Особенности системы защиты Windows 2000

На Рисунке 3 видно, как сильно «похудела» Certificate Services по сравнению с Certificate Server, чьи отдельные части были переданы другим компонентам операционной системы.

Например, функции управления сертификатами теперь включены в состав CryptoAPI, а автономное хранилище информации о сертификатах размещено в Active Directory. Поскольку Certificate Services получает доступ к своему хранилищу сертификатов через CryptoAPI, то можно публиковать сертификаты в системах каталогов независимых компаний.

Службы аутентификации

SSPI — это  еще один прикладной интерфейс  для доступа к службам аутентификации. Клиент-серверные приложения должны  выполнять аутентификацию клиента на сервере, а иногда сервера на клиенте. SSPI предоставляет таким приложениям необходимый уровень абстракции, аналогичный функциям интерфейса CSP. На Рисунке 4 показано, как SSPI изолирует приложения от деталей протоколов безопасности сети, тем самым уменьшая объем прикладного кода, необходимого для поддержки различных протоколов аутентификации. Интерфейс обеспечивает выполнение аутентификации, базирующейся на протоколах с секретным или открытым ключами.

Независимо от типа протокола, в основе этого процесса лежат хранящиеся в Active Directory защитные реквизиты. При этом нет никакой необходимости иметь отдельные учетные записи для NTLM и Kerberos. PKI-аутентификация выполняется Active Directory, связывающей элементы сертификата и соответствующий объект типа «пользователь». Приложения могут задействовать SSPI напрямую, а также либо через вызовы протокола RPC с аутентификацией (Authenticated RPC), либо через интерфейс распределенной модели DCOM.

К числу других существенных преобразований в процедуре аутентификации относится замена NTLM, весьма уязвимого протокола аутентификации в версии NT 4.0, который работает с хранящимися в SAM хэш-кодами паролей. Тем не менее, в целях совместимости c NT, Windows 2000 продолжает его поддерживать. Так, при включении систем Windows 2000 в рабочие группы Windows NT, NTLM-аутентификация по-прежнему будет использовать хранящиеся в SAM защитные реквизиты. В свою очередь, при подключении системы Windows NT к серверу Windows 2000 в домене Active Directory, SAM функционировать не будет, а Windows 2000 выполнит проверку аутентичности пользователя с помощью хэшированных паролей NTLM, которые хранятся в его личном объекте AD.

При обновлении версии NT и установке нового клиента AD для Windows 9x, можно избавиться от ненадежной NTLM-аутентификации, поскольку протоколом аутентификации для Windows 2000 по умолчанию является Kerberos. Этот протокол обеспечивает более высокий уровень защиты, чем NTLM. Кроме того, он представляет собой отраслевой стандарт, который позволит реализовать принцип однократной регистрации в системе (SSO). Наконец, Kerberos решает типичные для NTLM проблемы, такие, как низкая производительность и слабые возможности заимствования прав в многоуровневых серверных приложениях.

Шифрование

Единственный способ защиты размещенной на жестком диске или в сети конфиденциальной информации — шифрование. В случае Windows NT 4.0 данные ничего не стоит перехватить с помощью систем прослушивания сети или же скопировать с диска такими средствами прямого доступа, как утилита NTFSDOS производства Systems Internals. Разработанная же для Windows 2000 система EFS дает возможность шифровать файлы простой установкой соответствующего флажка. При этом кодирование и декодирование выполняются абсолютно прозрачно для пользователя и приложения, что позволяет защитить данные любой прикладной программы.

EFS интегрирована с PKI Windows 2000 и поддерживает  восстановление данных в том  случае, когда секретный ключ  пользователя утерян или стал  недоступен. EFS незаменима для мобильных  пользователей, которые хотят обезопасить себя на случай кражи ноутбука. В то же время EFS — единственный компонент Windows 2000, в котором разработчики Microsoft, вероятно, не смогут реализовать в первой версии ОС все запланированные возможности. Так что следует ожидать весьма слабой поддержки алгоритмов шифрования, за исключением лишь Data Encryption Standard X (DESX), равно как и поддержки хранения секретных ключей EFS на смарт-картах (или вообще полное отсутствие таковой).

Как показано на Рисунке 5, чтобы прозрачно для пользователя и приложения защитить сетевые данные, Windows 2000 использует протокол IPSec. Этот протокол обеспечивает аутентификацию, конфиденциальность, целостность данных и фильтрацию для TCP/IP трафика. IPSec реализован ниже протоколов прикладного уровня и позволяет защищать сеанс связи любого приложения без его модификации. IPSec — это надежный протокол Internet, имеющий сильную отраслевую поддержку.

IPSec входит в состав Windows 2000, что облегчает  его развертывание и управление. Параметры политики IPSec хранятся  в AD, а управлять протоколом можно  с помощью GPE. Помимо известных  возможностей работы с VPN здесь реализована защита сетевого трафика внутри предприятия. Например, могут потребоваться аутентификация трафика внутри отдела разработок, шифрование трафика, проходящего между этим и другими отделами, а также запрет на доступ в Internet из указанного отдела. При этом, хотя перечисленные требования влияют на работу многих систем, всем можно управлять централизованно через Active Directory.

Развитая система безопасности

При построении архитектуры системы безопасности Windows 2000 специалисты Microsoft использовали надежные отраслевые стандарты и протоколы в сочетании с модульностью и абстракцией. Благодаря этому в Windows 2000 удалось обеспечить высокий уровень безопасности, открытости, надежности, а также поддержку электронной коммерции и снизить стоимость разработки приложений.

Microsoft широко использует возможности AD в Windows 2000, а кроме того, планирует  в следующих версиях BackOffice задействовать AD в качестве центрального хранилища  данных каталога и информации  о политиках. На мой взгляд, проект Windows 2000 — высшее достижение Microsoft в части анализа потребностей бизнеса и удовлетворения интересов пользователей. Хочется верить, что Windows 2000 на сегодня является образцом качества выпускаемых корпорацией программных продуктов.