Реферат: Анализ системы безопасности Microsoft Windows 2000 Advanced Server и стратегий ее использования

Цифровые подписи полезны, потому что проверить подпись может каждый, а создать ее может только лицо с закрытым ключом. Разница между цифровой подписью и сертификатом в том, что можно прове­рить подлинность сертификата в центре сертификации.

3.2.4. Безопасный обмен паролями

Большинство сетевых операционных систем (в том числе Windows 2000 и все современные версии UNIX) защищают имя пользователя и пароль при входе в систему посредством их шифрования перед отправ­кой в сеть для аутентификации.

Чтобы одни и те же зашифрованные данные не передавались каждый раз, клиент также может включить какую-то дополнительную ин­формацию, например время отправки запроса на вход в систему. При таком способе сетевые идентификационные данные никогда не будут отправляться через локальную сеть или телефонные линии в незащищенном виде. Тем не менее Windows 2000 принимает неза­шифрованные пароли от старых сетевых клиентов LAN Manager.

Не каждый протокол аутентификации зашифровывает имя пользователя и па­роль, этого не делает SLIP Telnet и FTP. Службу Telnet в Windows 2000 можно сконфигурировать для работы только с хэш-значениями Windows NT, а не с паролями в виде простого текста. РРР может шифровать, если и удаленный клиент, и сервер сконфигурированы таким образом. Win­dows NT по умолчанию требует шифрованной аутентификации. Windows 2000 использует безопасную систему аутентификации Kerberos, основанную на секретных ключах.

3.3. Стеганография

Стеганография (steganography) — это процесс сокрытия за­шифрованных файлов в таком месте, в котором вряд ли кто-либо смо­жет их обнаружить.

Зашифрованные файлы выглядят как случайные числа, поэтому все, что также выглядит как случайные числа, может спрятать зашифрованное сообщение. Например, в многоцветных графических изображе­ниях бит нижних разрядов в каждом пикселе изображения не сильно влияет на качество всего изображения. Можно спрятать зашифрован­ное сообщение в графический файл, заменяя младшие биты битами своего сообщения. Младшие биты звуковых файлов с высокой точно­стью воспроизведения — еще одно хорошее место для зашифрованных данных. Можно даже тайно обмениваться с кем-либо зашифрованны­ми сообщениями, отправляя графические и звуковые файлы с такой спрятанной в них информацией.

3.4. Пароли

Пароли — это секретные ключи. Они могут применяться для аутенти­фикации пользователей, шифрования данных и обеспечения безопас­ности коммуникационных потоков. Kerberos использует пароли как секретные ключи для подтверждения идентификационных данных клиента в Kerberos Key Distribution Center.

Из-за необходимости случайности в секретных ключах выступающие в качестве секретных ключей пароли также должны быть секретными

Самый распространенный способ раскрыть пароль — это выбрать легко угадываемый пароль, такой как пустой пароль, само слово пароль (password), жаргон­ные слова или имена богов, детей или домашних животных. Для взлома через Интернет пароля, в качестве кото­рого взято любое известное слово, потребуется примерно два часа времени.

Использование по-настоящему случайных паролей дает гораздо луч­шие результаты. Случайный выбор пароля только из 14 символов на­бора стандартной ASCII-клавиатуры дает множество более чем из 1025 паролей.

Существует четыре уровня паролей:

•   низкокачественный публичный пароль

•   публичный пароль среднего качества — короткий, но полностью случайный пароль длина этого пароля семь символов, что дает 40-битный диапазон уникальности;

•   высококачественный пароль — пароль для частных сетей где клиенту может быть причинен серьезный ущерб в случае его утери -пароль длиной 12 символов, что дает 70-битный диапазон уникальности;

•  чрезвычайно высококачественный пароль — пароль для шифрования файлов и хранения секретных данных на личных компьютерах; длина 14 символов, что дает 84-битный диапазон уникальности.

4. Локальная безопасность Windows 2000 Advanced Server

Безопасность Windows 2000 основана на аутентификации пользовате­лей. Проходя процедуру входа в систему (обеспечиваемую процес­сом WinLogon), пользователь идентифицирует себя компьютеру, после чего ему предоставляется доступ к открытым и запрещается доступ к закрытым для вас ресурсам.

В Windows 2000 также реализованы учетные записи групп. Когда учет­ная запись пользователя входит в учетную запись группы, установлен­ные для учетной записи группы разрешения действуют также и для учетной записи пользователя.

