Jeśli potrzebujesz natychmiastowego rozwiązania następującego problemu: zajrzyj na stronę:
Struktura Active Directory
Zintegrowane zarządzanie kontami zabezpieczeń (Security Account Management)
Korzystanie z przechodnich wzajemnych relacji zaufania
Przekazywanie administrowania
Korzystanie z Listy kontroli dostępu (Access Control List) przy precyzyjnym ustawianiu praw dostępu
Stosowanie protokołów zabezpieczeń
Korzystanie z interfejsu programu obsługi zabezpieczeń SSPI (Security Support Provider Interface)
Protokół uwierzytelniania Kerberos 5
Wykorzystywanie certyfikatów z kluczem publicznym (Public Key Certificates) do zapewnienia bezpieczeństwa w Internecie
Wprowadzanie wzajemnego dostępu pomiędzy przedsiębiorstwami (Interbusiness Access)
Rozwiązania na skalę całego przedsiębiorstwa
Zastosowanie danych uwierzytelniających (credentials) protokołu uwierzytelniania NTLM
Zastosowanie danych uwierzytelniających protokołu uwierzytelniania Kerberos
Zastosowanie pary kluczy prywatny-publiczny i certyfikatów
Zastosowanie protokołu Internet Protocol Security
Zastosowanie wirtualnych sieci prywatnych (Virtual Private Networks)
Zastosowanie narzędzi do konfigurowania zabezpieczeń
Przechodzenie z systemu Windows NT 4 doWindows 2000
Środki bezpieczeństwa w systemie Windows 2000 są elastyczne i mają duże możliwości rozbudowy — od małych przedsiębiorstw, aż do międzynarodowych korporacji, w których ścisłe bezpieczeństwo w sieciach rozległych (WAN) i połączeniach z Internetem jest sprawą priorytetową. Jednak nowe rozwiązania w systemie Windows 2000 w większości dotyczą przedsiębiorstw internetowych.
Bezpieczeństwo w dużych organizacjach osiąga się przez wykorzystywanie hierarchicznych usług katalogowych Windows 2000 Active Directory. Pozostałe zmiany polegają na ułatwionym korzystaniu z:
· łączenia w systemie Windows 2000,
· uwierzytelniania za pomocą internetowych certyfikatów z kluczem publicznym (Internet public key certificates),
· interaktywnego logowania się za pomocą kart elektronicznych.
System Windows 2000 łączy w sobie łatwość użytkowania, dobre narzędzia administracyjne i, zasługującą na zaufanie, infrastrukturę bezpieczeństwa, zarówno w przedsiębiorstwie, jak i w Internecie.
Usługi katalogowe Active Directory w systemie Windows 2000 służą do przechowywania założeń bezpieczeństwa domeny (Domain Security Policy) i informacji o kontach. Umożliwiają replikację i dostęp do danych o kontach dla wielu kontrolerów domeny (Domain Controllers — DCs) i ułatwiają zdalne administrowanie. Obsługują hierarchiczną przestrzeń nazw (namespace) kont użytkowników, grup i komputerów. W odróżnieniu od płaskiej przestrzeni nazw (flat namespace) kont domen w systemie Windows NT 4, konta mogą być pogrupowane w jednostki organizacyjne (Organizational Units — OUs).
Uwaga: W systemie Windows NT przestrzeń nazw domeny składa się z kont użytkowników (User), grup globalnych (Global group), grup lokalnych (Local group) i komputerów. W przestrzeni nazw Windows NT nie ma żadnej hierarchii — wszystko znajduje się na tym samym poziomie. Grupy globalne i grupy lokalne nie mogą być umieszczane jedna w drugiej, chociaż pierwsze z nich mogą zostać ulokowane wewnątrz drugiego typu grup. Grupa globalna nie może dziedziczyć praw ani uprawnień grupy globalnej wyższego poziomu, ponieważ taki poziom w tym przypadku nie istnieje. Jest to tzw. płaska przestrzeń nazw (flat namespace).
W systemie Windows 2000 mamy do czynienia z przeciwną sytuacją. Przestrzeń nazw (namespace) jest hierarchiczna. Jednostki organizacyjne (Organizational Units — OUs) mogą dziedziczyć założenia bezpieczeństwa (security policies) jednostek organizacyjnych (OUs) wyższego poziomu, a sukcesja ta może być blokowana lub wymuszana. Hierarchiczną przestrzeń nazw systemu Windows 2000 opisano w dalszej części niniejszego rozdziału. Jednostki organizacyjne (OUs) oraz obiekty założeń grupowych (Group Policy Objects — GPOs) omówiono szczegółowo w rozdziale 3.
