик некоторого подразделения
Рисунок 27.3.
Окно свойств групповых политик некоторого подразделения
Синхронное и асинхронное выполнение сценариев настраивается с помощью оснастки
Групповая политика —
узлы
Административные шаблоны | Система | Групповая политика.
Узел Политика блокировки учетной записи (Account Lockout Policy)
Рисунок 27.4.
Узел
Политика блокировки учетной записи
(Account Lockout Policy)
Для модификации локальной политики учетных записей:
|
|
1.
|
В оснастке
Групповая политика
откройте узел
Конфигурация компьютера | Конфигурация Windows | Параметры безопасности | Политики учетных записей | Политика блокировки учетной записи
(Рисунок 27.4). Откроется окно, отображающее набор настроек политики блокировки.
|
|
2.
|
Для запуска средства редактирования сделайте двойной щелчок на разделе, настройку которого вы хотите изменить, например, на
Пороговое значение блокировки
(Account lockout threshold).
|
|
3.
|
В открывшемся окне
Параметр локальной политики безопасности
(Local Security Policy Setting) в поле
при ошибках входа в систему
(invalid logon attempts) введите новое значение.
|
|
4.
|
Нажмите кнопку ОК. В результате будет установлено новое значение параметра.
Окно диалога Поиск
Рисунок 27.5.
Окно диалога
Поиск объекта групповой политики
(Browse for a Group Policy Object) и кнопка
Новый объект групповой политики
(Create New Group Policy Object)
Теперь в оснастке
Групповая политика
загружен только что созданный GPO. Отредактируйте его в соответствии с общей концепцией обеспечения безопасности и ассоциируйте его с соответствующим доменом или OU.
Примечание 2
Примечание 2
Можно создавать и редактировать GPO сразу для конкретного контейнера. Это делается на вкладке
Групповая политика
в окне свойств этого контейнера (см. ниже раздел
"Привязка GPO к объектам Active Directory"
).
Загрузка уже созданного GPO.
Чтобы загрузить GPO:
|
|
1.
|
Запустите оснастку
Групповая политика.
При запуске оснастки укажите загружаемый GPO. Для этого нажмите кнопку
Обзор.
Запустится браузер GPO.
|
|
2.
|
В открывшемся окне диалога
Поиск объекта групповой политики
выберите нужный GPO и нажмите кнопку ОК.
Редактирование GPO. Чтобы отредактировать GPO:
|
|
1.
|
Загрузите нужный GPO в оснастку
Групповая политика.
|
|
2.
|
После запуска оснастки переместитесь по дереву узлов и откройте редактируемые параметры групповой политики.
|
|
3.
|
В правом подокне окна оснастки
Групповая политика
щелкните на редактируемом параметре. В открывшемся окне установите нужное значение.
Привязка GPO к объектам Active Directory.
Чтобы привязать созданный GPO к сайту, домену или подразделению (создать ссылку на некоторый GPO):
|
|
1.
|
Запустите оснастку
Active Directory—сайты и службы
— для работы с сайтами или
Active Directory—пользователи и компьютеры —
для доменов и подразделений.
|
|
2.
|
Укажите тот контейнер, для которого устанавливается ассоциация с GPO, и нажмите правую кнопку мыши. В появившемся меню выберите команду
Свойства
и в открывшемся окне перейдите на вкладку
Групповая политика.
|
|
3.
|
Для того чтобы добавить новый GPO, нажмите кнопку
Добавить.
Запустится браузер GPO.
|
4.
|
Найдите объект групповой политики, с которым вы хотите ассоциировать выбранный контейнер, и выберите его. Нажмите кнопку
ОК.
GPO будет добавлен к списку ассоциированных объектов. Для изменения приоритета политик (порядка следования элементов в списке) используйте кнопки
Вверх
(Up) и
Вниз
(Down).
Настройка политики паролей для локальных учетных записей.
