Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
• по возможности не использовать удаленное редактирование системного реестра.
Выполнение перечисленных рекомендаций позволит обезопасить работу в ЛВС под управлением ОС Windows NT.
244 Компьютерная безопасность и практическое применение криптографии
Результатом решения проблем, связанных с безопасностью ОС Windows NT, стало появление в Windows NT 5.0 целого ряда механизмов безопасности:
• применение активных каталогов (AD), построенных с использованием архитектур Х.500 и DNS; службы безопасности могут использовать их для хранения учетных записей. ОС Windows NT определяет взаимодействие активного каталога и служб безопасности. В активном каталоге хранятся правила безопасности домена и учетные записи, причем доступ к этой информации надежно защищен. При определении прав доступа активный каталог, как и другие процессы, использует процедуру олицетворения. Это означает, что права доступа по запросам клиентов по протоколу LDAP (базовый протокол для взаимодействия с активным каталогом) проверяются ОС, а не самим каталогом. В свою очередь, компоненты системы безопасности ОС доверяют информации, хранящейся в активном каталоге;
• применение файловой системы с шифрованием. Файловая система подобного типа работает прозрачно для пользователя и обеспечивает шифрование данных на уровне файлов или папок. Эта система работает с использованием Crypto API и применяет для шифрования DES, а хранение ключей шифрования файлов осуществляется вместе с защищаемыми ресурсами (в виде отдельных полей данных в зашифрованном файле). При этом для шифрования ключей шифрования файлов используются асимметричные алгоритмы;
• поддержка многочисленных протоколов безопасности:
- Kerberos 5.0 заменит в Windows NT 5.0 существовавший до этого протокол LAN Manager (NTML) и станет основным средством обеспечения доступа к ресурсам как внутри доменов, так и между ними. Сервер распределения ключей (KDC) будет реализован на каждом контроллере домена, которые становятся полностью эквивалентными кластерами в архитектуре Kerberos. Клиентское ПО реализовано в виде DLL-библиотеки провайдера безопасности (security provider), а процедура начальной аутентификации интегрирована в сервис WinLogon, который от имени пользователя получает первый билет на сервере Kerberos (то есть контроллере домена). Серверное ПО интегрировано в службы обеспечения безопасности контроллера домена. Для доступа к базе данных субъектов применяется служба каталогов (Windows NT Directory Service). Другие системные компоненты NT, например редиректор (Redirector), используют Kerberos для обращения к серверу SMB при удаленном доступе к файлам.
Защита в локальных сетях
245
Windows NT будет поддерживать делегирование полномочий субъектов с помощью опций PROXY и FORWARDING в билетах. При этом серверы могут от имени клиентов получать билеты на доступ к другим серверам;
- NTLM-протокол проверки подлинности в Windows NT будет использоваться только для взаимодействия с предыдущими версиями ОС;
- протокол распределенной проверки подлинности паролей (DPA);
- SSL/PCT-протоколы, которые будут использоваться для обеспечения защиты в технологии «клиент-сервер». В качестве инфраструктуры, поддерживающей функционирование данного про-токола, будут реализованы две службы: служба сертификации открытых ключей в домене NT и интерфейс CryptoAPI v2.0; последний будет поддерживать сертификаты открытых ключей в формате Х.509.
Интеграция протоколов безопасности в прикладное ПО реализована за счет создания нового интерфейса для приложений Win32 - SSPI (Security Support Provider Interface), см. рис. 3.7. Применение этого интерфейса позволит унифицировать обращение к функциональным возможностям данных протоколов и изолировать прикладное ПО от выполнения функций безопасности. Вынесение этих функций за рамки прикладного ПО позволит минимизировать влияние ошибок или закладок в программах на уровень обеспечиваемой безопасности.
SSPI представляет собой набор доступных прикладному ПО функций, которые могут быть разбиты на следующие классы:
DCOM applications
I
RPC runtime RDR/Server IE IIS
r
NTML Kerberos v5 SSL/PCT DPA
MSV1 О SAM KDC DS Certificate Normandy
Рис. 3.7. ИнтерфейсSSPI
246 Компьютерная безопасность и практическое применение криптографии
• управление мандатами пользователей (табл. 3.2);
• управление контекстом безопасности. Под контекстом безопасности следует понимать следующую структуру данных:
typedef struct_SecPkgInfo {
ULONG Fcapabilities; //битовая маска возможностей пакета USHORTwVersion; //версия драйвера
USHORTwRPCID; //идентификатор RPC времени выполнения
ULONG cbMaxToken; //размер маркера аутентификации (authentication
token)
SEC_CHAR *Name; //имя
SEC_CHAR *Comment; //комментарий
} SecPkglnfo, *PsecPkgInfо;
Таблица 3.2. Функции, доступные t iSSPI
Функция Назначение
AcquireCredentialsHandle Получение дескриптора данных авторизации
FreeCredenfialsHandle Освобождение дескриптора данных авторизации
QueryCredentialsAttributes Получение информации о дескрипторе
