Сетевая безопасность в Windows 2000 за 15 минут в неделю:
 

Начинаем изучать безопасность Windows 2000

от Leonard Loro

 

Сама по себе Windows 2000 не является безопасной операционной системой. Так же как и Linux. Необходимо изучить, как работает безопасность сетей и данных, что поможет нам, в конечном счете, создавать безопасные информационные среды.

В течение моей карьеры в Microsoft и других крупных организациях я научился многому. Я узнал, насколько уязвимыми является большинство информационных сред и как просто обеспечить их безопасность сравнительно небольшими усилиями, направленными на поддержку систем и подготовку пользователей, отвечающих за управление технологиями безопасности. В данной серии мы изучим концепцию информационной безопасности и рассмотрим конкретные примеры того, как применять различные инструменты и системы безопасности.

Цели информационной безопасности

Такие производители как Microsoft, Sun и Oracle постоянно создают большие программные пакеты и приложения, в которые встроены механизмы безопасности и контроля, предусматривающие наличие пользователей с различными уровнями доступа. Управление проверкой подлинности и аудит действий пользователей также является частью данных систем безопасности.

Каждый фрагмент информации должен быть проверен, для того, чтобы убедиться в том, что данные не были изменены. Главные цели информационной безопасности – гарантировать:

Ключевая роль

Практический пример

Конфиденциальность

Только авторизованные пользователи могут видеть данные

Методы, гарантирующие конфиденциальность, включают в себя: защиту паролем, применение разрешений для файлов и др.

Целостность

Авторизированные пользователи должны быть уверены, что получаемые ими данные точны и не были случайно изменены.

Цифровая подпись гарантирует, что данные не были изменены в процессе передачи по сети.

Доступность

Пользователи должны иметь возможность получить доступ к данным, которые им необходимы, в любое время, когда им это нужно.

Windows 2000 предоставляет возможности кластеризации серверов и службу распределения нагрузки для обеспечения избыточности данных.

Обзор безопасности в Windows 2000

В позднейших реализациях операционной системы Windows фирма Microsoft проделала довольно хорошую работу в обеспечении надежной и развитой архитектуры безопасности операционной системы. Windows 2000 предоставляет конечным пользователям и корпоративным системным администраторам эффективные решения по безопасности.

Windows 2000 предлагает несколько инструментов безопасности и надежности объектов, основанных на архитектуре, которые являются основанием для всех операций сетевого уровня. Главными функциями, обеспечивающими безопасность являются: интеграция с Active Directory, защита локальных данных на диске при помощи файловой системы Encrypting File System (EFS) и безопасные взаимодействия по сети при помощи протокола Internet Protocol Security (IPsec).

Итак, в состав операционной системы Windows 2000 входят следующие функции безопасности:

  • Kerberos v5. Когда пользователь входит в сеть, Windows 2000 проверяет его подлинность при помощи протокола Kerberos, прежде чем позволить пользователю получить доступ к ресурсам сети. Kerberos является протоколом аутентификации, определенном в документе RFC 1510.
  • IPSec. Для того чтобы обеспечить взаимодействие между двумя компьютерами в сети, Windows 2000 поддерживает протокол Internet Protocol Security (IPSec). IPSec шифрует данные на передающем компьютере и обеспечивает механизм дешифрования данных только на принимающем компьютере для обеспечения целостности данных.
  • Encrypting File System (EFS). Windows 2000 поддерживает файловую систему Encrypting File System (EFS) для обеспечения безопасности данных на локальных жестких дисках. EFS зашифровывает файлы и папки, так что неавторизированный пользователь не сможет прочесть данные файлы. В корпоративных средах EFS обычно используется на исполнительских переносных компьютерах для защиты бизнес-информации в случаях, если компьютер будет физически украден.
  • Групповые Политики. Для управления рабочими средами пользователей и обеспечения безопасности сетевых ресурсов Windows 2000 поддерживает Групповые Политики. Групповые Политики хранятся в доменах Windows 2000 (Active Directory) или в локальных базах данных на компьютерах.
  • Инфраструктура открытого ключа. Инфраструктура открытого ключа (PKI – public key infrastructure) используется для проверки и подтверждения подлинности компьютеров и пользователей, вовлеченных в сетевое взаимодействие. Windows 2000 использует для обеспечения работы PKI Службы Сертификации.
  • Делегирование администрирования безопасности. Для управления сетями Windows 2000 системные администраторы могут разрешать пользователям определенных сетевых ресурсов выполнение специальных операций безопасности. Например, право осуществлять изменение паролей для отдела учета может быть делегировано определенному пользователю этого отдела компании.