Для настройки политики паролей в некотором домене или подразделении:
|
|
1.
|
Создайте GPO, предназначенный для формирования политики паролей, как было описано выше.
|
|
2.
|
Загрузите созданный GPO и откройте узел
Конфигурация компьютера | Конфигурация Windows | Параметры безопасности | Политики учетных записей | Политика паролей.
|
|
3.
|
Установите необходимые значения параметров политики паролей.
|
4.
|
Закройте окно оснастки
Групповая политика.
Все сделанные вами изменения будут записаны в GPO.
|
|
5.
|
Выполните процедуру привязки созданного GPO к домену или подразделению, описанную в предыдущем разделе.
Теперь можно переместить в этот домен или подразделение все компьютеры, на которые должна действовать созданная вами политика паролей.
Включение аудита на контроллерах домена.
При создании контроллера домена в контейнере Domain Controllers для него по умолчанию формируется GPO, определяющий локальные политики всех контроллеров домена. Для того чтобы настроить аудит на всех контроллерах домена, можно просто отредактировать этот GPO.
Для изменения политики аудита контроллеров домена:
|
|
1.
|
Запустите оснастку
Политика безопасности контроллера домена
(Domain Controller Security Policy) — команда
Пуск | Администрирование | Политика безопасности контроллера домена
(Start | Administrative Tools | Domain Controller Security Policy). Можно также открыть GPO для контроллеров домена, подключив к нему изолированную оснастку
Групповая политика.
|
|
2.
|
Раскройте узел
Локальные политики.
Вы увидите три подраздела, относящиеся к трем настройкам локальной политики.
|
|
3.
|
Выберите раздел
Политика аудита
(Audit Policy). В правом подокне появятся политики аудита
|
|
4.
|
Выберите двойным щелчком политику
Аудит доступа к службе каталогов
(Audit Directory Service Access).
|
|
5.
|
Для активизации аудита установите флажок
Определить следующие параметры политики
(Define these policy settings). Аудит неудачных попыток получения доступа к каталогу активизируется установкой флажка
отказ
(Failure) в группе
Вести аудит следующих попыток доступа
(Audit these attempts). Для активизации аудита удачных попыток получения доступа к каталогу установите флажок
успех
(Success).
|
|
6.
|
Нажмите кнопку
ОК.
Все сделанные вами изменения появятся в правом подокне.
|
|
7.
|
Закройте окно оснастки. Новая политика вступит в силу.
Настройка привилегий пользователей и групп при работе в домене с Active Directory.
С помощью GPO можно определить набор привилегий, имеющихся у всех пользователей домена или подразделения. Для настройки привилегий группы пользователей или индивидуального пользователя при работе с ресурсами компьютера:
|
|
1.
|
Создайте GPO, хранящий необходимые значения параметров групповой политики. Процедура создания объекта описана выше.
|
|
2.
|
Загрузите его в оснастку
Групповая политика.
|
|
3.
|
В окне оснастки
Групповая
политика откройте узел
Конфигурация компьютера | Конфигурация Windows | Локальные политики | Назначение прав пользователя
(User Rights Assignments).
|
|
4.
|
В правом подокне окна оснастки
Групповая политика
дважды щелкните, например, на строке
Обход перекрестной проверки
(Bypass traverse checking). В открывшемся окне (Рисунок 27.6) установите флажок
Определить следующие параметры политики
и нажмите кнопку
Добавить.
В открывшемся окне
Добавление пользователя или группы
введите имя настраиваемой группы или нажмите кнопку
Обзор
и выберите нужные группы или пользователей.
|
|
5.
|
После выбора групп нажмите кнопку
ОК.
Все изменения будут записаны в GPO.
|
|
6.
|
С помощью описанной выше процедуры установите ассоциацию между созданным GPO и контейнером Active Directory, в котором будут осуществляться только что настроенные привилегии.
|
Окно диалога ПараметрРисунок 27.6.
Окно диалога
Параметр политики безопасности
(Security Policy Setting), позволяющее редактировать привилегии пользователей и групп
Окно Параметры для выбора контроллера домена (Options for domain controller selection)Рисунок 27.7.
