На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Сетевая модель безопасности и совместного использования ресурсов

Начиная с операционной системы WindowsХР, а также в Windows Server 2003 компания Microsoft реализовала некоторые изменения относительно способа управления доступом к совместно используемым ресурсам. В локальной или глобальной Security Policy (политика безопасности) можно установить одно из двух следующих значений для параметра "Network access: Sharing and security model for local accounts" ("Доступ по сети: модель безопасности и совместного доступа для локальных учетных записей").
т Classic (классический) — локальные пользователи аутентифицируются под своими учетными записями.
* Guest only (только гости) — локальные пользователи всегда аутентифицируются как Guest.
Значение Guest only пригодится для систем, в которых для совместного доступа предос­тавлено большое количество файлов. Это позволяет предоставить одинаковый уровень досту­па ко всем совместно используемым данным. Мы рекомендуем оставить значение Classic, по­скольку всегда лучше точно знать, кто получает доступ к ресурсам.
Преобразование данных службы Passport
Одно из наиболее интересных свойств новой операционной системы Windows Server 2003 за­ключается в возможности использовать аутентификационные данные службы Passport для учет­ных записей Active Directory. Microsoft .NET Passport — это Web-служба, управляемая корпора­цией Microsoft. Более подробную информацию об этой службе можно найти в источниках, ука­занных в конце этой главы в разделе "Дополнительная литература и ссылки" и в книге Секреты хакеров. Безопасность Web-приложений — готовые решения, Джоел Скембрей, Майк Шема, Йен-Минг Чен, Дэвид Вон. Вильяме, 2003.
Основное преимущество использования аутентификационных данных службы Passport в ка­честве учетных записей Active Directory заключается в предоставлении пользователям возмож­ности доступа к ресурсам систем Windows без необходимости применения какого-либо прото­кола аутентификации (см. табл. 2.8). Например, рассмотрим Internet-службу типа "компания-клиент" (В2С— business-to-consumeг), основанную на службе Active Directory, которая "не хо­чет" использовать NTLM-аутентификацию для предоставления доступа удаленным пользовате­лям. Служба Passport позволяет упростить задачу аутентификации пользователей через Internet и практически полностью управляется третьей стороной (компанией Microsoft).
Со стороны пользователей не требуется никаких серьезных усилий, чтобы организовать такого рода аутентификацию. Однако на сервере придется поработать. Поскольку в службе Passport используется аутентификация по методу общедоступного ключа, то организация должна стать официальным партнером службы Passport, быть добавлена в соответствующие списки и установить набор средств Passport SDK, используя предоставленный ключ на серве­рах приложений. Это позволит приложению расшифровывать аутентификационные данные службы Passport и осуществлять аутентификацию пользователей. Кроме того, должны быть выполнены некоторые строгие требования службы Passport, и придется провести тщательное тестирование до того, как в организации будет реализована аутентификация с помощью службы Passport.
После синхронизации со службой Passport выполняется настройка IIS-ресуреов. Это не­сложный процесс, как показано на 6. На этом этапе можно выбрать домен службы AD, для которого требуется аутентификация с помощью .NET Passport (в нашем примере это до-
мен vegas . nv). После того как служба Passport провела аутентификацию пользователя, при­ложение может использовать Active Directory для авторизации этого пользователя1.
Использование службы Passport для аутентификации пользователей открывает захваты­вающие перспективы для компаний, которые хотят управлять авторизацией своих Web-Приложений, используя инфраструктуру службы AD. При этом нельзя забывать о необходи­мости выполнения подготовительных работ. Наличие позиции для отметки simple.NET Pass­port Authentication в оснастке Active Directory Users and Computers (Active Directory — пользо­ватели и компьютеры) означает, что на компьютере установлено приложение, которое ус­пешно использует аутентификацию с помощью службы Passport.
А какое влияние на систему защиты оказывает применение аутентификации пользовате­лей с помощью службы Passport? Провести оценку безопасности этой службы довольно сложно, поскольку на данное время она уникальна, а ее конкуренты появятся только в отда­ленной перспективе. Не так давно в этой службе были выявлены несколько серьезных про­блем безопасности. Описания этих проблем можно найти в статьях, ссылки на которые при­ведены в конце главы, в разделе 1 "Дополнительная литература и ссылки".
-
Аудит
Мы много говорили об аутентификации и контроле доступа, но подсистема защиты се­мейства операционных систем Windows NT способна на большее, чем просто разрешать или запрещать доступ к ресурсам. Она также может вести аудит такого доступа. Политика аудита
1 Часто возникает путаница в понятиях аутентификация и авторизация. Аутентификация — это процесс иден­тификации пользователя, удостоверение его личности в определенной системе авторизации. Аутентификация не Отвечает на вопрос о том, имеет ш пользователь доступ к данным ресурсам, а только проверяет, тот ли он, за Кого себя выдает. Авторизация — процесс, который отвечает на вопрос о том, разрешено ли данному пользователю выполнение запрошенной операции. Авторизация происходит после аутентификации и использует идентификатор пользователя, чтобы опред&шть, доступ к каким ресурсам ему разрешен — Прим. ред.
