Реферат: Обеспечение безопасности системы и защита данных в Windows 2003
IIS 6.0 является гораздо более безопасным сервером, чем IIS 4.x или IIS 5.x. В нем реализовано множество новых возможностей, призванных увеличить защищенность веб-инфраструктуры. Кроме того, по умолчанию IIS 6.0 работает в режиме блокировки и со строгими лимитами на время ожидания и типы содержимого.
| Возможность | Описание |
| Сервер в режиме блокировки | IIS 6.0 обеспечивает большую безопасность по сравнению с предыдущими версиями. Чтобы сузить диапазон возможностей для атаки, IIS 6.0 не устанавливается по умолчанию в Windows Server 2003 —администратор должен явным образом выбрать его при установке. По умолчанию IIS 6.0 устанавливается в состоянии блокировки, в котором возможна выдача только статического содержимого. Включать и выключать отдельные функции IIS в зависимости от потребностей организации позволяет узел расширений веб-службы в диспетчере IIS. |
| Список расширений веб-службы | В стандартном варианте установки IIS не будет компилировать, выполнять или выдавать страницы с динамическими расширениями. Чтобы их выдача стала возможной, каждое допустимое расширение файла должно быть занесено в список расширений веб-службы. Это требование позволяет предотвратить вызов страницы с динамическим расширением, для которого не были предприняты соответствующие меры безопасности. |
| Учетная запись по умолчанию с наименьшими привилегиями | Все рабочие процессы IIS 6.0 в Windows Server 2003 по умолчанию выполняются под учетными записями пользователя типа "Сетевая служба" нового встроенного типа учетных записей, обладающего ограниченными системными привилегиями. Все встроенные функции ASP всегда работают под учетными записями с ограниченными привилегиями (анонимный пользователь). |
| Авторизация | IIS 6.0 расширяет использование новой структуры авторизации, входящей в состав Windows Server 2003. Кроме того, веб-приложения могут использовать авторизацию URL (в сочетании с диспетчером авторизации) для управления доступом. Ограниченная делегированная авторизация предоставляет администраторам доменов возможность делегировать полномочия только избранным компьютерам и службам. |
В IIS 6.0 появилось много новых возможностей, связанных с ролью сервера веб-приложений в Windows Server 2003. IIS 6.0 дает более широкие возможности для разработки приложений, предоставляя платформу, интегрированную с другими технологиями Windows Server 2003, — в частности, ASP.NET и .NET Framework. Windows Server 2003 в сочетании с IIS 6.0 представляет собой в высшей степени надежное, управляемое, масштабируемое и безопасное решение.
Новые возможности проверки подлинности по протоколу Kerberos в Windows Server 2003
Рассмотрим новые возможности системы проверки подлинности по протоколу Kerberos в Windows Server 2003 и дадим основные сведения об использовании данных средств.
Ни одна из возможностей системы проверки подлинности по протоколу Kerberos, присутствовавших в Windows 2000, не была изъята из употребления или перемещена в другие линии продуктов.