Учетные записи пользователей и групп действуют только на том компь­ютере под управлением Windows 2000, на котором они создаются. Эти учетные записи локальны для компьютера. Единственным исключени­ем из этого правила являются компьютеры, входящие в домен и по­этому принимающие учетные записи, созданные в Active Directory на контроллере домена. На каждом компьютере под управлением Windows 2000 существует свой собственный список локальных учетных записей пользователей и групп. Когда процессу WinLogon (который регистрирует пользователя в систе­ме и устанавливает его вычислительную среду) требуется обратиться к базе данных безопасности, он взаимодействует с Security Accounts Manager (диспетчер учетных записей безопасности, SAM), компонен­том операционной системы Windows 2000, который управляет инфор­мацией о локальных учетных записях. Если информация хранится локально на компьютере под управлением Windows 2000, SAM обра­тится к базе данных (хранимой в реестре) и передаст информацию процессу WinLogon. Если информация хранится не локально SAM запросит контрол­лер домена и вернет подтвержденную информацию о регистрации (идентификатор безопасности, security identifier) процессу WinLogon.

Независимо от источника аутентификации, доступ разрешен только к локальному компьютеру посредством Local Security Authority (локаль­ные средства безопасности, LSA) компьютера. При обращаении к другим компьютерам в сети, LSA локального компьютера передает идентификационные данные пользователя LS А другого компьютера, реализуя вход в систему каждого компьютера, с которым он контактирует. Чтобы получить доступ к другому компьютеру, этот компьютер должен принять идентификационные данные, предоставленные компьютером пользователя.

4.1. Идентификаторы безопасности

Принципалы безопасности, такие как пользователи и компьютеры, представлены в системе идентификаторами безопасности (security identifier, SID). SID уникально идентифицирует принципала безопас­ности для всех компьютеров домена. При создании учетной записи при помощи оснастки Local Users and Groups (Локальные пользователи и группы), всегда создается новый SID, даже если используется такие же имя учетной записи и пароль, как в удаленной учетной запи­си. SID будет оставаться с учетной записью в течение всего времени ее существования. Можно поменять любой другой атрибут учетной записи, включая имя пользователя и пароль, но в обычных обстоятельствах нельзя изменить SID, поскольку при этом создается новая учетная запись.      

Групповые учетные записи также имеют SID, уникальный идентификатор, создающийся при создании группы. Для идентификаторов SID, групп действуют те же правила, что и для SID учетных записей.

Процесс WinLogon (часть процесса Local Security Authority) проверяет имя пользователя и пароль (или смарт-карту при соответствующей конфигурации), чтобы определить, можно ли разрешить доступ к компьютеру. Если указанный в диалоговом окне входа в систему домен является именем локального компьютера, LSA проверит учетную запись в соответствии с локальным SAM, хранимым в реестре. В ином случае LSA установит связь с контроллером домена и воспользуется для проверки подлинности данных пользователя аутентификацией Kerberos (в случае Windows 2000) или NLTM (в случае всех остальных версий Windows, включая Windows 2000 в режиме Mixed Mode), в зависимости от операционной системы клиента.

Если имя учетной записи и пароль правильны, процесс WinLogon coздаст токен доступа. Токен доступа (Acess Token) образуется из SIDучетной записи пользователя, SID групп, к которым принадлежит, учетная запись, и Locally Unique Identifier (локально уникальный; идентификатор, LUID), который определяет права пользователя и конкретный сеанс входа в систему.

Токен доступа создается при каждом вашем входе в Windows 2000.

Существуют особые идентификаторы SID. System SID зарезервирован для системных служб, содержащие System SID токены доступа могут, обходить все ограничения безопасности, основанные на учетных записях. SID дает системным службам разрешение на осуществление тех; действий, которые обычная учетная запись пользователя (даже учетная запись Administrator (Администратор)) делать не может. Службы операционной системы запускаются ядром Windows 2000, а не процессом WinLogon, и эти службы получают System SID от ядра при своем запуске.

4.2. Доступ к ресурсам

Потоки (thread, отдельные ветви выполнения процесса) должны пре­доставлять токен доступа при каждой попытке доступа к ресурсу. Потоки получают токены доступа от родительских процессов при своем создании. Пользовательское приложение, например, обычно получает свой токен доступа от процесса WinLogon. Процесс WinLogon запускается от возбужденного пользователем прерывания (прерыва­ния клавиатуры Ctrl+Alt+Del) и может создать новый токен доступа, запрашивая или локальный диспетчер учетных записей безопасности  (SAM), или Directory Services Agent (агент служб каталога, DSA) на контроллере домена Active Directory.

При помощи этого метода каждый поток, запущенный после входа пользователя в систему, будет иметь токен доступа, представляющий пользователя. Поскольку потоки пользовательского режима должны всегда предоставлять этот токен для доступа к ресурсам, в обычных обстоятельствах не существует способа обойти безопасность ресурсов Windows 2000.

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12