Любимый инструмент менеджеров безопасности: Групповые Политики

Групповые политики являются одной из наиболее важных функций, предоставляемых Windows 2000 для осуществления контроля пользователей, компьютеров и сетевых ресурсов. Политики являются «правилами», которые определяют опции для настройки установок безопасности файлов, установки программного обеспечения, сценариев, запуска и выключения компьютеров, входа и выхода пользователя из системы, установок регистра и перенаправления папок.

Правила хранятся в виде объектов, в двух местах и применяются в централизованном порядке для того, чтобы гарантировать правильную настройку сетевых систем. Каждый компьютер Windows 2000 имеет собственный (локальный) набор «правил» или объект Групповая Политика.

Этот объект также хранится в домене Windows 2000 и может действовать на сайты, домены или организационные единицы (OU-organizational units). Давайте проверим, где хранится наша локальная Групповая Политика:

Для того чтобы определить местоположение файла локальной групповой политики:

  1. Нажмите кнопку Start, затем Run. Появится диалоговое окно Run
  2. В диалоговом окне Run… наберите текст %systemroot%\System32\GroupPolicy и затем нажмите кнопку OK.

 

Это и есть местоположение локальных политик компьютера. Файл gpt.ini содержит информацию о правилах, которые применены к локальному компьютеру и номер версии. Файл registry.pol в узлах \GroupPolicy\Machine и \GroupPolicy\User, содержат шаблоны настроек регистра, которые могут быть применены для контроля пользователей.

Когда пользователь входит в систему, список объектов Групповая Политика собирается при помощи функции GetGROList. Объект Локальная Групповая Политика обрабатывается первым. Если ваша рабочая станция Windows 2000 является частью домена, после Локальной Групповой Политики выполняются политики, хранимые в домене. Причем сначала применяются политики, приложенные к сайту (или подсети), к которой принадлежит рабочая станция. После этого применяются политики домена и, в завершение, политики OU (в том числе и вложенных OU).

Для того чтобы увидеть объект Локальная Групповая Политика:

  1. Нажмите кнопку Start, затем Run, напечатайте ММС и нажмите кнопку ОК.
  2. В меню Console выберите опцию Add/Remove Snap-in.
  3. Нажмите Add.
  4. В диалоговом окне Add Snap-in нажмите Group Policy, затем Add.
  5. Выберите узел Local Computer для того, чтобы увидеть объект Локальная Групповая Политика или Browse для того, чтобы найти объект Групповая Политика, который вы хотите использовать.
  6. Нажмите кнопку Finish.
  7. Нажмите кнопку ОК.

 

Для проверки правильности соединения с Групповыми Политиками домена:

  1. Нажмите кнопку Start, а затем Run. Появится диалоговое окно Run.
  2. В диалоговом окне Run напечатайте cmd.exe.
  3. В командной строке напечатайте gpotool domain:yourdomainname, где yourdomainname – это DNS имя вашего домена.

 

Выполнение этой команды позволит вам увидеть статус групповых политик, которые применяются к локальному компьютеру. Это также позволяет пользователям выбирать предпочтительную группу серверов для выполнения тестов. Gpotool.exe включена в состав компакт-диска Windows 2000 Server Resource Kit. Вы также можете найти больше информации по данному вопросу здесь.

Компьютерные политики выполняются при запуске систем, а пользовательские политики – при входе пользователей в систему. Хотя компьютерные политики применяются раньше, чем пользовательские политики, если между пользовательской политикой и политикой, применяемой к компьютеру существует противоречие (они имеют различные установки), компьютерная политика всегда «побеждает». По умолчанию групповые политики применяются каждые 90 минут со случайным сдвигом в 30 минут.

Защита вашей сети Windows 2000

Функции безопасности Windows 2000 могут защитить ваши сетевые ресурсы от всех видов атак, но, в тоже время, слабо защищенный компьютер с Windows 2000 может стать открытой дверью для злонамеренного хакера. Групповые политики являются одним из инструментов, который Windows 2000 предоставляет для управления безопасностью сетей. От вашего понимания работы данного инструмента и того, как обеспечить требуемый уровень безопасности ваших ресурсов, зависит, в конечном счете, будет ли нарушена безопасность сети или нет.

Леонард Лоро, MCSE, MCSD, ISS, MCT, CCNA.