Обеспечение безопасности в гетерогенных сетях
3.1.Средства безопасности в Windows NT
Использование аппаратно-программных средств защиты рабочих станций является хорошим решением с точки зрения обеспечения их безопасности. Однако использование этих средств имеет также целый ряд недостатков. К ним, в частности, относятся рассмотренные ниже.
Относительно высокие стоимостные показатели.
Сложность инсталляции и конфигурации. Как правило, с первого раза правильно настроить систему защиты не представляется возможным. Обычно это связано с отсутствием в организации полного детального списка всех аппаратных, программных и информационных ресурсов системы, подлежащих защите, и готового непротиворечивого перечня прав доступа и полномочий каждого пользователя. В тоже время, во многих случаях защищаемая информационная сеть используется для решения важных задач, часто в непрерывном технологическом цикле, ее владельцы и пользователи неодобрительно относятся к любому, даже кратковременному перерыву в ее работе, необходимому для установки и настройки средств средств защиты информации.
Дополнительные трудности, связанные с администрированием.
Относительно слабая интеграция подсистем разграничения прав доступа и аудита отечественных аппаратно-программных комплексов в среду IntranetWare.
Относительно высокие требования к ресурсам рабочей станции пользователя.
Совершенно естественная задержка в выпуске средств защиты, рассчитанных на конкретную операционную систему, по отношению к выходу в свет новых версий и модификаций самой операционной системы. Пользователи защищенных сетей обречены на использование устаревших операционных систем. Так например, описанная ранее Assure EC Workstation пока позволяет работать только в среде DOS/Windows.
В тех случаях, когда применение аппаратно-программных комплексов защиты по тем или иным причинам нежелательно, можно ограничиться использованием коммерческой настольной операционной системы, обеспечивающей разграничение прав и регистрацию событий (аудит) на рабочих станциях пользователей. Наибольшую популярность среди систем подобного рода получила Windows NT Workstation. Рассмотрение систем управления безопасностью в Windbws NT Workstation следует производить совместно с описанием подсистем безопасности в Windows NT Server. В 1998 г. последней версией этих операционных систем являлись v.4.0. В 1999 г. ожидается выход в свет v.5.0.
К основным свойствам Windows NT Workstation 4.0 отнocятcя:
вытесняющая многозадачность;
возможность использования 2-го процессора;
наличие файловой системы NTFS, поддерживающей локальную безопасность, то есть разграничение прав пользователя на собственной рабочей станции; NTFS поддерживает избирательные права доступа и привилегии владельца, гарантирующие целостность хранящихся данных;
возможность запуска приложений в отдельной области памяти, что существенно повышает стабильность работы операционной системы;
интеграция с продуктами семейства Microsoft BackOffice, в состав которого входит Microsoft SQL Server;
более высокие по сравнению с Windows 95 характеристики для приложений, интенсивно использующих процессор.
Windows NT Server характеризуется следующим:
возможностью оптимальной настройки сервера Windows NT как файлового сервера, или сервера печати, или сервера приложений;
симметричной поддержкой до 4 процессоров;
программной поддержкой RAID-технологий;
возможностью функционирования в качестве информационного сервера Internet, поддерживающего HTTP, FTP и Gopher сервисы;
обеспечением целого ряда дополнительных сетевых сервисов, таких как многопротокольная маршрутизация, DNS, DHCP и др.;
поддержкой единой базы данных сетевого администрирования NT Directory Services (NTDS).
Система безопасности в Windows NT ориентирована на использование стандартных описаний пользователей и стандартных групп, которые создаются в процессе инсталляции. К стандартным пользователям относятся Administrator (администратор, аналог Supervisor в NetWare 3) и Guest (гость). Данного пользователя нельзя удалить из системы, но можно (и настоятельно рекомендуется) переименовать. Administrator обладает полным контролем над системой и может выполнять следующие действия:
управлять доступом пользователей к ресурсам сети;
изменять конфигурацию сетевой операционной системы;
создавать и иметь полной доступ к общим сетевым директориям;
инсталлировать принтеры;
создавать разделы на жестком диске и форматировать его.
Пользователь Guest имеет ограниченный администратором доступ к объектам файловой системы. Может быть использован для организации доступа относительно большого количества пользователей к некоторым файлам и директориям компьютера под управлением Windwos NT как локально, так и удаленно.
К стандартным группам относятся (приводятся названия, принятые для NT Server и для английской версии NT Workstation):
Administrators;
Backup Operators;
Users;
Guests;
Replicator;
Power Users (только для NT Workstation);
Server Operators (только для NT server);
Print Operators (только для NT server).
