Kerberos /k??rb?r?s/ - сетевой протокол аутентификации, который предлагает механизм взаимной аутентификации клиента и сервера перед установлением связи между ними, причём в протоколе учтён тот факт, что начальный обмен информацией между клиентом и сервером происходит в незащищенной среде, а передаваемые пакеты могут быть перехвачены и модифицированы.
Протокол Kerberos был разработан в Массачусетском технологическом институте в середине 1980-х годов и сейчас является фактическим стандартом системы централизованной аутентификации и распределения ключей симметричного шифрования. Поддерживается операционными системами семейства Unix, Windows (начиная с Windows'2000), есть реализации для Mac OS.
В сетях Windows (начиная с Windows'2000 Serv.) аутентификация по протоколу Kerberos v. 5 (RFC 1510) реализована на уровне доменов. Kerberos является основным протоколом аутентификации в домене, но в целях обеспечения совместимости c с предыдущими версиями, также поддерживается протокол NTLM.
17. Управление доступом к данным. Списки прав доступа к объектам операционной системы, управление доступом к файлам и каталогам (графические утилиты, утилиты командной строки)
Управление данными не сводится только к их рациональному хранению и обработке - актуальными остаются и вопросы информационной безопасности. Перевод информации в электронную форму делает ее более чувствительной к внешним и внутренним угрозам. В первом случае необходимо защищать информацию от вторжения извне (из-за периметра корпоративной сети). Во втором случае важным аспектом является управление доступом к данным со стороны сотрудников собственной компании.
Современное программное обеспечение предоставляет множество возможностей по регламентации прав пользователей компьютеров, начиная от начальной авторизации, на стадии которой пользователи могут быть сильно ограничены в действиях, до управления правами в прикладных программах. Системы управления базами данных со своей стороны обеспечивают управление доступом к информации, предоставляя конкретным пользователям разные возможности: читать, изменять, добавлять и удалять информацию.
Существует много стратегий управления доступом к данным. Приведем некоторые из них:
* избирательное управление;
* мандатное управление;
* ролевое.
Наиболее распространённый способ доступа пользователей к данным - доступ к общим файловым ресурсам в сети. Управление доступом к файлам и папкам осуществляется с помощью прав доступа к общему файловому ресурсу и доступа к NTFS. Для обеспечения безопасности ваших файлов важно понимать, как действуют права доступа.
Права доступа к файловой системе NTFS позволяют определять уровень доступа пользователей к размещённым в сети, или локально на вашем компьютере Windows 7 файлам.
18. Групповые политики, функции и назначения. Объекты групповой политики. Использование групповых политик для задач администрирования
Групповая политика - это набор правил, в соответствии с которыми производится настройка рабочей среды Windows. Групповые политики создаются в домене и реплицируются в рамках домена. Объект групповой политики (Group Policy Object, GPO) состоит из двух физически раздельных составляющих: контейнера групповой политики (Group Policy Container, GPC) и шаблона групповой политики (Group Policy Template, GPT). Эти два компонента содержат в себе всю информацию о параметрах рабочей среды, которая включается в состав объекта групповой политики. Продуманное применение объектов GPO к объектам каталога Active Directory позволяет создавать эффективную и легко управляемую компьютерную рабочую среду на базе ОС Windows. Политики применяются сверху вниз по иерархии каталогаActive Directory.
Создание групповых политик
По умолчанию в иерархии каталога Active Directory создаются две групповые политики с чрезвычайно выразительными именами: Default Domain Policy (политика домена по умолчанию) и Default Domain Controller's Policy (политика контроллера домена по умолчанию). Первая из них назначается домену, а вторая - контейнеру, в состав которого входит контроллер домена. Если вы хотите создать свой собственный объект GPO, вы должны обладать необходимыми полномочиями. По умолчанию правом создания новых GPO обладают группы Enterprise Administrators (Администратор предприятия) и Domain Administrators (Администраторы домена).
