Обеспечение безопасности в Windows NT

В Windows NT все необходимые настройки хранятся в базе данных Менеджера учетных записей. К ним относятся:

· учетные записи пользователей;

· учетные записи групп;

· учетные записи компьютеров домена;

· учетные записи доменов.

База данных Менеджера учетных записей представляет собой куст системного реестра, находящегося в ветви HKEY_LOCAL_MACHINE, и называется SAM.

В разделе учетных записей пользователей хранится информация об именах и паролях. Пароли хранятся в защищенном, а не текстовом виде.

Для защиты информации, хранящейся в базе данных SAM, необходимо следующее:

· исключить загрузку серверов в DOS-режиме (все разделы установить под NTFS, желательно установить на BIOS пароль);

· после установки или обновления удалить файл Sam.sav;

· отменить кэширование информации о безопасности на компьютерах домена (имена и пароли последних десяти пользователей, регистрировавшихся ранее на данном компьютере, сохраняются в его локальном реестре).

Домен – это основная единица администрирования и обеспечения безопасности в Windows NT. Для домена существует общая база данных учетной информации пользователей (user accounts), так что при входе в домен пользователь получает доступ сразу ко всем разрешенным ресурсам всех серверов домена.

Одним из методов проникновения в систему является подбор пароля. Для борьбы с этим обычно устанавливают блокировку учетной записи пользователя после определенного числа неудачных попыток входа.

Для защиты рекомендуется запретить администратору вход в систему через сеть, установить протоколирование неудачных входов. Необходимо ввести фильтрацию вводимых пользователем паролей, при создании нового пароля проверять, что:

· длина пароля не менее шести символов;

· пароль содержит прописные или строчные группы латинского алфавита, арабские цифры 0,1,2,…,9, некоторые не арифметические (специальные) символы;

· пароль не состоит из имени пользователя или любой его части;

· и т.п.

Для включения данной фильтрации необходимо в реестре в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa добавить: Параметр – Notification Packages, Тип – REG_MULTI_SZ, Значение – PASSFILT.

Операционная система Windows NT поддерживает файловые системы FAT и NTFS. Основное отличие файловой системы NTFS от других (FAT, VFAT (Virtual File Allocation Table), HPFS) состоит в том, что только она удовлетворяет стандарту безопасности C2 (по четырехуровневому стандарту США).

Защиту ресурсов с использованием FAT можно организовать с помощью прав доступа: Чтение, Запись, Полный.

Можно рекомендовать создавать дисковые разделы NTFS вместо FAT. Если все же необходимо использовать раздел FAT, то его надо сделать отдельным разделом для приложений MS DOS и не размещать в нем системные файлы Windows NT.

Поскольку файлы и каталоги в Windows NT являются объектами, контроль безопасности осуществляется на объектном уровне.

В операционной системе Windows NT управление доступом к файлам и каталогам NTFS возлагается не на администратора, а на владельца ресурса и контролируется системой безопасности с помощью маски доступа (access mask), содержащейся в записях списка контроля доступа.

В одном из списков определяется, каким пользователям и группам разрешен или запрещен доступ к данному ресурсу. Именно этим списком может управлять владелец объекта.

В другом списке задается определенный владельцем тип доступа, что заставляет систему генерировать записи проверки в системном протоколе событий. Только системный администратор управляет этим списком.

На самом же деле для администрирования используются не отдельные права доступа, а разрешения (permissions) NTFS. Разрешения подразделяются на:

· индивидуальные — набор прав, позволяющий предоставлять пользователю доступ того или иного типа;

· стандартные — наборы индивидуальных разрешений для выполнения над файлами или каталогами действий определенного уровня;

· специальные — комбинация индивидуальных разрешений, не совпадающие ни с одним стандартным набором.

Количество пользователей с правами администратора рекомендуется свести к минимуму.

Аудит — еще одно из средств защиты сети Windows NT. С его помощью можно отслеживать действия пользователей и ряд системных событий в сети. Фиксируются следующие параметры, касающиеся действий, совершаемых пользователями:

· выполненное действие;

· имя пользователя, выполнившего действие;

· дата и время выполнения.

Аудит, реализованный на одном контроллере домена, распространяется на все контроллеры домена. Настройка аудита позволяет выбрать типы событий, подлежащих регистрации, и определить, какие именно параметры будут регистрироваться.

Windows NT записывает события в три журнала:

· Системный журнал (system log) содержит сообщения об ошибках, предупреждения и другую информацию, исходящую от операционной системы и компонентов сторонних производителей.

· Журнал безопасности (Security Log) содержит информацию об успешных и неудачных попытках выполнения действий, регистрируемых средствами аудита.

· Журнал приложений (Application Log) содержит сообщения об ошибках, предупреждения и другую информацию, выдаваемую различными приложениями.

В последних версиях Windows NT система безопасности позволяет реализовать все новые подходы к проверке подлинности пользователя и защиты данных. В ее состав входит:

· протокол проверки подлинности Kerberos — стандарт безопасности для Internet, реализуемый как основной протокол проверки подлинности входа в сеть;

· проверка подлинности с применением сертификатов, основанных на открытых ключах;

· файловая система с шифрованием.

Для того, чтобы обеспечить совместимость с существующими клиентами, предоставить более эффективные механизмы безопасности и сделать возможным взаимодействие в гетерогенных сетях, в Windows NT поддерживается несколько протоколов безопасности:

· протокол проверки подлинности Windows NT LAN Manager (NTLM);

· протокол проверки подлинности Kerberos;

· протокол распределенной проверки подлинности паролей;

· протоколы, основанные на открытых ключах и применяемые в основном для связи между программами просмотра и Web-серверами.

· Для единообразного обращения к различным протоколам разработан новый интерфейс прикладного программирования Win32 — интерфейс поставщиков поддержки безопасности (Security Support Provider Interface, SSPI). SSPI позволяет изолировать проверку подлинности пользователя, которая может осуществляться по разным протоколам, — от применяющих ее служб и приложений.