Prawa administracyjne do tworzenia i zarządzania kontami grup lub użytkowników mogą być przekazane na poziom jednostek organizacyjnych (OUs). Z kolei prawa dostępu można przyznać poszczególnym właściwościom (properties) obiektów użytkownika, aby, np. pojedynczy użytkownik lub grupa, mieli prawo zmiany hasła bez możliwości modyfikowania innych informacji o koncie. Replikacja Active Directory pozwala na uaktualnianie kont w dowolnym kontrolerze domeny (DC), podczas gdy w systemie Windows NT 4 można było dokonać uaktualnienia tylko w podstawowym kontrolerze domeny (Primary Domain Controller — PDC). Wielokrotne repliki nadrzędne (multiple master replicas) Active Directory w innych kontrolerach domeny (DCs) są automatycznie uaktualniane i synchronizowane.
Uwaga: W domenach systemu Windows 2000 nie występują podstawowe kontrolery domeny (PDC) — wszystkie kontrolery domeny w systemie Windows 2000 są równe, chociaż jeden kontroler domeny (DC) w danej domenie bierze na siebie rolę emulatora podstawowego kontrolera domeny (PDC). W domenach mieszanych, w których występują podstawowe kontrolery domeny (PDC) systemu Windows NT, kontroler domeny systemu Windows 2000 może być odpowiednikiem zapasowego kontrolera domeny (Backup Domain Controller — BDC). Umożliwia to płynne przejście z systemu Windows NT 4 do Windows 2000.
W systemie Windows 2000 zastosowano nowy model domeny, wykorzystujący Active Directory do obsługi wielopoziomowego – -hierarchicznego drzewa domen (multilevel hierarchical tree of domains). Zarządzanie relacjami zaufania pomiędzy domenami zostało uproszczone dzięki zastosowaniu dwustronnych, przechodnich relacji zaufania (two-way transitive trusts) w całym drzewie domen. Natomiast dzięki drzewom domen i dwustronnym przechodnim relacjom zaufania protokołu Kerberos (Kerberos trusts) jest możliwa rozbudowa systemu Windows 2000. Sytuacja ta została omówiona w poniższym rozdziale 2.
Zagadnienia pokrewnezobacz na stronie
Korzystanie z przechodnich dwustronnych relacji zaufania (Transitive Two Way Trusts)
Możliwości rozbudowy systemu
Bezpieczeństwo systemu Windows obejmuje uwierzytelnianie w oparciu o standardowe internetowe protokoły zabezpieczeń. Kerberos 5, opisany w 4. rozdziale, jest protokołem domyślnym, chociaż Windows NT LAN Manager (NTLM) również jest obsługiwany dla zachowania zgodności z wcześniejszymi wersjami systemu Windows. Protokół Transport Layer Security (TLS), oparty na protokole Secure Sockets Layer 3 (SSL3/TLS), obsługuje uwierzytelnianie klientów poprzez przyporządkowanie danych uwierzytelniających (credentials) do istniejących kont systemu Windows NT, w formie certyfikatu z kluczem publicznym (public key certificate). Jednocześnie zapewnia on ulepszoną obsługę protokołów z kluczem publicznym (public key protocols) w systemie Windows 2000. Zabezpieczenia za pomocą klucza publicznego (public key security) oraz protokół SSL3/TLS omówiono w rozdziale 6. Do zarządzania informacjami o kontach (account information) oraz do kontroli dostępu (access control), stosuje się zwykłe narzędzia administracyjne. Korzysta się przy tym z uwierzytelniania za pomocą klucza tajnego (shared secret authentication) lub z zabezpieczeń z kluczem publicznym (public key security).
Oprócz haseł w systemie Windows 2000 istnieje możliwość wykorzystywania kart elektronicznych (smart cards) do logowania interaktywnego (interactive logon). Karty elektroniczne (smart cards), które, mimo że wyglądają jak zwykłe karty bankomatowe, zawierają tysiąc razy więcej informacji oraz służą do szyfrowania i bezpiecznego przechowywania kluczy prywatnych i certyfikatów, umożliwiając tym niezawodne uwierzytelnianie zabezpieczeń rozproszonych.
Wskazówka: Podstawowe wiadomości o kartach elektronicznych (smart cards), ich rodzajach, wyglądzie zewnętrznym oraz terminologię dotyczącą kart elektronicznych można znaleźć pod adresami www.gemplus.com/basics/what.htm i www.gemplus.com/basics/terms.htm.