Окно
Параметры для выбора контроллера домена
(Options for domain controller selection)
| |
|
4.
|
Выберите один из трех возможных вариантов:
Хозяин операций для эмулятора РОС
(The one with the Operations Master token for the PDC emulator). Это самый распространенный и предпочтительный принцип выбора DC. В данном случае существует полная гарантия, что объекты групповой политики будут редактироваться на одном и том же контроллере домена. Если по ошибке или каким-то другим причинам редактирование одного и того же GPO выполнялось на различных контроллерах домена, велика вероятность, что изменения, выполненные на одном из них, будут утеряны в результате репликации.
Контроллер, используемый оснастками Active Directory
(The one used by the Active Directory Snap-ins). В данном случае оснастка
Групповая политика
выбирает тот же контроллер домена, что и оснастки управления Active Directory. Каждая из них обладает возможностью подключения к разным работающим DC. В данном случае оснастка
Групповая политика
будет следовать выбору контроллера домена, сделанному в оснастках управления Active Directory.
Любой доступный контроллер домена
(Use any available domain controller). Данный вариант не рекомендуется для широкого использования. В этом случае с большой долей вероятности будет выбран контроллер домена локального сайта.
Просмотр папки Политика паролей шаблона безопасности securews
Рисунок 27.8.
Просмотр папки
Политика паролей
шаблона безопасности securews
Выбор способа применения устанавливаемой безопасности
Рисунок 27.9
Выбор способа применения устанавливаемой безопасности
Ограничение доступа к группе.
Для ограничения членства в группе:
|
|
1.
|
В окне оснастки
Шаблоны безопасности
выберите необходимый шаблон безопасности и откройте его. Укажите папку
Группы с ограниченным доступом
и нажмите правую кнопку мыши.
|
|
2.
|
Выберите команду
Добавить группу
(Add Group).
|
|
3.
|
В открывшемся окне диалога
Добавление группы
(Add Groups) введите имя нужной группы или нажмите кнопку
Обзор
и выберите группу из списка. Эта группа будет добавлена в список групп, членством в которых вы хотите управлять.
|
|
4.
|
Двойным щелчком выберите настраиваемую группу в правом подокне окна оснастки
Шаблоны безопасности.
|
|
5.
|
В окне
Настройка членства
(Configure Membership) можно выбрать пользователей, которые имеют право быть членами конфигурируемой группы, а также указать, в какие группы входит данная группа (эта возможность отсутствует на изолированных компьютерах).
|
|
6.
|
Нажмите кнопку ОК и закройте окно.
Сохранение пользовательских шаблонов безопасности.
Для сохранения откорректированного стандартного шаблона безопасности под другим именем:
|
|
1.
|
Укажите откорректированный стандартный шаблон и нажмите правую кнопку мыши.
|
|
2.
|
В появившемся контекстном меню выберите команду
Сохранить как
(Save As).
|
|
3.
|
Введите с клавиатуры новое имя файла (например, custom.inf). По умолчанию шаблоны безопасности располагаются в каталоге
%SystemJRoot98\Security
\Templates.
Пользовательский шаблон будет добавлен в определенную заранее конфигурацию безопасности и сохранен под введенным вами именем.
Сценарии (Scripts)
Сценарии (Scripts)
С помощью этого расширения можно задать сценарии, которые должны выполняться на компьютере при загрузке и завершении работы операционной системы, а также при регистрации пользователя в системе и окончании сеанса работы. Выполнять сценарии, написанные на Visual Basic Scripting Edition и JScript, можно с помощью сервера сценариев Windows Windows Scripting Host. Это независимый от языка сервер выполнения сценариев, предназначенный для 32-разрядных платформ Windows.
Для задания сценариев:
|
|
1.
|
Запустите оснастку
Групповая политика.
|
|
2.
|
Если необходимо задать сценарий, выполняющийся при загрузке операционной системы или завершении ее/работы, откройте узел
Конфигурация компьютера.
|
|
3.
|
Чтобы задать сценарий, выполняющийся при регистрации пользователя в системе и выходе из системы, откройте узел
Конфигурация пользователя.
|
|
4.
|
Откройте узел
Сценарии.
|
|
5.
|
В правом подокне окна оснастки
Групповая политика
появится пара образов сценариев:
Автозагрузка/Завершение
(Startup/Shutdown) — для компьютера и
Вход в систему/Выход из системы
(Logon/Logoff) — для пользователя.
|
|
6.
|
Для подключения сценария укажите соответствующий образ и нажмите правую кнопку мыши. В контекстном меню выберите команду
Свойства.
