Защита информации средствами Windows 2000

Система безопасности

Аутентификация пользователей
Разграничение доступа к ресурсам
Права и привилегии пользователей
Делегирование административных полномочий
Аудит

Аутентификация

Прежде чем допустить пользователя к ресурсам система должна его идентифицировать
Учетная запись
Имя

Службы Kerberos

Key Distribution Center (KDC)
Authentication Service (AS)
Интерактивная регистрация пользователя в домене
Билет

Возможности Kerberos

Транзитивные доверительные отношения между доменами
Inter-Realm Key для каждой пары доверяющих

Контроль доступа к объектам

Субъект

Привилегии
Возможность выполнять ту или иную операцию на данном компьютере
Ассоциированы с пользователем
Права
Запреты

Маркер доступа

Маркер доступа субъекта
Формируется для каждого субъекта
Ассоциируется с каждым потоком, исполняемым

Объект

Объекты файловой системы
Файлы
Папки
Объекты каталога Active Directory
Пользователи
Компьютеры
Принтеры
Контейнеры
Свойства объекта определяются набором атрибутов

Дескриптор безопасности объекта

Discretionary Access Control List, DACL
Список запретов и разрешений,

OU 2

Наследование

Формирование ACL объекта в иерархии
Явные назначения
Наследование с верхних уровней
Статический механизм

Эффективные права

Порядок следования строк ACE в финальном списке
Явные запреты
Явные разрешения
Унаследованные

Проверка прав

Унаследованные строки

Явные назначения

SID 65

SID 141

SID 172

SID 199

Пользователь

Объект

Access Denied

✔

Инфраструктура открытого ключа

Концепции PKI

Методы шифрования
Симметричное шифрование
Шифрование потоков данных с помощью сеансового ключа, известного

CSP и CryptoAPI

CryptoAPI
Программные интерфейсы к криптографическим службам Windows 2000
Cryptographic Service Provider
Криптографические

Алгоритмы

Симметричное шифрование
Data Encryption Standard (DES)
DES-CBC, Triple DES, DESX
Rivest’s Cipher (RC)
RC2, RC4
Обмен

Цифровая подпись

Digital Signature Algorithm (DSA)
RSA Digital Signature

Digest

Алгоритм дешифрования

Личный ключ

Алгоритм шифрования

@;o)J)Г(?л(&(*(#Xl;

Digest

Digest

Открытый ключ

Hash

Hash

✔

Сертификат

Цифровое удостоверение
Стандарт X.509 версия 3
Информация, однозначно идентифицирующая субъекта
Его открытый ключ
Допустимые режимы

Microsoft Certificate Services

Certification Authority
Выдача сертификатов клиентам
Генерация ключей, если нужно
Отзыв сертификатов
Публикация Certificate

Microsoft CA

Enterprise CA
Интегрирован с Active Directory
Выдает сертификаты только объектам, имеющим учетные

Иерархия CA

Intermediate CA

Issuing CA

Issuing CA

Issuing CA

Certification Path

CRL

Certificate Revocation List
Список отозванных сертификатов
Должен публиковаться и регулярно обновляться каждым CA

Хранилища сертификатов

Физические хранилища
Active Directory
Реестр операционной системы клиента
Файловая система
Логические хранилища
Personal
Trusted Root Certification

Проверка сертификата

✔

Шифрующая файловая система (EFS)

Концепции EFS

Шифрование данных, на уровне файловых операций NTFS
Прозрачный доступ к зашифрованным

Архитектура EFS

Вызовы File System Run-Time Library (FSRTL)

I/O Manager

EFS.SYS

Win32 subsystem

User mode

Kernel mode

NTFS

CryptoAPI

Взаимодействие

Шифрование файла

DRF

DDF

Создание Data Recovery Field (RSA)

Создание Data Decryption Field (RSA)

Шифрование данных (DESX)

CryptoAPI

...Совершенно секретно!

Расшифровка файла

DRF

@KLDJK*(;lxdg;o)J)Г(?л*Щ)(&(*(#Xlk;oD;

DDF

Извлечение FEK (RSA)

Извлечение FEK (RSA)

Расшифровка данных (DESX)

...Совершенно секретно! Всем участникам ...

Личный ключ

Особенности EFS

Работает только при наличии хотя бы одного агента восстановления
Нельзя зашифровать
Системные

Защита коммуникаций

Secure Channel

“Microsoft Unified Security Support Provider”
Secure Sockets Layer (SSL) 3.0
SSL 2.0
Transport

Концепции SSL/TLS

При установлении защищенного сеанса участники
Договариваются, какие криптографические алгоритмы будут использоваться

Алгоритм SSL/TLS

(32bytes) Client Random

(32bytes) Server Random

(48bytes) Pre-Master Secret

Сервер

Клиент

Открытый ключ сервера

Личный ключ

Применение SSL/TLS

Протоколы Secure Channel работают на уровне “Application” (OSI)
Приложение должно явно

Remote Access Service

Защищенное подключение удаленного клиента по PPP
Два уровня аутентификации
Аутентификация PPP
PAP,

Виртуальные сети

Защищенное подключение клиента к серверу удаленного доступа через виртуальный туннель,

Туннельные протоколы

Point-to-Point Tunneling Protocol (PPTP)
Generic Routing Encapsulation (GRE)
Шифрование
Модификация протокола MPPE
Layer 2

IP Security (IPSec)

Концепции IPSec

Защита данных на уровне сетевых пакетов
Прозрачно для приложений
Два уровня защиты
Обеспечение

Протоколы IPSec

Authentication Header (AH)
Подписывает неизменяемую часть заголовка и данные IP-пакета
HMAC MD5

Протоколы IPSec

Encapsulating Security Payload (ESP)
Зашифровывает весь пакет, за исключением заголовков

Компоненты IPSec

IPSec Driver
Обрабатывает пакеты
IPSec Filter
Указывает, какие пакеты и как нужно обрабатывать
IPSec

Процессы IPSec

IKE

IPSec Driver

IPSec Filter

IPSecPolicy

IPSec Driver

IPSec Filter

IKE

Инициация переговоров

Переговоры и генерация SA

IPSecPolicy

Переговоры IKE

Фаза 1
Предварительные переговоры
Взаимная аутентификация машин
Kerberos (в рамках домена/леса)
Сертификаты
Заданный ключ