Помимо перечисленных выше групп определена группа Everyone. Эта группа включает по умолчанию. Список членов этой группы не может быть изменен. Стандартные группы не могут быть переименованы.
Для Windwos NT определены такие понятия как права (rights) и допуски (permissions). Права определены для действии, а допуски – для объектов файловой системы.
Приведем перечень прав, как правило, присваиваемых пользователям:
доступ к данной рабочей станции по сети;
включение рабочей станции в домен;
резервное копирование файлов и директорий;
изменение системного времени;
удаленное выключение рабочих станций;
загрузка и выгрузка драйверов устройств;
локальная регистрация на рабочих станциях;
управление аудитом;
восстановление файлов и директорий;
выключение системы;
взятие файлов во владение, то есть возможность управлять доступом к этим файлам.
Система допусков пользователей к объектам файловой системы действует аналогично системе прав пользователей на файлы в NetWare. Названия соответствующих допусков (Full Control, No Access, BeadWriteAdd, Change и т.д) не требуют специальных комментариев. Примерно по тем же правилам, что и в NetWare, эффективный набор допусков пользователей образуется как суперпозиция допусков, назначенных как данному пользователю непосредственно, так и всем группам, в которые он входит. Но есть одно исключение. Если хотя бы одной группе, в которую входит пользователь, либо ему непосредственно назначен допуск No Access, то пользователь не получит доступа к соответствующему файлу или директории вне зависимости от того, какие допуски назначены остальным группам, в которые он входит. Принцип наследования допусков в Windows NT не реализован. Однако, при назначении допуска на директорию можно распространить (а можно и не распространять) его на все низлежащие директории и файлы.
Управляющая информация для Windows NT хранится в специальной базе данных, которая называется реестром (Windows NT registry). Он включает в себя информацию по конфигурации аппаратуры, системного и прикладного программного обеспечения, настройки рабочего стола, профили пользователя, ассоциации, а также другую служебную информацию. Реестр заменяет файлы с расширением *.INI, которые использовались в предыдущих версиях Windows.
Реестр имеет иерархическую структуру (рис. 3.1), напоминающую структуру файловой системы. Каждый уровень иерархии имеет свое специальное название. Рассмотрим их подробнее.
1. Поддерево (subtree) реестра аналогично корневой директории файловой системы. Реестр Windows NT включает 5 деревьев:
HKEY_LOCAL_MACHINE. Включает все параметры конфигурации компьютера. Операционная система, драйверы и приложения используют данные этого поддерева. Ряд данных используются в процессе запуска для определения номенклатуры загружаемых драйверов;
HKEY_USERS. Включает информацию по безопасности Для каждого пользователя и настройки системы для него по умолчанию;
HKEY_CURRENT_USER. Содержит данные по пользователю, зарегистрированному в настоящее время на данной рабочей станции;
HKEY_CLASSES_ROOT. Содержит информацию по конфигурации программного обеспечения;
HKEY_CURRENT_CONFIG. Содержит информацию о текущем профиле оборудования.
2. Улей (hive) представляет собой набор ключей, подключей и параметров (рис. 3.1).
Рис. 3.1. Структура реестра Windows NT
3. Ключ аналогичен директориям файловой системы. Включает подключи и параметры.
4. Параметры аналогичны файлам в файловой системе. Представляют собой самый нижний уровень в иерархической системе. Параметры состоят из 3 частей:
имени;
типа данных;
значения параметра.
Компьютер (сервер или рабочая станция) под управлением Windows NT может занимать одно из следующих мест в сети:
Станция в составе рабочей группы. Ресурсы каждой, рабочей станции доступны другим рабочим станциям в составе группы. Информация безопасности, управляющая допуском пользователей к ресурсам рабочей станции, хранится на этой станции.
Член домена. В домене предусмотрено централизованное управление безопасностью через базу данных, хранящуюся на одном из серверов домена, который называется первичным контроллером домена (Primary Domain Controller – PDC).
Клиентская рабочая станция в составе гетерогенной вычислительной сети (например, IntranetWare и Windows NT). Удаленный доступ к ресурсам данной рабочей станции невозможен.
В модели рабочей группы (рис. 3.2) пользователи совместно используют ресурсы локальных компьютеров. Эта модель не требует наличия центрального сервера. Управление безопасностью распределено по сети. Данная модель применима для небольшого числа рабочих станций (не более 10 в рабочей группе).
Рис. 3.2. Рабочая группа Windows NT
Понятие домена было введено для того, чтобы довести модель рабочей группы до масштаба предприятия. Домен представляет собой логическую группу серверов и рабочих станций (рис. 3.3).