Откроется окно диалога свойств сценариев.
|
|
7.
|
В этом окне нажмите кнопку
Добавить.
Откроется окно диалога Добавление
сценария
(Add a Script), в котором введите имя присоединяемого сценария и задайте необходимые значения параметров. Если имя сценария неизвестно, нажмите кнопку
Обзор
— отобразится содержимое папки, где по умолчанию хранятся сценарии (каждый тип сценария находится в собственной папке на общем томе SYSVOL). Здесь можно выбрать необходимый сценарий. Для быстрого перехода к папке со сценариями служит кнопка
Показать файлы
(Show Files) в окне свойств сценариев.
|
|
8.
|
После завершения ввода информации нажмите кнопку ОК.
Схема именования GPO и его структура
При запуске оснастка
Групповая политика
загружает корневой узел, представляющий собой GPO, присоединенный к определенному контейнеру. Имя этого GPO и имя контейнера, к которому он присоединен, отображаются в окне структуры в следующем формате:
Политика Имя_СРО[.Имя_домена.сот]
Затем пространство имен подразделяется на два узла более низкого уровня
— Конфигурация компьютера
(Computer Configuration) и
Конфигурация
пользователя
(User Configuration). Используя их, можно создавать и настраивать групповые политики для компьютера и пользователей.
Создание личной базы данных и анализ компьютера
База данных, с помощью которой выполняется анализ безопасности системы, задается следующим образом:
|
|
1.
|
Запустите оснастку
Анализ и настройка безопасности
и нажмите правую кнопку мыши на корне структуры.
|
|
2.
|
В появившемся контекстном меню выберите команду
Открыть базу данных
(Open Database).
|
|
3.
|
Введите имя новой базы данных и нажмите кнопку ОК. По умолчанию базы данных располагаются в каталоге
Имя_диска\Оосимегй&
and Settings
\Имя_пальзователя\Му
Documents\Security\Database.
|
|
4.
|
В следующем окне выберите шаблон безопасности, информация которого должна быть перенесена в создаваемую базу данных, и нажмите кнопку
Открыть.
По умолчанию шаблоны безопасности находятся в каталоге %iSystemRoot%\Security\Templates.
Анализ безопасности по личной базе данных.
В данном случае вы анализируете одну из возможных политик безопасности, которая впоследствии может стать системной политикой, но только после тщательного анализа ее правильности.
Для того чтобы выполнить анализ безопасности системы по личной базе данных:
|
|
1.
|
Выберите корень оснастки
Анализ и настройка безопасности и нажмите
правую кнопку мыши. Если база данных конфигураций безопасности только что была создана (см. выше), то нужно перейти к пункту 3.
|
|
2.
|
С помощью команды
Открыть базу данных
открывшегося контекстного меню загрузите личную базу данных.
|
|
3.
|
В том же контекстном меню выберите команду
Анализ компьютера
(Analyze Computer Now).
|
|
4.
|
Введите с клавиатуры имя файла журнала и нажмите кнопку
ОК.
По умолчанию файлы журналов создаются в каталоге
Имя_диска\
Documents and Settings
\Имя_пользователя
\Local Settings\Temp.
Соответствие модулей DLL расширениям оснастки Групповая политика на клиентской стороне
Таблица 27.1.