Применение групповых политик
Работая с групповыми политиками, следует учитывать, что:
· объекты GPO применяются в отношении контейнеров, а не замыкающих объектов;
· дин контейнер может быть связан с несколькими объектами GPO;
· объекты GPO, связанные с одним и тем же контейнером, применяются в отношении этого контейнера в том порядке, в котором они были назначены;
· объект GPO включает в себя две составляющие: параметры, относящиеся к компьютеру, и параметры, относящиеся к пользователю;
· обработку любой из этих составляющих можно отключить;
· наследование объектов GPO можно блокировать;
· наследование объектов GPO можно форсировать;
· применение объектов GPO можно фильтровать при помощи списков ACL.
19. Создание и редактирование объектов групповой политики. Инструменты управления групповыми политиками
Создание и редактирование объектов групповой политики
Используя оснастку «Управление групповой политикой» вы можете создавать и редактировать объекты групповой политики, а также комментарии к ним для упрощения их мониторинга, удалять объекты групповых политик и проводить поиск среди существующих объектов. Рассмотрим подробно каждое из вышеперечисленных действий:
Создание объекта групповой политики с комментарием
Один или несколько параметров групповой политики, который применяется к одному или нескольким пользователям или компьютерам, обеспечивая конкретную конфигурацию, называется объектом групповой политики. Для того чтобы создать новый объект групповой политики, выполните следующие действия:
1. В оснастке «Управление групповой политикой» разверните узел лес, домен, название вашего домена и выберите контейнер «Объекты групповой политики». Именно в этом контейнере будут храниться все объекты групповой политики, которые вы будете создавать;
2. Щелкните правой кнопкой мыши на данном контейнере и из контекстного меню выберите команду «Создать»
Редактирование объекта групповой политики
После того как объект групповой политики будет создан, для того чтобы настроить определенную конфигурацию данного объекта, вам нужно указать параметры групповой политики при помощи оснастки «Редактор управления групповыми политиками». Допустим, нужно отключить Windows Media Center, средство звукозаписи, а также ссылку «Игры» в меню «Пуск». Для этого выполните следующие действия:
1. Выберите созданный ранее объект групповой политики, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Изменить»;
2. Разверните узел Конфигурация пользователя / Политики / Административные шаблоны / Компоненты Windows/Windows Media Center;
3. Откройте свойства параметра политики «Не запускать Windows Media Center» и установите переключатель на опцию «Включить». В поле комментарий введите свой комментарий, например, «В связи с корпоративными требованиями не разрешается данным пользователям использовать текущее приложение» и нажмите на кнопку «ОК».
20. Шаблоны безопасности в ОС Windows, их назначение. Инструменты управления шаблонами безопасности (графические утилиты, утилиты командной строки)
Готовые шаблоны безопасности в Windows Server 2003
· Настройки безопасности по умолчанию (шаблон Setup security.inf)
·
· Шаблон Setup security.inf создается во время установки, и он является подходящим для каждого компьютера. Это зависит от компьютера к компьютеру, в зависимости от того, была ли установка новой копии или обновление. Setup Security.inf содержит параметры безопасности по умолчанию, применяемые во время установки операционной системы, включая разрешения для корневого каталога системного диска. Он может использоваться на серверах и клиентских компьютерах; его нельзя применять к контроллерам домена. Можно применить части этого шаблона для целей аварийного восстановления.
· Не применяйте шаблон Setup security.inf с помощью групповой политики. Если это сделать, может наблюдаться уменьшение производительности.
· Примечание. В Microsoft Windows 2000 существует две различные шаблоны, ocfiless (для файловых серверов) и ocfilesw (для рабочих станций). В Windows Server 2003 эти файлы были заменены security.inf файл установки.