| Новые возможности | Описание |
| Для входа на клиентский компьютер с Windows XP не требуется учетной записи на компьютере | Обычно для проверки подлинности по протоколу Kerberos необходима учетная запись на компьютере. Чтобы получить доступ к ресурсам компьютера, пользователь должен иметь билет службы для этого компьютера. Без этой проверки подлинности пользователя на компьютере компьютер должен осуществлять управление доступом, сопоставляя имя пользователя с именем, хранимым в местной базе данных учетных записей. Чтобы установить такое локальное сопоставление, пользователю необходимо запустить программу KSETUP. |
| Имя участника службы более не преобразуется к канонической форме | Ранее имя участника службы (SPN) приводилось к канонической форме диспетчера учетных записей безопасности (SAM) — например, mycomputer$. Это приводило к проблемам в тех случаях, когда пользователь запрашивал службу с неканоническим именем: система не могла определить, что у нее имеется кэшированный билет для этой службы, и запрашивала новый билет. Теперь решение заключается в использовании имени участника службы, которое было запрошено (без приведения к каноническому виду). |
| Чтобы центр распределения ключей мог выдать билет службы, необходимо установить имя участника службы для участника безопасности, действующего как служба | Это означает, что центр распределения ключей не выдаст билет службы учетной записи, которая не имеет имени участника службы (например, учетной записи пользователя). Причина заключается в том, что против службы, которая представляет собой обычную учетную запись с паролем, придуманным человеком, было бы проще организовать словарную атаку в автономном режиме. Для учетной записи, не имеющей имени участника службы, центр распределения ключей возвратит код ошибки, указывающий на то, что необходима процедура "пользователь-пользователь". |
| Расширенная проверка адреса клиента |
Центр распределения ключей в Windows 2000 проверяет адреса в билетах, если они там есть. Однако при этом он не помещает запрошенные адреса в билет. В Windows Server 2003 центр распределения ключей по умолчанию работает в режиме совместимости с клиентами Windows 2000 и не помещает в билет адреса, указанные в AS-REQ, если в системный реестр не будет добавлен новый ключ (HKLM/System/CCS/Services/Kdc/KdcUseClientAddresses со значением типа DWORD, равным 1). Когда билет представляется службе выдачи билетов (TGS), адреса проверяются, если они есть. В Windows Server 2003 это можно запретить, добавив в реестр новый ключ (HKLM/System/CCS/Services/Kdc/KdcDontCheckAddresses со значением типа DWORD, равным 0). По умолчанию производится проверка адресов, если они есть (для совместимости с Windows 2000). |
| Поддержка номеров версии ключа | Номера версии ключа — это необязательная часть спецификации протокола Kerberos. Они могут включаться в данные, шифруемые с помощью Kerberos, если эти данные шифруются с использованием ключа с длительным сроком службы. В Windows Server 2003 впервые появилась возможность использования номера версии ключа. |
| Выбор типа шифрования | В Windows 2000 центр распределения ключей выбирает первый тип шифрования из имеющихся. В Windows Server 2003 центр распределения ключей выбирает самый надежный тип шифрования из числа поддерживаемых клиентом. |
| Обновление билета TGT в Windows XP и Windows 2000 с пакетом обновления 2 (SP2) или более поздним | По умолчанию срок действия билетов TGT равен десяти часам, однако это время может быть увеличено до семи дней (по умолчанию). Для продления срока ввод учетных данных не требуется. Продление будет осуществлено только в том случае, если билет TGT использовался менее чем за пять минут до истечения срока его действия. В противном случае срок действия билета TGT истечет, и его необходимо будет обновить (для чего требуются учетные данные). |
| Обновление билета TGT в Windows Server 2003 |
По умолчанию срок действия билетов TGT равен десяти часам, однако это время может быть увеличено до семи дней (по умолчанию). Для продления срока ввод учетных данных не требуется. Обновление происходит с использованием на компьютере потока очистки. Если по какой-либо причине билет TGT не удастся продлить, он перестанет действовать, и его необходимо будет обновить (для чего требуются учетные данные). В Windows XP и Windows 2000 с пакетом обновления 2 (SP2) или более поздним обновление билета TGT инициируется, если он используется менее чем за пять минут до истечения срока его действия. В Windows Server 2003 система периодически обновляет билеты TGT, срок действия которых истекает. |