Соответствие модулей DLL расширениям оснастки
Групповая политика
на клиентской стороне
|
|
Расширение на клиентской стороне
|
Имя модуля DLL
|
|
Административные шаблоны
|
Usernv.dll
|
|
Квоты диска (Disk Quota)
|
Diskquota.dll
|
|
Переназначение папки
|
Fdeploy.dll
|
|
Сценарии
|
Gptext.dll
|
|
Установка программ
|
Appmgmts.dll
|
|
Безопасность (Security)
|
Scecli.dll
|
|
Безопасность IP
|
Gptext.dll
|
|
Восстановление EPS (EPS Recovery)
|
Scecli.dll
Указание контроллера домена, выбираемого оснасткой Групповая политика по умолчанию
Указание контроллера домена, выбираемого оснасткой Групповая политика по умолчанию
Определить, какой контроллер домена (Domain Controller, DC) выбирается по умолчанию оснасткой
Групповая политика
при работе с GPO, можно двумя способами: указать это в самой оснастке Групповая политика или установить политику выбора контроллера домена (см. следующий раздел).
В первом случае необходимые установки выполняются с помощью команды
DC Options.
Для настройки контроллера домена, выбираемого по умолчанию:
|
|
1.
|
Запустите оснастку
Групповая политика
для групповой политики контроллера домена.
|
|
2.
|
Выберите корневой узел.
|
|
3.
|
Выберите в меню
Вид
команду
Параметры контроллера домена
(DC Options). Откроется окно диалога
Параметры для выбора контроллера домена
(Options for domain controller selection) (Рисунок 27.7).
|
|
Установка новой политики безопасности системы с помощью шаблона
Установка новой политики безопасности системы с помощью шаблона
Процесс установки новой политики безопасности состоит из нескольких описанных ниже этапов.
Импорт конфигурации безопасности в базу данных системной политики безопасности. Чтобы импортировать некоторую конфигурацию:
|
|
1.
|
Выберите папку
Анализ и настройка безопасности
и нажмите правую кнопку мыши.
|
|
2.
|
В появившемся контекстном меню выберите команду
Импорт шаблона
(Import Template).
|
|
3.
|
В открывшемся окне введите с клавиатуры имя шаблона безопасности и нажмите кнопку
Открыть.
При необходимости можно установить флажок
Очистить эту базу данных перед импортом
(Clear this database before inporting).
В результате в базу данных безопасности будет занесена новая информация о настройках, хранящаяся в указанном вами шаблоне безопасности.
Анализ и корректировка настроек безопасности.
Конфигурацию из импортированного шаблона можно проанализировать и при необходимости скорректировать отдельные параметры безопасности. Для этого нужно двойным щелчком выбрать параметр и в диалоговом окне установить требуемые значения или изменить существующие. Затем анализ можно повторить.
Активизация новых настроек безопасности, занесенных в базу данных.
Для анализа новой конфигурации:
|
|
1.
|
Выберите папку
Анализ и настройка безопасности
и нажмите правую кнопку мыши.
|
|
2.
|
В контекстном меню выберите команду
Настроить компьютер.
|
|
3.
|
В открывшемся окне введите с клавиатуры имя файла журнала и нажмите кнопку ОК.
Появится окно, показывающее этапы установки новой конфигурации безопасности системы. По завершении конфигурирования настройки безопасности системы будут соответствовать значениям параметров безопасности, заданных выбранным вами шаблоном. После настройки компьютера использованная база данных выгружается.
Экспорт политики безопасности системы.
Оснастка
Анализ и настройка безопасности
позволяет не только импортировать конфигурацию безопасности системы, определенную в шаблоне, но и экспортировать текущую конфигурацию безопасности в файл после выполнения анализа конфигурации. Для экспорта конфигурации безопасности системы:
|
|
1.
|
Выберите папку
Анализ и настройка безопасности
и нажмите правую кнопку мыши.
|
|
2.
|
В появившемся контекстном меню выберите команду
Экспорт шаблона
(Export Template).
|
|
3.
|
В открывшемся окне введите с клавиатуры имя нового файла шаблона безопасности и нажмите кнопку
Сохранить.
Установка программ (Software Installation)
Оснастка
Установка программ
предназначена для организации централизованного управления установкой программного обеспечения на компьютеры сети Windows 2000. Она позволяет настроить два режима установки ПО на группу компьютеров , или для группы пользователей —
назначение
(assignment) и
публикация
(publishing).