Na poziomie sieci system Windows wykorzystuje Internet Protocol Security (IPSec) Protokół ten został omówiony w rozdziale 10., w którym opisano także protokoły tunelowania w wirtualnych Wirtualnych sieciach Sieciach prywatnych Prywatnych (VPNs), np:
· protokół Point to Point Protocol (PPP),
· Point-to-Point Tunneling Protocol (PPTP),
· protokół tunelowania Layer 2 (Layer 2 Tunneling Protocol — L2TP).
W rozdziale 11. opisano Wirtualne Sieci prywatne Prywatne sieci wirtualne (Virtual Private Networks — VPNs), wykorzystywane do zdalnego dostępu poprzez sieci rozległe (WANs), łącznie z Internetem. Protokoły będą omawiane w całej książce, a niniejszy rozdział wprowadzający zawiera jedynie wykaz najbardziej znaczących protokołów. Ich szczegółowe opisy zamieszczone są w dokumentach RFC (Request For Comment). Jeśli, np. będą potrzebne informacje o rozszerzeniach zabezpieczeń systemów nazw domen (Domain Name Systems Security Extensions — RFC 2535) lub na temat współdziałania zabezpieczeń i protokołu zarządzania kluczami (Security Association and Key Management Protocol — RFC 2408), to należy ich szukać pod adresami ftp://ftp..i. si..e. du/innotes/rfc2535..t. xt oraz ftp://ftp..i. si..e. du/innotes/rfc2408..t. xt.
Wskazówka: Lista dokumentów RFC znajduje się pod adresem http://ercole..d. i..u. nito..i. t/CIE/RFC/rfc-ind..h. tm
Zagadnienia pokrewne zobacz na stronie
Instalowanie protokołu z kluczem tajnym (Shared Secrets Protocol)
Stosowanie zabezpieczeń z kluczem publicznym systemu Windows 2000
Instalowanie stacji rejestrowania kart elektronicznych
Serwer certyfikatów Certyfikatów firmy Firmy Microsoft (Microsoft Certificate Server) pozwala organizacjom na wydawanie ich pracownikom i wspólnikom certyfikatów X.509 v. 3. Łączy się to z wprowadzeniem interfejsu aplikacji kryptograficznych (Cryptographic Application Program Interface — CryptoAPI) do zarządzania certyfikatami. Organizacje mogą stosować certyfikaty z kluczem publicznym (public key certificates) wydane przez komercyjną jednostkę certyfikującą (commercial CA), niezależną jednostkę certyfikującą (third-party CA) lub Serwer certyfikatów Certyfikatów firmy Firmy Microsoft (Microsoft Certificate Server). Administratorzy systemów określają, które z jednostek certyfikujących (CA) są godne zaufania w ich środowisku i które certyfikaty od danej chwili będą uznawane przy uwierzytelnianiu klientów i przy uzyskiwaniu dostępu do zasobów.
Wykorzystując certyfikaty z kluczem publicznym (public key certificates) i przydzielając je do istniejących kont użytkowników systemu Windows, można uwierzytelnić użytkowników zewnętrznych, którzy nie mają kont w systemie Windows 2000. Prawa dostępu – — ustanowione dla konta w systemie Windows – — określają, które z zasobów systemu mogą być używane przez użytkowników zewnętrznych. Uwierzytelnianie klientów (client authentication) za pomocą certyfikatu z kluczem publicznym (public key certificate) pozwala na uwierzytelnianie użytkowników zewnętrznych na podstawie certyfikatów wydanych przez zaufane jednostki certyfikujące.
Do zarządzania parami kluczy prywatny-publiczny i certyfikatami, wykorzystywanymi przy dostępie do zasobów internetowych, służą użytkownikom systemu Windows 2000 stosowne narzędzia i okna dialogowe. Skład danych uwierzytelniających zabezpieczenia osobiste, korzystając z bezpiecznego przechowywania na dysku, jest łatwo przenoszony za pomocą standardowego protokołu Personal Information Exchange (PIE). W systemie Windows 2000 wprowadzono obsługę czytników kart elektronicznych (smart card devices).
Zagadnienia pokrewne: zobacz na stronie:
Zakładanie jednostek certyfikujących (Certification Authority)
Instalowanie certyfikatów (CA Certificates)
W systemie operacyjnym zaimplementowano kilka metod szyfrowania, aby wykorzystać podpisy elektroniczne do uzyskiwania uwierzytelnionych strumieni danych. Oprócz podpisanych formantów ActiveX (signed ActiveX controls) i klas Java dla Internet Explorera, w systemie Windows 2000 stosuje się podpisy elektroniczne do zapewnienia spójności wielu programów składowych. Programiści firmy mogą również tworzyć oprogramowanie z podpisem elektronicznym w celu jego dystrybucji i ochrony przed wirusami.
