Опубликован: 31.07.2006 | Доступ: свободный | Студентов: 16458 / 4256 | Оценка: 4.17 / 3.80 | Длительность: 34:21:00
ISBN: 978-5-9570-0046-9

Лекция 15: Вопросы безопасности Windows 2000/ Windows 2003 Server

Конфигурация системы

Существует несколько различий между Windows 2000 и Windows NT в плане конфигурации системы. В Windows 2000 включены новые функции безопасности, однако следует понимать, в чем заключаются преимущества и недостатки каждой новой возможности. В следующих разделах мы будем обсуждать четыре основные темы:

  • файловые системы;
  • параметры сети;
  • параметры учетных записей;
  • сервис-пакеты и "горячие" обновления.

Политика безопасности организации в обязательном порядке должна предусматривать определенные параметры и требования к конфигурации системы.

Файловые системы

Все файловые системы в Windows 2000 должны быть преобразованы в NTFS. Так как файловые системы FAT не позволяют использовать разрешения файлов, NTFS лучше с точки зрения безопасности. Если какая-либо из имеющихся файловых систем является системой FAT, можно использовать программу CONVERT, чтобы сменить их на NTFS. Эта программа требует перезагрузки, однако ее можно выполнить с уже имеющейся информацией на диске.

Также следует заметить, что Windows 2000 поставляется с новой версией NTFS - NTFS-5. NTFS-5 содержит новый набор индивидуальных разрешений:

  • проход по папке/выполнение файла;
  • просмотр папки/чтение данных;
  • чтение атрибутов;
  • чтение расширенных атрибутов;
  • создание файлов/запись данных;
  • создание папок/присоединение данных;
  • запись атрибутов;
  • запись расширенных атрибутов;
  • удаление подпапок и файлов;
  • удаление;
  • чтение разрешений;
  • изменение разрешений;
  • присвоение прав владения.

Перед тем как включать Windows 2000 в работу, администраторы и сотрудники отдела безопасности должны разобраться в новых разрешениях и просмотреть структуру разрешений для файлов и каталогов.

Шифрующая файловая система. Одним из недостатков файловой системы NTFS является то, что она защищает файлы только тогда, когда используется с Windows NT или Windows 2000. Если злоумышленник загрузит систему с использованием другой операционной системы (например, DOS), он сможет использовать программу (такую как NTFSDOS) для чтения файлов и, таким образом, обойдет элементы управления доступом NTFS. В Windows 2000 введена файловая система Encrypting File System (EFS) для защиты секретных файлов от атак данного типа.

EFS реализована таким образом, чтобы быть незаметной для пользователя. Следовательно, пользователю не требуется инициировать дешифрование или шифрование файла (после применения EFS для файла или каталога). Чтобы активизировать EFS, выберите файл или каталог, который нужно защищать, щелкните правой кнопкой на этом элементе и выберите Properties (Свойства). Нажмите кнопку Advanced (Дополнительно) в окне General (Общие) и выберите Encrypt Contents to Secure Data (Шифровать содержимое для защиты данных).

Когда для файла назначено шифрование, система выбирает ключ для использования в алгоритме симметричного шифрования и шифрует данный файл. После этого ключ шифруется с использованием открытого ключа одного или нескольких пользователей, которые будут иметь доступ к файлу. Здесь следует заметить, что EFS имеет встроенный механизм, позволяющий осуществлять восстановление зашифрованной информации. По умолчанию из локальной учетной записи администратора всегда можно расшифровать любые файлы EFS.

В зависимости от способа взаимодействия EFS с пользователем и операционными системами некоторые команды будут приводить к расшифровыванию файлов, а другие - нет. Например, команда Ntbackup копирует зашифрованный файл в том виде, в каком он есть. Однако если пользователь выполнит команду Copy, файл будет расшифрован и перезаписан на диск. Если конечным расположением файла является раздел, отличный от NTFS 5.0, или гибкий диск, то файл не будет шифроваться при записи. Кроме того, если файл копируется на другой компьютер, он будет шифроваться заново с использованием другого ключа симметричного алгоритма. Два файла будут выглядеть различным образом на двух компьютерах, даже если их содержимое идентично.

Общие местоположения Как и Windows NT, Windows 2000 создает административные общие местоположения при загрузке. Ими являются C$, D$, IPC$, ADMIN$ и NETLOGON (имеются только на контроллерах доменов). Полный список текущих общих местоположений можно просмотреть в утилите Computer Management (Управление компьютером), выбрав в панели управления значок Administrative Tools (Администрирование) (см. рис. 15.4). Несмотря на то, что эти общие местоположения могут использоваться злоумышленниками для осуществления попыток раскрытия пароля администратора посредством грубой силы, отключать какие-либо из них не рекомендуется.

Сеть

Работа в сети с использованием Windows 2000 значительно изменилась по сравнению с Windows NT. В дополнение к стандартным портам Windows (135, 137 и 139) в Windows 2000 используется порт 88 для Kerberos, порт 445 для SMB через IP, порт 464 для Kerberos kpasswd и порт 500 (только UDP) для Internet Key Exchange (IKE). Это означает, что если требуется удалить NetBIOS из системы Windows 2000, то вам потребуется отключить опцию File and Print Sharing for Microsoft Networks (Совместный доступ к файлам и принтерам в сетях Microsoft) в данном конкретном интерфейсе. Это можно сделать в окне Network and Dial-up Connections (Сеть и удаленный доступ). Выберите меню Advanced (Дополнительно) и затем выберите Advanced Settings (Дополнительные параметры), чтобы открыть вкладку Adapters and Bindings (Адаптеры и компоненты) (см. рис. 15.5).

Имеющиеся общие местоположения, отображаемые в оснастке Computer Management (Управление компьютером)

увеличить изображение
Рис. 15.4. Имеющиеся общие местоположения, отображаемые в оснастке Computer Management (Управление компьютером)
Удаление компонентов для NetBIOS

Рис. 15.5. Удаление компонентов для NetBIOS

Сеть по-прежнему является ключевой частью Windows 2000. Домены Windows 2000 исключают концепцию PDC и BDC. Теперь имеют место только лишь контроллеры доменов (DC). Домены Windows 2000 по-прежнему поддерживают централизованное управление пользовательской базой данных. Однако структура Aсtive Directory не позволяет использовать иерархическую концепцию. Это означает, что группы могут создаваться над или под другими группами, и домен может быть поделен на организационные единицы с локальным управлением. Более детальное обсуждение Aсtive Directory приведено далее в лекции.

Примечание

Перед развертыванием Windows 2000 или 2003 в организации необходимо четко спланировать структуру доменов. Нельзя просто перенести имеющуюся структуру доменов из Windows NT в Windows 2000, т. к. это может привести к возникновению проблем.

Нияз Сабиров
Нияз Сабиров

Здравствуйте. А уточните, пожалуйста, по какой причине стоимость изменилась? Была стоимость в 1 рубль, стала в 9900 рублей.

Елена Сапегова
Елена Сапегова

для получения диплома нужно ли кроме теоретической части еще и практическую делать? написание самого диплома требуется?