Файл: Курсовая работа по дисциплине Операционные системы студент группы убвт2001 Нальгиев М. Х. Москва, 2023.rtf
Добавлен: 28.04.2024
Просмотров: 47
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
Шифрующая файловая система EFS
Служба каталогов Active Directory
Отношения доверия между доменами
Управление мерами безопасности при помощи групповой политики
Аутентификация и управление доступом
Делегирование прав администрирования
Протокол аутентификации Kerberos
Делегирование полномочий на выполнение аутентификации
задавать явные односторонние отношения доверия, свойственные сетям Windows NT.
При аутентификации между доменами в Windows 2000 отношения доверия реализуются с помощью протокола Kerberos версии 5 и аутентификации NTLM, что обеспечивает их обратную совместимость. Это важно, поскольку многие организации используют сложные модели организации сетей на основе Windows NT, включающие несколько главных доменов и множество доменов ресурсов, что требует больших финансовых и организационных затрат для управления отношениями доверия между ними. В силу того, что дереву доменов на основе Windows 2000 соответствует дерево транзитивных отношений доверия, использование Windows 2000 упрощает интеграцию сетевых доменов и управление ими для больших компаний. При этом необходимо иметь в виду, что установление транзитивного доверия не означает автоматического предоставления прав доступа тем, кто их не имеет в соответствии со списками управления доступом (ACL). Отношения транзитивного доверия служат, главным образом, для упрощения определения и настройки администраторами прав доступа.
Параметры групповой политики – это настройки, при помощи которых администратор может контролировать действия объектов в Active Directory. Групповая политика является важной составляющей Active Directory, поскольку она позволяет унифицировано применять любые политики к большому числу компьютеров. Например, групповую политику можно использовать для настройки параметров безопасности, управления приложениями, видом рабочего стола, для назначения сценариев и перенаправления папок с локальных компьютеров на сетевые ресурсы. Система применяет групповые политики к компьютерам при загрузке, а к пользователям – при их регистрации в системе.
Настройки групповой политики могут относиться к трём контейнерам в Active Directory: подразделениям (OUs), доменам и сайтам. Установки групповой политики затрагивают либо всех пользователей (или все компьютеры) в данном контейнере, либо только определённые их группы.
С помощью групповой политики можно применять политики безопасности широкого действия. Политики уровня домена затрагивают всех его пользователей. К ним, в частности, относятся политики учётных записей, определяющие, например, минимальную длину пароля или периодичность обязательной смены пароля пользователями. При этом можно указать возможность замещения этих установок установками политик низших уровней.
После применения глобальных политик с помощью параметров групповой политики можно задать детальные настройки безопасности для индивидуальных компьютеров. Настройки безопасности локальных компьютеров определяют права и привилегии для конкретного пользователя или компьютера. Например, на сервере можно распределить права на создание резервных копий и восстановление из них данных, а на настольном компьютере задать уровень аудита доступа к данным.
Параметры безопасности для каждого компьютера складываются из настроек политик всех уровней - от домена до подразделения. В примере, приведённом на рис 4. настройки для пользователей домена Europe.Microsoft.com определяются комбинацией политик доменов Microsoft.com и Europe.Microsoft.com, а также всех подразделений, в состав которых входит данный пользователь.
Аутентификация представляет собой одну из важнейших составляющих безопасности системы. С помощью процедур аутентификации подтверждается подлинность пользователей, осуществляющих вход в домен или пытающихся получить доступ к сетевым ресурсам. В Windows 2000 аутентификация служит для осуществления единого входа в сеть. Единый вход обеспечивает аутентификацию пользователя на любом компьютере домена после прохождения одной процедуры входа с помощью пароля или смарт-карты.
Успешная аутентификация в среде Windows 2000 складывается из двух отдельных процессов: интерактивного входа, при котором учетные данные пользователя сверяются с учетной записью домена или локального компьютера, и сетевой аутентификации при попытке пользователя получить доступ к любой сетевой службе.
После успешной аутентификации пользователя уровень его доступа к объектам определяется исходя как из назначенных пользователю прав, так и из разрешений, установленных для данных объектов. Для объектов, находящихся в домене, управление доступом осуществляет соответствующий диспетчер объектов. Например, доступ к ключам реестра контролируется реестром.
Для входа в систему компьютера или в домен пользователь Windows 2000 должен иметь учётную запись в Active Directory. Учётная запись служит удостоверением подлинности пользователя, на основании которого операционная система выполняет аутентификацию и предоставляет права доступа к конкретным ресурсам в домене.
