Обязательная процедура входа в систему.
Безопасность сетей.
Оглавление
Безопасность сетей. 2
А. Безопасность входа в систему. 2
B. Основные этапы создания учетных записей. 12
Аудит. 19
Защита паролей. 20
Системная политика. 22
Файловые системы. 30
ПРИЛОЖЕНИЕ.. 35
Обеспечение безопасности сетей представляет собой сумму мероприятий, направленных на предотвращение несанкционированного доступа к ресурсам сети, а именно:
A. Безопасность входа в систему
B. Безопасность доступа к файловой системе
C. Безопасность передачи данных по сети
D. Физическая защита оборудования и помещений.
E. Организация администрирования, аудита, защиты от персонала.
Эти мероприятия связаны друг с другом и обеспечиваются в рамках единой комплексной технологии обеспечения безопасности. Вот почему при изложение каждого отдельно взятого типа защитных мероприятий необходимо учитывать требования, связанные с другими типами.
А. Безопасность входа в систему
Первый уровень защиты, очевидно, связан с обеспечением контроля за входом в систему. Его цель –
a) исключить несанкционированный доступ на входе в сеть
b) предоставить возможность проконтролировать историю обращений к сети.
Следует отметить, что доступ к сети, вообще говоря, не означает полного доступа ко всем ресурсам. Поэтому в решении этой задачи предусмотрены как средства аутентификации пользователя, так и средства описывающие права доступа к различным ресурсам сети. Что касается аудита и протоколирования событий на входе в сеть, то эти мероприятия направлены на обеспечение возможности анализа и восстановления потерь.
Обязательная процедура входа в систему.
Эта процедура основана на физическом контроле над действиями пользователя и предусматривает обязательное нажатие комбинации клавиш Ctrl+Alt+Del. Эта команда рассматривается BIOS как аппаратное прерывание. Таким образом, его невозможно эмулировать программными средствами и, например, фальсифицировать вход в систему с помощью ложного диалога с целью собрать пароли пользователей. (Впрочем все усилия легко могут быть сведены на нет пользователем раздающим свои данные по любому запросу из сети).
Последовательность действий, выполняемых операционной системой компьютера (ОС) несколько отличается при входе в сеть и локальном входе и представляет собой следующую последовательность.
ü Реакция на <Ctrl>+<Alt>+<Del> состоит в запуске специального процесса (WinLogon), аутентификации пользователя.
ü В предоставленное окно пользователь вводит имя (Login) и пароль (Password), которые в зашифрованном виде WinLogon отсылает для проверки к распорядителю локальной безопасности (Local Security Authority - LSA). Если вход локальный (локальная учетная запись) LSA выдает запрос на аутентификацию «диспетчеру учетных записей» компьютера. В противном случае LSA создает защищенный канал связи (NetBIOS соединение) с сетевой службой NetLogon контроллера домена и выдает по нему запрос на аутентификацию Диспетчеру учетных записей контроллера домена (глобальная учетная запись). Понятие «учетная запись» будет подробно рассмотрено ниже. Здесь же ее можно толковать как запись в специализированной базе данных, предназначенную для реализации прав доступа к различным ресурсам сети и локального компьютера. Одним из важнейших элементов информации в этой базе данных служит идентификатор безопасности (Security Identifier – SID), позволяющий ОС однозначно идентифицировать учетную запись пользователя. SID - это основной ключ записи в базе со всеми вытекающими из этого определения требованиями – уникальность, недоступность для модификации и т.д..
ü Если Диспетчер учетных записей (локального компьютера или контроллера домена) подтвердил пароль, LSA создает выписку из базы данных, именуемую «маркер доступа». Маркер доступа включает в себя SID учетной записи пользователя, SID других записей, связанных с пользователем, Локальный уникальный идентификатор (Local Unique Identifier –LUID), который представляет собой некоторую комбинацию прав пользователя, построенную диспетчером на основе информации из базы данных. Кроме того Маркер доступа может содержать данные о NetBIOS соединении, если проверка осуществлялась «контроллером домена». Маркер доступа возвращается WinLogon процессу, который, в свою очередь передает «маркер доступа» ОС. ОС запускает процесс входа в систему для пользователя для установления рабочего окружения пользовательского процесса.
Основной вывод состоит в том, что в процессе идентификации пользователя участвует специальная служба, обеспечивающая обмен зашифрованными сообщениями и любые дальнейшие действия в компьютере выполняются с подтверждениями, устанавливаемыми Маркером доступа - специально организованной выпиской из базы данных учетных записей пользователей.
Существует модифицированный современный более простой вход в систему. По существу он не отличается от изложенного выше, но имеет более привлекательный интерфейс.
Похожим образом осуществляется обращение клиента на сервер.
ü Реагируя на обращение клиента на сервер, программное средство для сетевых клиентов генерирует диалоговое окно запроса имени (Login) и пароля (Password), и создает защищенный канал связи (NetBIOS соединение) с сетевой службой NetLogon сервера.
ü Программное средство для сетевых клиентов передает серверу имя и пароль в зашифрованном виде. WinLogon процесс сервера передает имя и зашифрованный пароль Распорядителю локальной безопасности (LSA). Если Учетная запись пользователя оказывается локальной для сервера (проверка аутентичности поручена серверу), LSA выдает запрос на аутентификацию Диспетчеру учетных записей сервера. В противном случае LSA создает защищенный канал связи службы NetLogon с контроллером домена и выдает по нему запрос на аутентификацию Диспетчеру учетных записей контроллера домена.
ü LSA создает маркер доступа, который возвращается WinLogon процессу, который, в свою очередь, связывает маркер доступа с NetBIOS соединением, созданным клиентом. В дальнейшем исполнение запросов клиента по этому соединению осуществляется под контролем этого Маркера доступа.