В состав домена входит сервер Windows NT, который содержит основную копию базы данных (директории), включающую описания пользователей, групп и рабочих станций, входящих в состав – домена. Таким образом, администрирование безопасности становится централизованным. Для повышения надежности база данных домена копируется на другие серверы домена, которые называются резервными контроллерами домена (Backup DomainController – BDC).
Домен обеспечивает единую систему инедтификации и аутентификации поользователей, когда пользователь может регистрироваться в домене с любой разрешенной рабочей станции.
Каждый сервер Windows NT может выступать в одной из трех ролей:
первичный контроллер домена;
резервный контроллер домена;
член домена (Member Server), не содержащий копии базы данных домена.
В отношении первичного контроллера домена справедливы следующие утверждения:
домен имеет один первичный контроллер;
база данных первичного контроллера домена содержит информацию о всех пользователях данного домена;
все изменения, вносимые администратором, производятся на первичном котроллере домена;
база данных, содержащаяся в первичном контроллере домена, реплицируется на резервный контроллер домена, что позволяет пользователям осуществлять аутентификацию на резервном контроллере домена; такая возможность обусловлена тем обстоятельством, что в Windows NT, в отличие от IntranetWare, информация о времени регистрации и сетевом адресе пользователей не фиксируется в базе данных;
для обеспечения отказоустойчивости информационная база данных домена периодически копируется из первичного контроллера домена на резервные контроллеры домена;
в случае выхода из строя сервера, содержащего первичный контроллер домена, один из серверов, содержащих резервный контроллер домена, может быть вручную переведен администратором в первичные контроллеры домена.
В доменной структуре Windows NT определены понятия глобальных и локальных пользователей и групп. Глобальным группам и пользователям могут быть предоставлены права и допуски в пределах всего домена, локальным только на данном сервере или рабочей станции. Глобальные группы могут быть включены в локальные. По умолчанию определены две глобальные группы:
Domain Administrators;
Domain Users.
В группу Administrators на каждом компьютере домена по умолчанию включается группа Domain Administrators.
Как уже упоминалось, изложенная выше структура носит название NT Directory Services (NTDS). По сравнению со службой сетевого каталога NDS NTDS обладает двумя основным недостатками.
Первый из них состоит в том, что NTDS имеет одномерную структуру. Одномерная структура имен удобна для относительно небольшой организации (число пользователей не более 100). При числе пользователей превышающем 100 резко возрастают стоимостные затраты, связанные с администрированием. При числе пользователей порядка 1000 администрирование становится практически невозможным. В то же время в лаборатории Novell была успешно смоделирована и сертифицирована независимой фирмой Key Labs Inc. IntranetWare с NDS на 2 миллиона пользователей.
Второй недостаток состоит в том, что в NTDS отсутствует возможность изменять схему (то есть перечень объектов и набор параметров, описывающих каждый объект). Например, для управления почтовым сервисом в Windows NT следует создать дополнительную базу данных. Для решения этой же задачи в NDS достаточно добавить новые объекты, а также снабдить уже существующие объекты NDS новым набором свойств.
Для управления доступом пользователей к объектам NTDS используются рассмотренные ниже возможности:
Система ограничений, содержащихся в описании пользователей. Эта система в целом аналогична той, что действует в NDS, но поскольку аутентификация в NTDS выполняется только в момент регистрации, эти ограничения действуют только в период первичной регистрации пользователей в домене и не распространяются на весь сеанс работы, как в IntranetWare.
Права пользователя на выполнение определенных действий. Перечень основных действий былдан при описании групп Windows NT. Обычно права пользователя выполнять эти действия определяются принадлежностью его к определенным группам.
Допуск пользователей к объектам файловой системы. Определены права доступа пользователей и групп к объектам файловой системы на локальном компьютере (при использовании NTFS), и права доступа пользователей и групп к этим же объектам удаленно. При доступе пользователей к ресурсам рабочей станции по сети эффективные права определяются методом пересечения.
Создание профилей пользователя.
Определение системных политик.
Профили пользователя представляют собой набор параметров, определяющих:
настройки рабочего стола пользователя (положение значков, обои и т.д.);
автоматические подключения сетевых дисков при входе в сеть;
приложения, которые запускаются при старте операционной системы.
Различают следующие типы профилей пользователя:
локальный профиль, хранящийся на рабочей станции;
блуждающий, хранящийся на сервере – первичном контроллере домена – и изменяющийся пользователем;
мандатный, хранящийся на сервере – первичном контроллере домена – и не изменяющийся поль зователем.
Системная политика (System Policy)в Windows NT представляет собой некоторый набор значений, который присваивается соответствующим параметрам реестра в момент аутентификации пользователя в сеть. Системная политика определяется для пользователя, группы пользователей, и для компьютера. В случае, если какой-то параметр системной политики противоречит настройкам профиля пользователя, используется настройка системной политики.