Учётные записи пользователей также могут применяться в некоторых приложениях. Службу можно настроить на аутентификацию с учётной записью пользователя, что предоставит ей соответствующие права на доступ к определённым сетевым ресурсам.
Как и учётные записи пользователей, учётные записи компьютеров в Windows 2000 обеспечивают возможность аутентификации и аудита доступа, осуществляемого с данного компьютера к сети и её ресурсам. Доступ к ресурсам может быть предоставлен только компьютеру под управлением Windows 2000, имеющему уникальную учётную запись.
Windows 2000 поддерживает несколько механизмов аутентификации для проверки подлинности пользователей, входящих в сеть. Это особенно важно при предоставлении доступа к корпоративной сети внешних пользователей с помощью внешних сетей или приложений электронной коммерции.
При входе в сеть пользователь предъявляет данные для аутентификации, по которым система безопасности проверяет его подлинность и определяет, какие права доступа к сетевым ресурсам могут быть ему предоставлены. В корпоративной сети Windows 2000 используется протокол аутентификации Kerberos. Если же требуется проверить удостоверения партнёров, поставщиков или клиентов компании через Интернет, необходима поддержка различных способов аутентификации. Windows 2000 предоставляет такую возможность, поскольку в её состав входят различные механизмы аутентификации промышленного стандарта, включая сертификаты X.509, поддержку смарт-карт, а также протокол Kerberos. Кроме того, Windows 2000 поддерживает протокол NTLM, долгое время использовавшийся в Windows, и предоставляет интерфейсы для производителей биометрических механизмов аутентификации.
Используя групповую политику в Active Directory, можно назначать использование различных механизмов аутентификации для конкретных пользователей или групп, исходя из их функций и требований безопасности. Например, можно потребовать от исполнительского персонала прохождения аутентификации только с помощью смарт-карт, что повысит уровень надёжности проверки; для пользователей Интернета установить требование аутентификации по сертификатам X.509, работающим с любым браузером; а для корпоративных служащих можно продолжать использовать аутентификацию NTLM по имени пользователя и паролю. Независимо от метода проверки подлинности, Windows 2000 сверяет представленную при аутентификации информацию с Active Directory. Если аутентификация проходит успешно и подтверждается наличие учётной записи, принадлежащей данному пользователю, Windows 2000 предоставляет ему учётные данные, необходимые для доступа к ресурсам во всей сети.
Управление доступом в Windows 2000 реализуется путём назначения администраторами дескрипторов безопасности объектам, таким как файлы, принтеры и службы. Дескриптор безопасности объекта содержит список управления доступом (ACL), в котором определяются пользователи (индивидуально или по группам), имеющие права на выполнение конкретных операций с данным объектом. Дескриптором безопасности объекта также определяются события доступа к данному объекту, подлежащие аудиту, например, запись в защищённый файл. Изменяя свойства объекта, администраторы могут устанавливать разрешения, назначать права владения и отслеживать доступ пользователей к объекту.
Администраторы могут контролировать доступ не только к самому объекту, но и к отдельным атрибутам этого объекта. Например, путём соответствующей настройки дескриптора безопасности можно разрешить доступ пользователей к некоторой части информации, такой как имя и номер телефона сотрудника, закрыв для просмотра другую часть, например, домашний адрес.
С помощью списков управления доступом (ACL) к объектам операционная система Windows 2000 сравнивает информацию о клиенте с информацией об объекте с целью определения того, имеет ли данный пользователь необходимые права доступа (например, разрешение на чтение/запись) к данному объекту (например, файлу). Проверка производится на уровне ядра подсистемы безопасности Windows 2000. В зависимости от результата сравнения служба ответит клиенту либо выполнением запроса, либо отказом в доступе.
Детализированный контроль доступа
Для обеспечения большей гибкости в регулировании настроек безопасности служба каталогов Active Directory предоставляет администраторам возможность детализированного контроля доступа к объектам каталога. Объекты в Active Directory, соответствующие пользователям или группам, могут иметь буквально сотни атрибутов, таких, как номера домашних и рабочих телефонов, имена руководителей, а также названия групп, в состав которых входит данный объект. Разрешения могут задаваться только для некоторых атрибутов выбранной учётной записи без предоставления прав на чтение/запись всех атрибутов. Можно также контролировать изменения в учётной записи пользователя или других записях в Active Directory для каждого атрибута.