| Ограниченное делегирование | В Kerberos всегда предоставлялся механизм, позволяющий клиенту делегировать свой билет TGT промежуточному серверу. Этот механизм позволяет промежуточному серверу получать билеты службы для других служб от имени клиента. Например, такое делегирование позволяет промежуточному серверу в трехуровневой системе представляться конечному приложению в качестве клиента. Однако данный механизм позволяет промежуточному серверу получать билеты для любой службы от имени клиента. Ограниченное делегирование — это функция в Windows Server 2003, с помощью которой контроллер домена выдает промежуточному серверу билеты только для тех служб, для которых ему разрешено получать делегированные билеты (это определяется административной политикой). Таким образом, возможность делегирования для промежуточного сервера ограничивается административной политикой. |
| Ограниченное делегирование с преобразованием протоколов | Преобразование протоколов — это функция, позволяющая промежуточному серверу запрашивать билет, не требуя от клиента предварительно проходить проверку подлинности по протоколу Kerberos. Таким образом, клиент может использовать проверку подлинности по протоколу SSL при обращении к промежуточному серверу, а тот — проверку подлинности по протоколу Kerberos при обращении к конечному приложению. |
| Доверенные отношения между лесами | Многим организациям, развертывающим несколько лесов, требуется сотрудничество с лесами в других организациях. В этом случае установление внешних доверительных отношений требует огромных усилий и не позволяет использовать новейшие технические достижения. В Windows Server 2003 вводится понятие межлесных доверительных отношений, облегчающее развертывание нескольких лесов. Межлесные доверительные отношения позволяют федерализовать два леса Active Directory одним отношением доверия, обеспечив легкость проверки подлинности и авторизации между лесами. |
Новые возможности служб управления
Вследствие роста объемов вычислений на настольных системах, портативных компьютерах и переносных устройствах значительно возросла стоимость обслуживания распределенных сетей персональных компьютеров. Совокупная стоимость владения включает не только изначальную стоимость приобретения оборудования и программного обеспечения, но и расходы на развертывание, обновление оборудования и программного обеспечения, обучение, текущее обслуживание и техническую поддержку.
Операционная система Windows Server 2003 базируется на фундаменте, заложенном в Windows 2000, что позволяет повысить ценность инвестиций при одновременном снижении общих затрат на вычислительные ресурсы. Более простая для развертывания, настройки и эксплуатации операционная система Windows Server 2003 предоставляет централизованные настраиваемые службы управления, позволяющие снизить совокупную стоимость владения. В этой статье приводится обзор преимуществ, новых возможностей и усовершенствований, отличающих службы управления в Windows Server 2003.
Windows Server 2003 предоставляет следующие возможности.
| Преимущества | Описание |
| Надежность | Средства управления, впервые появившиеся в Windows 2000, стали в Windows Server 2003 еще более надежными и доступными. Усовершенствования коснулись важнейших возможностей, таких как инструментарий управления Windows (WMI), групповая политика и результирующая политика (RSoP). Кроме того, новые параметры политики облегчают администраторам задачу блокировки требуемых конфигураций для групп пользователей по всей организации. |
| Увеличение производительности | Служба управления Microsoft IntelliMirror® предоставляет пользователям доступ к их приложениям, данным и настройкам вне зависимости от места входа в систему, что позволяет выполнять больший объем работы. Приложения можно устанавливать и обновлять удаленно. Возможность использования специализированных конфигураций для настольных компьютеров позволяет сократить расходы на индивидуальную поддержку пользователей. Пользователи получают гибкость, необходимую им для выполнения своей работы, не тратя времени на настройку системы собственными силами. |
| Обеспечение взаимодействия | Такие усовершенствования, как управление с помощью WMI из командной строки и средства удаленного управления, обеспечивают невиданную гибкость при администрировании. Упрощенное перенаправление папок и улучшенный роуминг облегчают доступ пользователей к данным и приложениям по всей организации. Кроме того, благодаря поддержке межлесных доверительных отношений организации могут реализовывать и другие варианты взаимодействия, что дает дополнительную гибкость. |
Новые возможности и усовершенствования
Windows Server 2003 предоставляет следующие возможности:
1. Улучшенные средства управления политиками
2. Мощные инструменты и службы развертывания
3. Широкие возможности управления с помощью командной строки
4. Windows Update
5. Windows Server Update Services (WSUS)
6. Интегрированные решения для управления на уровне предприятия
Улучшенные средства управления политиками
Windows Server 2003 совершенствует методы использования групповой политики для управления конфигурацией широкого спектра пользовательских элементов — рабочих столов, настроек, параметров безопасности, профилей роуминга, содержимого меню "Пуск" и т.д.
