Главная Случайная страница Контакты | Мы поможем в написании вашей работы! | ||
|
Операционная система Windows NT всегда обладала прекрасными и широко применимыми на практике возможностями защиты. Однократная регистрация в домене Windows NT предоставляет пользователям доступ к ресурсам всей корпоративной сети.
Полноценный набор инструментов Windows 2000 Server облегчает администраторам управление системой защиты и ее поддержку.
Например, администратор может контролировать круг пользователей, имеющих права доступа к сетевым ресурсам: файлам, каталогам, серверам, принтерам и приложениям. Правами для каждого ресурса можно управлять централизованно.
Учетные записи пользователей также управляются централизованно. С помощью простых графических инструментов администратор задает принадлежность к группам, допустимое время работы, срок действия и другие параметры учетной записи. Администратор получает возможность аудита всех событий, связанных с защитой доступа пользователей к файлам, каталогам, принтерам и иным ресурсам.
Система также способна блокировать учетную запись пользователя, если число неудачных попыток регистрации превышает заранее определенное. Администраторы вправе устанавливать срок действия паролей, принуждать пользователей к периодической смене паролей и выбору паролей, затрудняющих несанкционированный доступ.
С точки зрения пользователя система защиты Windows 2000 Server полноценна и несложна в обращении. Простая процедура регистрации обеспечивает доступ к соответствующим ресурсам. Для пользователя невидимы такие процессы, как шифрование пароля на системном уровне. (Шифрование пароля нужно, чтобы исключить передачу пароля в открытом виде по сети и воспрепятствовать его обнаружению при несанкционированном просмотре сетевых пакетов.)
Пользователь сам определяет права доступа к тем ресурсам, которыми владеет. Например, чтобы разрешить совместное использование своего документа, он указывает, кто и как может с ним работать.
Разумеется, доступ к ресурсам предприятия контролируется только администраторами с соответствующими полномочиями.
Более глубокий уровень безопасности — то, как Windows 2000 Server защищает данные, находящиеся в физической памяти компьютера.
Доступ к ним предоставляется только имеющим на это право программам.
Так же, если данные больше не содержатся на диске, система предотвращает несанкционированный доступ к той области диска, где они содержались.
При такой системе защиты никакая программа не «подсмотрит» в виртуальной памяти машины информацию, с которой оперирует в данный момент другое приложение.
Однако интрасети быстро становятся наиболее эффективным способом совместного использования информации бизнес-партнерами.
Сегодня доступ к закрытой деловой информации управляется созданием учетных записей для новых внешних членов деловой «семьи».
Это помогает устанавливать доверительные отношения не только с сотрудниками корпорации, но и с множеством партнеров.
Удаленный доступ через открытые сети и связь предприятий через Интернет стимулируют постоянное и быстрое развитие технологий безопасности.
В качестве примера можно выделить сертификаты открытых ключей и динамические пароли. Но архитектура безопасности Windows NT однозначно оценивается как превосходящая и эти, и многие будущие технологии.
Право на такое утверждение дают новые возможности и усовершенствования, появившиеся в Windows 2000.
Часть этих изменений отражает требования к защите крупных организаций, другая — позволяет использовать преимущества гибкой архитектуры безопасности Windows NT, объединенной с сертификатами открытых ключей Интернета.
Перечислим новые функции безопасности Windows 2000.
• Информация о доменных правилах безопасности и учетная информация хранятся в каталоге Active Directory.
Служба каталогов Active Directory обеспечивает тиражирование и доступность учетной информации на многих контроллерах домена, а также позволяет удаленное администрирование.
• В Active Directory поддерживается иерархичное пространство имен пользователей, групп и учетных записей машин.
Учетные записи могут быть сгруппированы по организационным единицам (что существенно отличается от плоской структуры имен в предыдущих версиях Windows NT).
• Административные права на создание и управление группами учетных записей пользователей могут быть делегированы на уровень организационных единиц. При этом устанавливаются дифференцированные права доступа к отдельным свойствам пользовательских объектов.
Например, группа пользователей может изменять параметры пароля, но не имеет доступа к другой учетной информации.
• Тиражирование Active Directory позволяет изменять учетную информацию на любом контроллере домена, а не только на первичном.
Многочисленные копии Active Directory, хранящиеся на других (в предыдущих версиях, резервных) контроллерах домена, обновляются и синхронизируются автоматически.
• Доменная модель изменена и использует Active Directory для поддержки многоуровневого дерева доменов.
Управление доверительными отношениями между доменами упрощено за счет транзитивности в пределах всего дерева доменов.
• В систему безопасности включены новые механизмы аутентификации, такие как Kerberos v5 и TLS (Transport Layer Security), базирующиеся на стандартах безопасности Интернета,
• Протоколы защищенных каналов (SSL 3.0/TLS) обеспечивают поддержку надежной аутентификации клиента. Она достигается путем сопоставления мандатов пользователей в форме сертификатов открытых ключей с существующими учетными записями Windows.
Для управления учетной информацией и контроля за доступом применяются одни и те же средства администрирования, независимо от того, используется ли защита с открытым ключом или с общим секретом.
• Дополнительно к регистрации посредством ввода пароля может поддерживаться аутентификация с использованием смарт-карт.
Последние обеспечивают шифрование и надежное хранение закрытых ключей и сертификатов, что особенно важно для надежной аутентификации при входе в домен с рабочей станции.
• В состав новой версии входит Microsoft Certificate Server.
Этот сервер предназначен для организаций и позволяет выдавать сотрудникам и партнерам сертификаты Х.509 версии 3.
В CryptoAPI включены интерфейсы и модули управления сертификатами открытых ключей, включая выданные коммерческим УС (Уполномоченным сертификации), сторонним УС или Microsoft Certificate Server.
Системные администраторы могут указывать, сертификаты каких уполномоченных являются доверяемыми в системе и, таким образом, контролировать аутентификацию доступа к ресурсам.
• Внешние пользователи, не имеющие учетных записей Windows 2000, могут быть аутентифицированы с помощью
сертификатов открытых ключей и соотнесены с существующей учетной записью.
Права доступа, назначенные для этой учетной записи, определяют права внешних пользователей на доступ к ресурсам.
• В распоряжении пользователей простые средства управления парами закрытых (открытых) ключей и сертификатами, используемыми для доступа к ресурсам Интернета.
• Технология шифрования встроена в операционную систему и позволяет использовать цифровые подписи для идентификации потоков.
Дата публикования: 2014-11-29; Прочитано: 642 | Нарушение авторского права страницы | Мы поможем в написании вашей работы!