· По умолчанию безопасность контроллера домена (DC security.inf):
· Данный шаблон создается при сервера повышается до контроллера домена. Он отражает файлов, реестра и системных параметров безопасности службы по умолчанию. Если применить этот шаблон, то эти параметры устанавливаются в значения по умолчанию. Однако шаблон может перезаписать разрешения для новых файлов, разделов реестра и системных служб, созданные в других приложениях.
· Совместимый (Compatws.inf)
· Данный шаблон изменяет разрешения для файлов и реестра по умолчанию, предоставляемые членам группы «Пользователи», таким образом, чтобы это соответствовало требованиям большинства приложений, не входящих в программу размещения эмблемы Windows для программного обеспечения. Совместимый шаблон также удаляет все члены группы «Опытные пользователи».
· Дополнительные сведения о программе размещения эмблемы Windows для программного обеспечения посетите следующий веб-узел корпорации Майкрософт:
Обратите внимание: не применяйте совместимый шаблон к контроллерам домена.
· Безопасность (Secure*.inf)
· Шаблоны безопасности определяются параметры повышенной безопасности, которые нужны менее всего влияют на совместимость приложений. Например, определить шаблоны безопасности надежных паролей, блокировки и аудита параметров. Кроме того шаблоны ограничить использование протоколов проверки подлинности LAN Manager и NTLM путем настройки клиентов на отправку ответов только по протоколу NTLMv2 и настройка серверов на отказ от ответов LAN Manager.
· Существуют два предопределенных шаблонов безопасности в Windows Server 2003: Securews.inf для рабочих станций и Securedc.inf контроллеров домена. Дополнительные сведения об использовании этих шаблонов и другие шаблоны безопасности поиска центра справки и поддержки «готовых шаблонов безопасности».
· С повышенной защитой (hisec*.inf)
· Шаблоны с повышенной защитой указать дополнительные ограничения, которые не определяются шаблоны безопасности в уровни шифрования и подписи, необходимые для проверки подлинности и данных exchange по безопасным каналам и между клиентами блока сообщений сервера (SMB) и серверы.
· Безопасность системного корневого (каталога Rootsec.inf)
· Этот шаблон определяет разрешения для корневого. По умолчанию Rootsec.inf определяет эти разрешения для корневого каталога системного диска. Этот шаблон можно использовать, чтобы повторно применить разрешения для корневого каталога, если они были случайно изменены или изменить шаблон, чтобы применить те же разрешения корневых на другие тома. Как указано шаблоном не переопределяются явные разрешения, определенные для дочерних объектов. он распространяется только те разрешения, которые наследуется дочерними объектами.
· Пользователь не сервер терминалов SID (Notssid.inf)
·
· Можно применить этот шаблон, чтобы удалить сервер терминалов Windows идентификаторы безопасности (SID) из расположений файловой системы и реестра при служб терминалов не выполняется. После этого, система безопасности не повысит обязательно.
21. Контроллеры доменов, функции и назначение. Роли контроллеров в схеме Active Directory. Репликация данных между контроллерами доменов, протоколы репликации
Контроллер домена - это сервер, контролирующий компьютерную сеть Вашей организации. Чтобы разобраться, как он работает, рассмотрим основные способы управления большим количеством компьютеров.
Существует два типа локальных сетей:
· Основанная на рабочей группе (одноранговая).
· Доменная (сеть на основе управляющего сервера).
В первом случае каждый компьютер одновременно является и клиентом, и сервером. То есть, каждый пользователь может самостоятельно решать, доступ к каким файлам ему открывать и для кого именно. С одной стороны, эту сеть создать достаточно просто, но с другой, управлять ею (администрировать) бывает достаточно сложно, особенно если в сети 5 компьютеров и больше.
Также, если Вам необходимо выполнить какие-либо изменения в программном обеспечении (установить систему безопасности, создать нового пользователя, инсталлировать программу или приписать сетевой принтер), придется каждый компьютер настраивать по отдельности. Одноранговая сеть может сгодиться для управления не более чем десятью устройствами.
Роли контроллеров в схеме Active Directory.