| Возможность | Описание |
| Консоль управления групповой политикой |
Консоль управления групповой политикой (GPMC) предоставляет новую структуру для управления политиками групп. Благодаря GPMC устанавливать групповую политику стало легче, чем в предыдущих версиях, — это удобно для организаций, которые хотят использовать преимущества службы Active Directory® и предоставляемые ею широкие возможности управления. В частности, GPMC обеспечивает резервное копирование и восстановление объектов групповой политики (GPO), их импорт, экспорт, копирование и вставку, составление отчетов о настройках GPO и данных результирующей политики (RSoP), использование шаблонов для управляемых конфигураций, а также управление всеми операциями GPMC из сценариев. Кроме того, GPMC позволяет администраторам управлять групповой политикой множества доменов и узлов, принадлежащих к конкретному лесу, с помощью упрощенного интерфейса пользователя с поддержкой перетаскивания объектов мышью. Благодаря межлесным доверительным отношениям администраторы могут также управлять групповой политикой разных лесов с одной и той же консоли. GPMC позволяет управлять групповой политикой доменов Windows 2000 и Windows Server 2003. |
| Результирующая политика (RSoP) | Поддержка результирующей политики (RSoP) дает администраторам возможность планировать, отслеживать и отлаживать групповую политику. С помощью RSoP администраторы могут предсказывать, как изменения в групповой политике отразятся на конкретном пользователе или компьютере. Возможна также удаленная проверка политики, действующей в настоящий момент для конкретного компьютера. |
| Новые параметры политики | Благодаря появлению в Windows Server 2003 более чем 200 новых параметров политики организации могут легко блокировать и изменять конфигурации, настраивая или отключая сотни возможностей, таких как удаленный помощник, Auto Update и отчет об ошибках. |
| Улучшенный интерфейс пользователя в редакторе объектов групповой политики | Благодаря интеграции с веб-представлением в редакторе объектов групповой политики стало легче понимать параметры политики, управлять ими и проверять их. Когда пользователь щелкает интересующую его политику, на экране появляется текст, поясняющий ее функцию и поддерживаемую среду (например, Windows XP или только Windows 2000). |
| Фильтр WMI | Фильтр WMI позволяет администраторам определять, следует ли использовать конкретный объект групповой политики для конкретного компьютера или пользователя, исходя из их конфигурации, роли или других критериев. Например, использование протокола IPSec можно ограничить только теми компьютерами, на которых сетевая карта оптимизирована под этот протокол. |
| Поддержка межлесных отношений |
Хотя объекты групповой политики могут привязываться только к веб-узлам, доменам или организационным единицам (OU) внутри данного леса, благодаря поддержке межлесных отношений в Windows Server 2003 появляется возможность осуществить ряд новых сценариев использования групповой политики. Например, можно сделать так, чтобы пользователь из леса A мог войти на компьютер в лесу B, даже если для каждого из этих лесов установлена собственная политика. Кроме того, параметры объекта групповой политики могут ссылаться на серверы в других лесах — например, пункты распространения программного обеспечения. Групповая политика в Windows Server 2003 успешно поддерживает эти варианты взаимодействия. |
| Управление пользовательскими данными и настройками | Администраторы могут автоматически настраивать клиентские компьютеры в соответствии с конкретными требованиями, которые диктуются бизнес-ролями пользователя, его членством в группах и местоположением. К усовершенствованиям в этой сфере относятся упрощенное перенаправление папок и более мощные возможности роуминга. |
| Политики ограниченного использования программ | С увеличением роли Интернета растет и исходящая от вирусов угроза для безопасности сети. С помощью политик ограниченного использования программ можно защитить компьютерную среду от программ неизвестного происхождения, определив программы, разрешенные для запуска. |
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9
