Сетевая безопасность в Windows 2000 за 15 минут в неделю:
 

Структура безопасности для управления идентификацией – PKI, Смарт-карты и Microsoft Windows 2000 Active Directory

от Leonard Loro

 

Электронная коммерция и сетевой бизнес растут феноменальными темпами без видимого замедления темпов. Каждый день тысячи новых web-серверов, серверов транзакций баз данных и серверов приложений осуществляют поддержку миллионов пользователей. Новые системы добавляются практически ежедневно. Вполне возможно, что в ближайшем будущем каждый человек, имеющий доступ к компьютеру сможет выполнять любой вид сделок, подключаясь к таким сетям, как Интернет.

Однако возможность торговли, продажи и покупки продуктов и услуг будут полезны только в том случае, если покупатель сможет безопасным путем удостовериться в местоположении и подлинности предприятия, с которым он взаимодействует. При росте количества электронных транзакций одним из обязательных ограничений эффективного использования сети определяется качеством и сферой действия безопасности, а также доступными службами защиты клиентов.

Структура открытого ключа (PKI – Public Key Infrastructure) в Windows 2000 создает архитектуру для сетевой безопасности, которая закладывает фундамент для текущих и будущих потребностей бизнеса и предоставляют платформу для безопасных сетевых транзакций. Центры сертификации Microsoft предоставляют средства для защиты данных при помощи выдаваемых сертификатов, которые дают возможность обеспечивать безопасность (шифровать) содержание транзакции. Эти сертификаты также используются для обеспечения гарантии того, что содержание послания не будет подделано за время прохождения его от автора до того момента, когда его прочтет потребитель.

Процессы и участники Инфраструктуры Открытого Ключа

Центры Сертификации (ЦС) устанавливают и управляют идентификацией держателей сертификатов. Недействительные сертификаты публикуются в списке отзыва сертификатов (CRL – certificate revocation list), которые используются Центрами Регистрации (Registration Authority) и верификаторами сертификатов. В простейшую архитектуру PKI входит только один корневой ЦС. Однако, в большинство реализаций структуры PKI входит несколько ЦС, организованных в группы, называемые иерархией ЦС.

Регистрация сертификатов осуществляется при помощи зарегистрационной web-страницы. Windows 2000 предоставляет компонент, позволяющий осуществлять регистрацию запросов сертификатов через web-интерфейс. Сервер Сертификатов Microsoft устанавливает страничку регистрации сертификатов по умолчанию. Пользователи могут передавать запросы на получение сертификатов через web-браузер. Web-страничка автоматически направляет запрос на Сервер Сертификатов, который генерирует сертификат.

Информация о сертификате хранится в Active Directory. Для упрощения внедрения и установки, Windows 2000 может автоматизировать процесс регистрации сертификатов, используемых компьютерами. Все компьютеры осведомлены о том, что информация о сертификатах хранится в Active Directory. Компьютеры Windows 2000 знают о том, что они могут запрашивать и обновлять сертификаты автоматически.

Групповые Политики Windows 2000 интегрированы со структурой PKI. Политики могут быть использованы для распределения сертификатов компьютерам автоматически, определения списков достоверных сертификатов и списков доверенных ЦС. Кроме того, групповые политики могут быть использованы для политики восстановления EFS – зашифрованной файловой системы.

PKI и Active Directory – решение по управлению внешней идентификацией

Во многих случаях предприятия нуждаются во взаимодействии с внешними партнерами при помощи web-сайтов. Информация, которая публикуется на данном сайте, обычно не является общедоступной. В подобном случае лишь небольшое число внешних партнеров нуждается в идентификации и получении необходимого доступа к опубликованной информации.

Структура PKI Windows 2000 и Active Directory предоставляют способ для безопасного получения доступа внешними пользователями. Внешние пользователи идентифицируются при помощи Active Directory. Пользовательская учетная запись создается для каждого внешнего пользователя. Опознание ресурсов и контроль доступа осуществляется через создание пользовательских учетных записей, назначаемых внешним пользователям в Active Directory. Эти учетные записи внешние пользователи могут использовать для доступа к ресурсам в сети.

Для OU (организационной единицы), в которой создаются учетные записи для внешних пользователей, должны быть выпущены сертификаты ЦС, перечисленными в списке достоверных сертификатов. В момент входа в систему Active Directory сопоставляет этот сертификат учетной записи. В ходе этого определяется какая часть защищенного web-сайта может быть доступна. И, в заключении, внешнему пользователю явно предоставляется доступ к защищенному web-сайту.

рис. 1. Обзор структуры безопасности для управления идентификацией.

Смарт-карты и Active Directory – решение для управления внешней идентификацией

Усиление безопасности сетевых ресурсов достаточно сложная задача. Хорошо известно, что наиболее уязвимое место для каждого компьютера – это пароли пользователей. Одним из методов решения этой проблемы – использование смарт-карт. В Windows 2000 встроена поддержка безопасности при помощи смарт-карт.

Смарт-карта имеет размер обычной кредитной карточки. Она служит для безопасного хранения защищенных личных сертификатов и частных ключей.

Смарт-карты содержат чип, в котором хранится индивидуальные частные ключи, информация для входа в сеть и сертификат общего ключа. Пользователь вставляет карту в считыватель, подключенный к компьютеру и вводит PIN-код, вместо того, чтобы вводить сложный пароль, который, как правило, сложно запомнить. Windows 2000 использует информацию о сертификатах, которая хранится на карте для разрешения или запрещения пользователю входа в сеть Windows 2000.

Идентификация и доступ для внешних пользователей требует от них как наличия «физической» карты, так и дополнительных знаний (PIN-код карты), прежде чем они смогут получить доступ к сети. Этот метод, использующий как карту, так и ее PIN-код известен как «двукратная аутентификация».

Леонард Лоро, MCSE, MCSD, ISS, MCT, CCNA.