Для того чтобы организации могли распределять ответственность за управление доменами между несколькими сотрудниками, Active Directory позволяет администраторам делегировать полномочия на выполнение задач администрирования в пределах леса или домена. Административный контроль может быть передан на любой уровень дерева доменов путём создания подразделений, включающих объекты, над которыми необходимо установить контроль, с последующим делегированием прав администрирования этих подразделений определённым пользователям или группам.
При аутентификации между доменами в Windows 2000 отношения доверия реализуются с помощью протокола Kerberos версии 5 и аутентификации NTLM, что обеспечивает их обратную совместимость. Это важно, поскольку многие организации используют сложные модели организации сетей на основе Windows NT, включающие несколько главных доменов и множество доменов ресурсов, что требует больших финансовых и организационных затрат для управления отношениями доверия между ними. В силу того, что дереву доменов на основе Windows 2000 соответствует дерево транзитивных отношений доверия, использование Windows 2000 упрощает интеграцию сетевых доменов и управление ими для больших компаний. При этом необходимо иметь в виду, что установление транзитивного доверия не означает автоматического предоставления прав доступа тем, кто их не имеет в соответствии со списками управления доступом (ACL). Отношения транзитивного доверия служат, главным образом, для упрощения определения и настройки администраторами прав доступа.
Управление мерами безопасности при помощи групповой политики
Параметры групповой политики – это настройки, при помощи которых администратор может контролировать действия объектов в Active Directory. Групповая политика является важной составляющей Active Directory, поскольку она позволяет унифицировано применять любые политики к большому числу компьютеров. Например, групповую политику можно использовать для настройки параметров безопасности, управления приложениями, видом рабочего стола, для назначения сценариев и перенаправления папок с локальных компьютеров на сетевые ресурсы. Система применяет групповые политики к компьютерам при загрузке, а к пользователям – при их регистрации в системе.
Настройки групповой политики могут относиться к трём контейнерам в Active Directory: подразделениям (OUs), доменам и сайтам. Установки групповой политики затрагивают либо всех пользователей (или все компьютеры) в данном контейнере, либо только определённые их группы.
С помощью групповой политики можно применять политики безопасности широкого действия. Политики уровня домена затрагивают всех его пользователей. К ним, в частности, относятся политики учётных записей, определяющие, например, минимальную длину пароля или периодичность обязательной смены пароля пользователями. При этом можно указать возможность замещения этих установок установками политик низших уровней.
После применения глобальных политик с помощью параметров групповой политики можно задать детальные настройки безопасности для индивидуальных компьютеров. Настройки безопасности локальных компьютеров определяют права и привилегии для конкретного пользователя или компьютера. Например, на сервере можно распределить права на создание резервных копий и восстановление из них данных, а на настольном компьютере задать уровень аудита доступа к данным.
Параметры безопасности для каждого компьютера складываются из настроек политик всех уровней - от домена до подразделения. В примере, приведённом на рис 4. настройки для пользователей домена Europe.Microsoft.com определяются комбинацией политик доменов Microsoft.com и Europe.Microsoft.com, а также всех подразделений, в состав которых входит данный пользователь.
Аутентификация и управление доступом
Аутентификация представляет собой одну из важнейших составляющих безопасности системы. С помощью процедур аутентификации подтверждается подлинность пользователей, осуществляющих вход в домен или пытающихся получить доступ к сетевым ресурсам. В Windows 2000 аутентификация служит для осуществления единого входа в сеть. Единый вход обеспечивает аутентификацию пользователя на любом компьютере домена после прохождения одной процедуры входа с помощью пароля или смарт-карты.
Успешная аутентификация в среде Windows 2000 складывается из двух отдельных процессов: интерактивного входа, при котором учетные данные пользователя сверяются с учетной записью домена или локального компьютера, и сетевой аутентификации при попытке пользователя получить доступ к любой сетевой службе.
После успешной аутентификации пользователя уровень его доступа к объектам определяется исходя как из назначенных пользователю прав, так и из разрешений, установленных для данных объектов. Для объектов, находящихся в домене, управление доступом осуществляет соответствующий диспетчер объектов. Например, доступ к ключам реестра контролируется реестром.
Аутентификация
Для входа в систему компьютера или в домен пользователь Windows 2000 должен иметь учётную запись в Active Directory. Учётная запись служит удостоверением подлинности пользователя, на основании которого операционная система выполняет аутентификацию и предоставляет права доступа к конкретным ресурсам в домене.
Учётные записи пользователей также могут применяться в некоторых приложениях. Службу можно настроить на аутентификацию с учётной записью пользователя, что предоставит ей соответствующие права на доступ к определённым сетевым ресурсам.