Назначение ПО группе пользователей или компьютеров предполагает, что все пользователи, которым необходима данная программа, будут автоматически получать ее без привлечения администраторов или технического персонала. Если для приложения установлен принудительный режим, ярлык, соответствующий данной программе, появляется в меню Пуск, а в реестр заносится информация о данном приложении, включая местоположение пакета и других файлов, необходимых для установки данного ПО. При первом обращении пользователя к ярлыку соответствующее программное обеспечение устанавливается и запускается.
Публикация программного обеспечения предполагает, что пользователь сам сможет решить, устанавливать ему данное приложение или нет. В данном случае ярлык в меню
Пуск
не появляется, локальный реестр тоже не изменяется. Вся информация, необходимая для установки программы, находится в Active Directory. Для установки программы:
|
|
1.
|
Запустите утилиту Установка и удаление программ (Add/Remove Programs) из панели управления.
|
|
2.
|
В окне диалога
Установка и удаление программ
нажмите кнопку
Установка новой программы
(Add New Programs).
|
|
3.
|
Система выполнит поиск, всех программных пакетов, для которых настроена публикация. Результат, поиска (список всех приложений, для установки которых настроена публикация) будут отображены в поле
Установка программ из сети
(Add programs from your network).
|
|
4.
|
Щелчком выберите нужную программу,
Для настройки автоматической установки программного обеспечения на компьютеры клиентов:
|
|
1.
|
Запустите оснастку
Групповая политика.
|
|
2.
|
Откройте узел
Установка программ.
|
|
3.
|
В правом подокне или на узле
Установка программ
нажмите правую кнопку мыши. В открывшемся контекстном меню выберите команду
Создать | Пакет
(New | Package).
|
|
4.
|
Откроется окно диалога
Открыть,
в котором нужно перейти к местоположению настраиваемого программного пакета, выбрать его и нажать кнопку
Открыть.
|
|
5.
|
Откроется окно диалога
Развертывание программ
(Deploy Software). Укажите в нем, какой метод развертывания программного пакета необходим:
публичный
(Published) (этот режим может быть установлен только для пользователя),
назначенный
(Assigned) или
публичный или назначенный с особыми свойствами
(Advanced published or assigned). В последнем случае откроется окно диалога
Свойства
для настройки необходимых свойств программного пакета. Если в дальнейшем понадобится изменить свойства программного пакета, настроенного для автоматической установки, щелкните на нем дважды в правом подокне.
Для удаления программного пакета из автоматической установки:
|
|
1.
|
В правом подокне укажите удаляемый пакет и нажмите правую кнопку мыши.
|
|
2.
|
В контекстном меню выберите команду Все задачи (All Tasks). В появившемся подменю выберите команду Удалить.
Утилита командной строки secedit
Утилиту secedit.exe можно использовать из командной строки или с Диспетчером задач для активизации и анализа некоторой конфигурации безопасности. Secedit.exe загружает в локальную базу данных настройки безопасности, определенные в шаблоне. Загруженные новые настройки безопасности начинают работать в следующих случаях:
|
|
|
После перезагрузки машины.
|
|
|
Когда администратор конфигурирует систему с помощью оснастки
Анализ и настройка безопасности
(режим
Настроить компьютер
(Configure Computer Now)).
Существуют следующие варианты синтаксиса команды secedit:
|
|
|
Для выполнения анализа безопасности введите команду:
eecedit /analyze /DB ймя_файла [/CFG
Имя_файла]
[/log
Путь_к_журналу ]
[/verbose] [/quiet]
где
/db
имя_файла —
путь к базе данных, с помощью которой выполняется анализ. Результаты анализа заносятся в самой базе данных вместе с находящейся в ней информацией о настройках безопасности. Этот параметр является обязательным.
/cfg
имя_файла —
имеет значение только при условии, что предыдущий параметр задает имя новой (еще не существующей) базы данных. Тогда значение
Имя_файла
в данном параметре определяет файл конфигурации, который должен быть загружен в новую (только что созданную) базу данных перед выполнением анализа.