в Windows Server 2003 определяет, какие события необходимо регистрировать, и настраивает­ся с помощью оснастки Security Policy (Политика безопасности). Политика аудита хранится в подсистеме Local Security Authority Subsystem (LSASS — подсистема полномочий локальной безопасности) (см. 7), которая передает ее программе Security Service Monitor (SRM — монитор безопасности служб) при загрузке и после внесения изменений. Служба SRM рабо­тает совместно с диспетчером объектов (Object Manager) Windows Server 2003, они создают за­писи аудита и передают их подсистеме LSASS. Подсистема LSASS добавляет некоторые до­полнительные сведения (такие, как идентификаторы SID учетной записи, которая получает доступ и т.п.) и записывает всю информацию в журнал регистрации событий (Event Log), ко­торый в свою очередь копирует данные в журнал безопасности (Security Log).
Если для объекта определен аудит, то объект заносится в системный список контроля дос­тупа (SACL — System Access Control List). Список SACL определяет, информацию о каких операциях и каких пользователях необходимо записывать в журнал безопасности. Можно протоколировать как успешные, так и неудачные попытки.
Для систем Windows Server 2003 мы рекомендуем устанавливать наиболее агрессивную политику аудита, т.е. включить аудит успешных/неудачных попыток для всех событий в сис­теме Windows Server 2003 за исключением отслеживания процессов (process tracking), как по­казано на 7.
Отметим, что включение аудита доступа к объекту не обязательно включает аудит всех ви­дов доступа, а лишь означает возможность аудита доступа к объекту. Режим аудита необходи­мо устанавливать для каждого отдельного объекта. На контроллерах доменов, работающих под управлением Windows Server 2003, полный аудит обращений к каталогу может привести к значительному снижению производительности. Устанавливаемые настройки аудита долж­ны соответствовать выполняемым функциям конкретного компьютера.
Управление регистрацией событий
В крупных сетях при работе с Windows Server 2003 основную проблему составляет даже не то, какие объекты должны быть выбраны для аудита, а как управлять сохраненными данны­ми. Если говорить коротко, то мы рекомендуем установить максимальный объем журнала безопасности событий (Security Event Log) и возможность перезаписи (при необходимости) для большинства приложений. Размеры Application Log (журнал приложений) и System Log (системный журнал) должны составлять около 20 % от этого объема.
-
Часть \. Основы
Размер журнала регистрации событий и другие подобные настройки политики домена могут быть заданы с помощью Group Policy Object Editor (Редактор объекта групповой политики). Для настройки журнала регистрации событий можно также выбрать Computer Configuration (Конфигурация компьютера)1* Windows Settings (Параметры Windows)^Security Settings (Параметры безо­пасности)* Event Log (Журнал регистрации событий).
В системах Windows Server 2003 может быть установлен новый программный продукт от компании Microsoft— MACS (Microsoft Audit Collection System). Система MACS позволяет сохранять события, связанные с безопасностью систем, в сжатом, зашифрованном формате с применением цифровой подпи­си, а также добавляет информацию об этих событиях в базу данных SQL, что позволяет оптимизировать их анализ.
Криптография

В этой главе основное внимание уделяется базовым возможностям контроля доступа, имеющимся в операционной системе. А что можно сказать об улучшенных средствах безо­пасности, например криптографии? Начиная с Windows 2000, для каждой учетной записи пользователя создается пара ключей открытый/секретный, которые используются операци­онной системой для выполнения многих важных операций. Хакер, взломавший учетную за­пись пользователя, как правило, получает доступ к криптографическим ключам этой учетной записи. Мы рассмотрим классический пример такого взлома в главе 15, "Атаки отказа в об­служивании", при изучении того, как шифрующая файловая система EFS использует крип­тографические ключи учетных записей для шифрования файлов.
В таблице 2.9 приведены сведения об элементах криптографии в системе Windows Server 2003.
Таблица 2.9. Криптографические ключи
Ключ
Место хранения
Комментарий
Секретный ключ пользователя
Основной ключ пользователя
Сертификаты открытого ключа пользователя
Резервный основной ключ (backup/restore master key) контроллера домена
%userpjrofiJ(e%\Application DaeaX
Microsoft\crypto\RSA\ (также на контроллере домена при использовании роуминга]
%userprofiIe%\Application DataX Microsof c\protect (также на контроллере домена при использовании роуминга)
%userprofile%\Application DataX MicrosoftXSystemCertificatesX MyXCertificates
Хранится как Global ISA Secret (глобальный секрет LSA) в разделе HKLM реестра SAM на локальном компьютере
Все файлы в этом каталоге зашифрованы с помощью основного ключа пользователя по алгоритму RC4 [128- или 56-разрядному в зависимости от локализации)
Основной ключ зашифровывается автоматически службой Protected Storage
Обычно используются для предоставления другим пользователям возможности зашифровать данные, которые смогут быть расшифрованы только с помощью секретного ключа пользователя
Используется для восстановления основного ключа пользователя вне зависимости от пароля пользователя
Для просмотра информации о сертификатах пользователя можно использовать панель управления сертификатами (ММС — Certificates Microsoft Management Console). Каталог RSA не может быть переименован или перемешен, поскольку именно в этом каталоге системное
приложение Cryptographic Service Provider (поставщик криптографической службы) ищет криптографические ключи. Для каталогов System Certificates, RSA и Protect установлен атри­бут "системный". Это предотвращает хранящиеся в них файлы от шифрования системой EFS (при шифровании этих файлов они стали бы недоступными).
В Microsoft Outlook используется собственный интерфейс для импортирова­ния/экспортирования ключей S/MIME (для шифрования и создания электрон­ных подписей сообщений электронной почты), но это не позволяет организо­вать серьезную защиту доступа с помощью секретного ключа.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика