Технический обзор системы безопасности Windows 2000



Скачать 357.19 Kb.
страница1/6
Дата06.07.2019
Размер357.19 Kb.
  1   2   3   4   5   6

О
перационная система

Технический обзор системы безопасности Windows 2000



Информационный документ

Аннотация

Благодаря распределенным службам безопасности операционной системы Microsoft® Windows® 2000 Server организации могут идентифицировать пользователей сети и управлять их доступом к ресурсам. В этой модели безопасности операционной системы используются доверительная проверка подлинности контроллерами доменов, делегирование полномочий между службами, а также объектно-ориентированное управление доступом. Ключевую роль играют интеграция со службой каталогов Active Directory™, поддержка протокола аутентификации Kerberos версии 5, файловая система EFS (Encrypting File System – шифрующая файловая система) для защиты локальных данных, а также поддержка безопасной связи по общедоступным сетям с использованием протоколов IPSec (Internet Protocol security). Кроме того, разработчики могут использовать элементы системы безопасности Windows 2000 при создании собственных приложений, а организации могут применять систему безопасности Windows 2000 совместно с другими операционными системами, система безопасности в которых основана на протоколе Kerberos.


Информация, содержащаяся в настоящем документе, представляет текущую точку зрения корпорации Майкрософт по обсуждаемым вопросам на момент публикации. В условиях меняющейся рыночной конъюнктуры, требующей соответствующей корректировки ведущихся разработок, данную информацию не следует рассматривать в качестве какого бы то ни было обязательства со стороны Майкрософт; корпорация не может гарантировать точность информации, представленной после даты публикации.

Данный документ носит чисто информативный характер. КОРПОРАЦИЯ МАЙКРОСОФТ НЕ ПРЕДОСТАВЛЯЕТ НИКАКИХ ГАРАНТИЙ, НИ ЯВНО ВЫРАЖЕННЫХ, НИ ПОДРАЗУМЕВАЕМЫХ, В СВЯЗИ С ДАННЫМ ДОКУМЕНТОМ.

На пользователе лежит ответственность за соблюдение всех применимых в данном случае законов об авторском праве. В целях обеспечения авторских прав никакая часть настоящего руководства ни в каких целях не может быть воспроизведена или передана в какой бы то ни было форме и какими бы то ни было средствами (электронными или механическими, включая фотокопирование и запись на магнитный носитель), если на то нет письменного разрешения корпорации Майкрософт.

Предмет данного документа может быть защищен патентами, патентными заявками, товарными знаками, авторским правом или иным образом в пользу корпорации Майкрософт. Данный документ не дает разрешения на использование этих патентов, товарных знаков или авторского права, если таковое не оговорено явным образом в каком-либо лицензионном соглашении корпорации Майкрософт.

© Корпорация Майкрософт (Microsoft Corporation), 2000. Все права защищены. Microsoft, BackOffice, Active Directory, Windows и Windows NT являются охраняемыми товарными знаками корпорации Майкрософт в США и других странах.

Названия других продуктов или предприятий, указанные здесь, могут быть товарными знаками соответствующих владельцев.

Microsoft Corporation • One Microsoft Way • Redmond, WA 98052 6399 • USA

Содержание


Введение 1

Роль службы каталогов Active Directory 2

Протокол аутентификации Kerberos 10

Инфраструктура открытого ключа 14

Смарт-карты 18

Шифрующая файловая система 19

Шаблоны настройки системы безопасности 20

Обеспечение безопасности сети с помощью протоколов IPSec 21

Расширяемая архитектура 22

Взаимодействие 23

Аудит 23

Выводы 24



Введение


Операционная система Microsoft® Windows® 2000 Server помогает организациям расширить свою деятельность благодаря использованию новых сетевых технологий, в то же время она обеспечивает им защиту информации и сетевых ресурсов за счет усовершенствованных служб безопасности.

Распределенные службы безопасности Windows 2000 удовлетворяют основным требованиям предприятий, включая следующие:



  • Возможность, войдя в систему единожды, получать доступ ко всем ресурсам предприятия.

  • Четкая система аутентификации и авторизации пользователей.

  • Защищенная связь между внешними и внутренними ресурсами.

  • Возможность задавать требуемые политики безопасности и управлять ими.

  • Автоматизированный аудит системы безопасности.

  • Взаимодействие с другими операционными системами и протоколами безопасности.

  • Расширяемая архитектура, поддерживающая разработку приложений, в которых используются функции безопасности Windows 2000.

Эти возможности являются важными элементами всей архитектуры безопасности операционной системы Windows 2000. При входе пользователя в систему и при обращении к ресурсам, выполняется его аутентификация. После проверки подлинности пользователь авторизуется (получает полномочия) на доступ к определенному набору сетевых ресурсов в соответствии с его правами. Авторизация (authorization) выполняется с помощью механизма управления доступом, базирующемся на списках контроля доступа (ACL – Access Control List), которые определяют разрешения на доступ ко всем объектам системы.

Такая модель безопасности позволяет авторизованным пользователям беспрепятственно работать в распределенной сети и обеспечивает надежную защиту от вторжений.

Во-первых, каждый клиент в домене устанавливает прямое отношение доверия со своим контроллером домена при аутентификации. Во вторых, клиенты никогда не получают непосредственный доступ к сетевым ресурсам, вместо этого сетевые службы создают маркер доступа клиента и действуют от имени этого клиента, используя его учетные данные при выполнении необходимых операций. В-третьих, ядро операционной системы Windows использует идентификаторы безопасности в маркере доступа для проверки, наделен ли пользователь полномочиями на запрашиваемый доступ к соответствующему объекту.

В этом документе описываются основные элементы системы безопасности Windows 2000, включая службу каталогов Active Directory, аутентификацию и авторизацию, а также приводятся основные сведения о протоколе Kerberos. Кратко рассматривается, как инфраструктура открытого ключа используется в Windows 2000 и как операционная система поддерживает службы сертификатов. Описывается система EFS (Encrypting File System – шифрующая файловая система), используемая для защиты данных на жестких дисках. Наконец, здесь рассказывается о том, каким образом службы безопасности Windows 2000 могут применяться разработчиками приложений и как они взаимодействуют со службами безопасности других операционных систем.



Примечание. Каждый из предметов обсуждения данного информационного документа более подробно описывается (на английском языке) в материалах технической библиотеки веб-узла Windows 2000, расположенного по адресу http://www.microsoft.com/windows2000/library. Там можно найти информационные документы по всем основным технологиям, а также интерактивные описания операционной системы и соответствующие наборы ресурсов.




Поделитесь с Вашими друзьями:
  1   2   3   4   5   6


База данных защищена авторским правом ©vossta.ru 2019
обратиться к администрации

    Главная страница