Как и учётные записи пользователей, учётные записи компьютеров в Windows 2000 обеспечивают возможность аутентификации и аудита доступа, осуществляемого с данного компьютера к сети и её ресурсам. Доступ к ресурсам может быть предоставлен только компьютеру под управлением Windows 2000, имеющему уникальную учётную запись.
Windows 2000 поддерживает несколько механизмов аутентификации для проверки подлинности пользователей, входящих в сеть. Это особенно важно при предоставлении доступа к корпоративной сети внешних пользователей с помощью внешних сетей или приложений электронной коммерции.
При входе в сеть пользователь предъявляет данные для аутентификации, по которым система безопасности проверяет его подлинность и определяет, какие права доступа к сетевым ресурсам могут быть ему предоставлены. В корпоративной сети Windows 2000 используется протокол аутентификации Kerberos. Если же требуется проверить удостоверения партнёров, поставщиков или клиентов компании через Интернет, необходима поддержка различных способов аутентификации. Windows 2000 предоставляет такую возможность, поскольку в её состав входят различные механизмы аутентификации промышленного стандарта, включая сертификаты X.509, поддержку смарт-карт, а также протокол Kerberos. Кроме того, Windows 2000 поддерживает протокол NTLM, долгое время использовавшийся в Windows, и предоставляет интерфейсы для производителей биометрических механизмов аутентификации.
Используя групповую политику в Active Directory, можно назначать использование различных механизмов аутентификации для конкретных пользователей или групп, исходя из их функций и требований безопасности. Например, можно потребовать от исполнительского персонала прохождения аутентификации только с помощью смарт-карт, что повысит уровень надёжности проверки; для пользователей Интернета установить требование аутентификации по сертификатам X.509, работающим с любым браузером; а для корпоративных служащих можно продолжать использовать аутентификацию NTLM по имени пользователя и паролю. Независимо от метода проверки подлинности, Windows 2000 сверяет представленную при аутентификации информацию с Active Directory. Если аутентификация проходит успешно и подтверждается наличие учётной записи, принадлежащей данному пользователю, Windows 2000 предоставляет ему учётные данные, необходимые для доступа к ресурсам во всей сети.
Управление доступом
Управление доступом в Windows 2000 реализуется путём назначения администраторами дескрипторов безопасности объектам, таким как файлы, принтеры и службы. Дескриптор безопасности объекта содержит список управления доступом (ACL), в котором определяются пользователи (индивидуально или по группам), имеющие права на выполнение конкретных операций с данным объектом. Дескриптором безопасности объекта также определяются события доступа к данному объекту, подлежащие аудиту, например, запись в защищённый файл. Изменяя свойства объекта, администраторы могут устанавливать разрешения, назначать права владения и отслеживать доступ пользователей к объекту.
Администраторы могут контролировать доступ не только к самому объекту, но и к отдельным атрибутам этого объекта. Например, путём соответствующей настройки дескриптора безопасности можно разрешить доступ пользователей к некоторой части информации, такой как имя и номер телефона сотрудника, закрыв для просмотра другую часть, например, домашний адрес.
С помощью списков управления доступом (ACL) к объектам операционная система Windows 2000 сравнивает информацию о клиенте с информацией об объекте с целью определения того, имеет ли данный пользователь необходимые права доступа (например, разрешение на чтение/запись) к данному объекту (например, файлу). Проверка производится на уровне ядра подсистемы безопасности Windows 2000. В зависимости от результата сравнения служба ответит клиенту либо выполнением запроса, либо отказом в доступе.
Детализированный контроль доступа
Для обеспечения большей гибкости в регулировании настроек безопасности служба каталогов Active Directory предоставляет администраторам возможность детализированного контроля доступа к объектам каталога. Объекты в Active Directory, соответствующие пользователям или группам, могут иметь буквально сотни атрибутов, таких, как номера домашних и рабочих телефонов, имена руководителей, а также названия групп, в состав которых входит данный объект. Разрешения могут задаваться только для некоторых атрибутов выбранной учётной записи без предоставления прав на чтение/запись всех атрибутов. Можно также контролировать изменения в учётной записи пользователя или других записях в Active Directory для каждого атрибута.
Делегирование прав администрирования
Для того чтобы организации могли распределять ответственность за управление доменами между несколькими сотрудниками, Active Directory позволяет администраторам делегировать полномочия на выполнение задач администрирования в пределах леса или домена. Административный контроль может быть передан на любой уровень дерева доменов путём создания подразделений, включающих объекты, над которыми необходимо установить контроль, с последующим делегированием прав администрирования этих подразделений определённым пользователям или группам.