Dostawcy niezależni najczęściej umieszczają usługi dynamicznego uwierzytelniania haseł (dynamic password authentication services) na komputerach z systemem Windows 2000 Server oraz integrują hasła dynamiczne (dynamic passwords) z uwierzytelnianiem w domenie systemu Windows 2000. Interfejsy API (Application Programs Interfaces) i dokumentacja do obsługi tych programów znajduje się w Microsoft Platform Software Development Kit (SDK).
Zagadnienia pokrewne zobacz na stronie:
Szyfrowanie foldera lub pliku
Korzystanie z uwierzytelniania za pomocą klucza publicznego w programie Internet Explorer
W świecie biznesu na szeroką skalę korzysta się z Internetu, intranetów, dostępu zdalnego, jak i tworzy się oddziały lokalne. Dane o znaczeniu strategicznym są nieustannie przesyłane przez sieć. Wyzwaniem dla administratorów i innych specjalistów od sieci komputerowych jest konieczne zapewnienie spójności, poufności i uwierzytelnienia danych, które muszą być zabezpieczone przed następującymi działaniami:
· modyfikacją po drodze,
· podsłuchiwaniem, podglądaniem lub kopiowaniem,
· dostępem osób nieuprawnionych.
Aby spełnić powyższe wymagania, w systemie operacyjnym Windows 2000 Server zaimplementowano protokół szyfrowania sieciowego IP Security Protocol (IPSec) w postaci opracowanej przez Internet Engineering Task Force (IETF). Protokół IPSec stosuje się poniżej warstwy transportowej, tak aby jego usługi zabezpieczeń były dziedziczone przez aplikacje w sposób niezauważalny. Do zapewnienia bezpieczeństwa sieci wykorzystującej protokół TCP/IP po obydwu stronach zapory ogniowej (firewall) przedsiębiorstwa IP Security wykorzystuje standardowe algorytmy szyfrowania i metodę wszechstronnego zarządzania zabezpieczeniami (comprehensive security management approach). Wynikiem tych działań jest w systemie Windows 2000 Server strategia zabezpieczania danych wzdłuż całej drogi ich przesyłania (end-to-end security strategy), chroniąca sieć zarówno przed atakami z zewnątrz, jak i od wewnątrz. Protokół IPSec omówiono szczegółowo w rozdziale 10.
Wirtualne sieci Sieci prywatne Prywatne (Virtual Private Networks — VPN) pozwalają użytkownikowi na tworzenie tuneli w Internecie lub w innej sieci publicznej, przy zachowaniu takiego samego stopnia bezpieczeństwa, jaki zostałby osiągnięty w sieci prywatnej. Z punktu widzenia użytkownika, wirtualne Wirtualne sieci Sieci prywatne Prywatne (VPN) wyglądają jak połączenie z serwerem korporacyjnym typu point-to-point. W wirtualnych sieciach prywatnych klienci mobilni (roaming clients) lub zdalni (remote clients) muszą mieć możliwość podłączenia się do zasobów oraz bezpiecznego uwierzytelnienia. Adres prywatny użytkownika, jego nazwa i hasło, muszą być poufne, a dane — zaszyfrowane. Dla klienta i serwera klucze szyfrowania (encryption keys) powinny zostać wygenerowane, odświeżane, a obsługiwane protokoły — powszechnie spotykane w sieciach publicznych.
Ostrzeżenie! Każde bezpieczeństwo nie jest dane raz na zawsze, zatem klucze szyfrowania nie stanowią tutaj wyjątku. Dlatego też mają okres ważności (expiry time) i należy je periodycznie odświeżać. Podczas aktualizowania klucza powinny być stosowane środki bezpieczeństwa, takie jak alternatywne ścieżki danych (alternate data paths). Jeżeli nieuprawniony użytkownik podejrzy odświeżanie klucza, wówczas zagraża to bezpieczeństwu przeprowadzanej operacji.
Obecnie system Windows 2000 obsługuje rozwiązania wirtualnych Wirtualnych sieci Sieci prywatnych Prywatnych (VPN) opartych na protokole PPTP i na niedawno opracowanym protokole L2TP. Protokół IPSec również obsługuje wirtualne Wirtualne sieci Sieci prywatne Prywatne (VPN), ale często nie spełnia wszystkich wymagań. Wirtualne sieci Sieci prywatne Prywatne (VPN) opisane zostały w rozdziale 11.
Do konfigurowania i analizy ustawień zabezpieczeń w systemie Windows 2000 służą:
· szablony Szablony zabezpieczeń Zabezpieczeń (Security Templates),
· przystawki — konfigurowanie Konfigurowanie i analiza Analiza zabezpieczeń Zabezpieczeń (Security Configuration and Analysis snap-ins),
· ...
lukaszwalda