Использование профилей и системных политик позволяет создать замкнутую рабочую среду, облегчающую выполнение пользователем производственных задач и затрудняющих выполнение не относящихся к основной производственной деятельности действий.
Для контроля за работой пользователей на персональных компьютерах, работающих под управлением Windows NT, можно назначать регистрацию некоторых классов событий (рис. 3.4). Для этого администратор может задать политику аудита. При этом регистрации подлежат следующие события:
регистрация пользователей и окончание сеансов их работы в сети; аудиту подлежат как локальная, так и удаленная регистрация;
доступ к файлам и объектам (относится только к файлам, директориям на NTFS разделе);
управление пользователями и группами; создание, удаление, изменение и переименование пользователей и групп, блокировка и разблокировка описаний пользователей, любые изменения паролей;
изменения политики безопасности; любые изменения прав пользователей или политики аудита;
выключение и перезагрузка системы на локальной рабочей станции;
слежение, за процессами активации программ, опосредованного доступа к объектам и окончания работы процессов.
Рис. 3.4 Управление регистрацией событий в Wiridows
На рис. 3.4 отражен тот факт, что количество типов событий, подлежащих регистрации, и гибкость управления регистрацией существенно уступают IntranetWare. Кроме того, не реализовано независимое администратора управление аудитом.
Стандартные настройки Windows NT с точки зрения специалистов фирмы Microsoft не соответствуют требованиям безопасности, предъявляемым по классу С2. Это сделано по той причине, что большинство организаций – пользователей Windows NT нуждается в более открытой структуре операционной системы, и ограничения, обусловленные требованиями безопасности, только мешают их нормальной работе.
Специалисты Microsoft рекомендуют осуществлять дополнительные настройки серверов и рабочих станций Windows NT для достижения повышенного уровня безопасности. Описание этих на строек пpиведeн в тaбл 3.l. В этой тaблицe к типу 1 отнесены рабочие станций и серверы Windows NT, не являющихся контроллерами доменов, а к типу 2 – контроллеры доменов.
Таблица 3.1. Настройки серверов и рабочих станций, обеспечивающие повышенный уровень безопасности
Фирма Nicrosoft рекомендует следующим образом назначить допуски пользователям к системным директориям (табл. 3.2).
Таблица 3.2. Допуски пользователей к системным файлам
Следует установить права допуска QueryValue, Enumerate Subkeys, Notify и Read Control для группы Everyone для следующих ключей реестра со всеми подключами:
1. HKEY_LOCAL_MACHINE
\Software
\Software\Microsoft\RPC
\Software\Microsoft\Windows NT\CurrentVersion
\Software\Microsoft\Windows NT\CurrentVerslon\Profile List
\Software\Microsoft\Windows NT\CurrentVersion\AeDebug
\Software\Microsoft\Windows NT\CurrentVersion\Compatibility
\Software\Microsoft\Windows NT\CurrerrtVersion\Drivers
\Software\Microsoft\Windows NT\CurrerrtVersion\Embedding
\Software\Microsoft\Windows NT\CurrerrtVersion\Fonts
\Software\Microsoft\Windows NT\CurrerrtVersion\FontSubstitutes
\Software\Microsoft\Windows NT\CurrerrtVersion\Font Drivers
\Software\Microsoft\Windows NT\CurrerrtVersion\Font Mapper
\Software\Microsoft\Windows NT\CurrerrtVersion\Font Cache
\Software\Microsoft\Windows NT\CurrerrtVersion\GRE_Initialize
\Software\Microsoft\Windows NT\CurrerrtVersion\MCI
\Software\Microsoft\Windows NT\CurrerrtVersion\PerfLib
\Software\Microsoft\Windows NT\CurrerrtVersion\Port
\Software\Microsoft\Windows NT\CurrerrtVersion\Type 1 Installer
\Software\Microsoft\Windows NT\CurrerrtVersion\WOW
\Software\Microsoft\Windows NT\CurrerrtVersion\Windows3.1
MigrationStatus
\Software\CurrentControlSet\Services\LanmanServer\Shares
2. HKEY_CLASSES_ROOT
\HKEY_CLASSES_ROOT
3. HKEY_USERS
\.DEFAULT
Для ограничения удаленного доступа к реестру Windows NT рекомендуется создать ключ
HKEY_LOCAL_MACHINE\System\CurrentcontrolSet\SecurePipeServers
\winreg\AllowedPaths, куда необходимо вписать директории реестра, разрешенные для удаленного доступа. Кроме того, в реестре следует сделать настройки приведенные в табл. 3.3.