/log
путь_к_журналу —
путь к журналу процесса. Если данный параметр не задан, по умолчанию используется путь
%SystemRoot%\Security\
Logs\Scesrv.log.
/verbose — в журнал должна быть занесена подробная информация о ходе анализа.
/quiet — ничего не заносить в журнал и не выводить на экран.
|
|
|
Для выполнения конфигурации безопасности введите команду:
secedit /configure /DB
Имя_файла
[/CFG
Иня_файла]
[/overwrite] [/areas Области...] [/log
Путь_к_журналу]
[/verbose] [/quiet]
- где
/db
имя_файла —
путь к базе данных, с помощью которой выполняется конфигурация безопасности. Этот параметр является обязательным. /cfg
имя_файла —
значение
Имя_файла
определяет файл конфигурации, который должен быть загружен в новую (только что созданную) базу данных перед выполнением конфигурации безопасности.
/overwrite — применяется только совместно с параметром /cpg. Этот параметр говорит, что информация, загружаемая из файла, указанного в параметре /cfs, должна перезаписать любую существующую конфигурацию, находящуюся в базе данных.
/areas
области... —
определяет, какие области обеспечения безопасности будут подвергаться конфигурации. По умолчанию конфигурируются все области. Если в данном параметре вводится несколько значений, они должны быть разделены пробелами. Перечислим значения данного параметра:
securitypolicy — определяет локальную политику и политику домена, применяемые к данной системе.
group_mgmt — настройки групп с ограниченным членством.
user_rights — привилегии пользователей при регистрации и работе с объектами Active Directory.
regkeys — разделы реестра.
filestore — безопасность локально хранимых файлов.
services — настройки безопасности для всех служб.
/log
Путь_к_журналу —
путь к журналу процесса. Если данный параметр не задан, по умолчанию используется путь
%SystemRoot98\Secur\ty\
Logs\Scesrv.log.
/verbose — в журнал должна быть занесена детальная информация, /quiet — ничего не заносить в журнал и не выводить на экран.
|
|
|
Для обновления политики введите команду:
secedit /refreshPolicy {MACHINE_POLICY | USER_POLICY} [/enforce]
где
machine_policy — обновляемая политика для локальной машины.
oser_policy — обновляемая политика для зарегистрировавшегося пользователя.
/enforce — предписывает заново применить политику, даже в случае, если в GPO не было сделано никаких изменений.
|
|
|
Для проверки целостности базы данных введите команду: secedit /validate
Имя_файла
где
Имя_файла
— имя файла базы данных, целостность которой необходимо проверить.
Узел Конфигурация компьютера (Computer Configuration)
Узел
Конфигурация компьютера
содержит параметры всех политик, определяющих работу
компьютера.
Они регулируют функционирование операционной системы вид рабочего стола, задают параметры выполняемых приложений определяют работу средств обеспечения безопасности и т. д. Групповая политика применяется к компьютеру на этапе загрузки системы и в дальнейшем при выполнении циклов обновления, о которых сказано ниже.
Узел Конфигурация пользователя (User Configuration)
Узел Конфигурация пользователя
содержит параметры всех политик, определяющих работу
пользователя
на компьютере. Они регулируют вид рабочего стола как и в предыдущем случае, задают параметры выполняющихся приложений, определяют работу средств обеспечения безопасности и пользовательских сценариев входа и выхода. Групповая политика применяется к пользователю при его регистрации на компьютере и в дальнейшем при выполнении циклов обновления.
Загрузка оснастки Шаблоны безопасности
Для работы с оснасткой
Шаблоны безопасности
необходимо запустить консоль управления Microsoft и подключить к ней оснастку. Для знакомства с шаблонами в окне оснастки откройте, например, узел
Шаблоны безопасности,
щелчком выберите шаблон безопасности securews и просмотрите его папку
Политика паролей
(Рисунок 27.8).
Как показано на Рисунок 27.8, помимо раскрытого шаблона безопасности securews.inf существуют и другие стандартные шаблоны, конфигурации которых позволяют получить различные по надежности системы безопасности.
Бизнес в интернете: Сайты - Софт - Языки - Дизайн