Реферат: Обеспечение безопасности системы и защита данных в Windows 2003
Программное ядро Common Language Runtime (CLR) является ключевым элементом Windows Server 2003, который повышает надежность и гарантирует безопасность вычислительной среды. Оно позволяет сократить число неполадок и прорех в системе безопасности, возникающих из-за обычных ошибок программирования. В результате становится меньше уязвимых мест, которые могут быть использованы злоумышленниками для атаки.
Компонент Common Language Runtime проверяет приложения на возможность безошибочной работы и на наличие соответствующих разрешений безопасности, тем самым предотвращая выполнение программами нежелательных операций. В частности, проверяется, из какого источника был загружен или установлен код, имеет ли он цифровую подпись доверенного разработчика и не подвергался ли изменению со времени подписания.
Платформа Windows Server 2003 отличается повышенной безопасностью и экономической эффективностью, которые необходимы в бизнесе.
| Преимущества | Описание |
| Снижение затрат | Снижение затрат обеспечивается за счет упрощения работы со средствами управления безопасностью, такими как списки доступа и диспетчер учетных данных. |
| Реализация открытых стандартов | Протокол IEEE 802.1X позволяет легко защитить беспроводные локальные сети от угрозы перехвата данных внутри предприятия. |
| Защита мобильных компьютеров и других новых устройств |
Такие средства безопасности, как шифрованная файловая система (EFS), службы сертификатов и автоматическая подача заявок по смарт-картам, облегчают защиту самых разных устройств. EFS — это базовая технология для шифрования и дешифровки файлов в томах NTFS. Открывать зашифрованный файл и работать с ним может только тот пользователь, который зашифровал его. Служба сертификатов — это составляющая ядра операционной системы, позволяющая предприятию организовать собственный центр сертификации, выдавать цифровые сертификаты и управлять ими. Функции автоматической подачи заявок по смарт-картам и саморегистрации обеспечивают повышенную безопасность для корпоративных пользователей, добавляя дополнительный уровень проверки подлинности, что в сочетании с упрощением работы со средствами безопасности должно найти широкое применение на предприятиях, выдвигающих вопросы безопасности на первый план. |
Новые возможности и усовершенствования
Семейство Windows Server 2003 обеспечивает следующие преимущества:
1. Более безопасная платформа для бизнеса
2. Наилучшая платформа для инфраструктуры открытых ключей
3. Возможность безопасной работы предприятия через Интернет
Более безопасная платформа для бизнеса
Windows Server 2003 содержит много новых возможностей и усовершенствований, которые в совокупности создают более безопасную платформу для бизнеса.
| Возможность | Описание |
| Брандмауэр Интернета | Безопасность работы в Интернете обеспечивается в Windows Server 2003 с помощью программного брандмауэра, носящего название "Брандмауэр Интернета". Он обеспечивает защиту компьютеров, подключенных к Интернету напрямую или расположенных за компьютером службы общего доступа в Интернет, на котором и работает данный брандмауэр. |
| Безопасный сервер IAS/RADIUS | Сервер проверки подлинности в Интернете (IAS) представляет собой RADIUS-сервер, управляющий проверкой подлинности и авторизацией пользователей. Он также управляет подключениями к сети с помощью всевозможных технологий — коммутируемого доступа, виртуальных частных сетей (VPN) и брандмауэров. |
| Безопасные беспроводные и проводные (на базе Ethernet) локальные сети | Windows Server 2003 позволяет осуществлять проверку подлинности и авторизацию пользователей, подключающихся к беспроводным и проводным (на базе Ethernet) локальным сетям. Это возможно благодаря поддержке в Windows Server 2003 протоколов IEEE 802.1X. (Стандартами IEEE 802 определяются методы доступа в локальные сети и управления ими.) |
| Политики ограниченного использования программ |
Windows Server 2003 позволяет системному администратору устанавливать политики, предотвращающие запуск на компьютере определенных программ. Например, можно запретить запуск конкретных приложений, используемых на всем предприятии, из любого другого места, кроме определенного каталога. Политики ограниченного использования программ можно также использовать для предотвращения запуска зараженного или вредоносного кода. |
| Усовершенствования в системе безопасности серверов в проводных (на базе Ethernet) и беспроводных локальных сетях |
Windows Server 2003 обеспечивает безопасность как проводных (на базе Ethernet), так и беспроводных сетей, которые соответствуют стандарту IEEE 802.11 и поддерживают открытые сертификаты, развертываемые с помощью автоматической подачи заявок или смарт-карт. Эти усовершенствования позволяют осуществлять управление доступом в сетях Ethernet общественных учреждений — например, универмагов или аэропортов. Кроме того, поддерживается проверка подлинности компьютеров в среде, использующей расширяемый протокол проверки подлинности (EAP). |
| Повышенная безопасность веб-сервера |
Обеспечение информационной безопасности является проблемой первостепенной важности для всех организаций. С целью повышения безопасности веб-серверов для конфигурации IIS 6.0 при установке по умолчанию настраивается максимальный уровень безопасности: в этом случае сервер работает в режиме блокировки. К числу передовых функций безопасности IIS 6.0 относятся возможность выбора криптографических служб, расширенная краткая проверка подлинности и гибкое управление доступом для процессов. Эти и многие другие новые возможности IIS 6.0 позволяют безопасно вести бизнес в Интернете. |
| Шифрование базы данных автономных файлов |
Теперь имеется возможность шифровать базу данных автономных файлов. Это — усовершенствование по сравнению с Windows 2000, где кэшированные файлы нельзя было шифровать. Эта функция поддерживает шифрование и дешифровку всей базы данных. Для настройки параметров шифрования необходимы административные привилегии. |
| FIPS-совместимый криптографический модуль в режиме ядра |
Этот криптографический модуль работает как драйвер в режиме ядра и реализует криптографические алгоритмы, признанные соответствующими стандарту FIPS. Эти алгоритмы включают SHA-1, DES, 3DES и утвержденный генератор случайных чисел. FIPS-совместимый криптографический модуль в режиме ядра позволяет правительственным организациям развертывать отвечающие стандарту FIPS 140—1 безопасные системы на базе протокола IPSec, используя: VPN-клиент и сервер протокола L2TP/IPSec L2TP/IPSec-туннели для межшлюзовых VPN-соединений IPSec-туннели для межшлюзовых VPN-соединений Сквозное шифрование сетевого трафика между клиентом и сервером и двумя серверами с помощью IPSec |
| Новый сокращенный пакет безопасности | Новый сокращенный пакет безопасности использует протокол краткой проверки подлинности, а также RFC 2617 и RFC 2222. Эти протоколы поддерживаются как IIS, так и службой Active Directory®. |
| Повышение общесистемной безопасности |
Значительного повышения общесистемной безопасности удалось достичь за счет следующих усовершенствований: Повышение производительности более чем на 35 процентов при использовании SSL. IIS не устанавливается по умолчанию. Для развертывания IIS необходимо сначала установить его с помощью средства "Установка и удаление программ" на панели управления. Контроль буфера в Microsoft Visual Studio®. (Ошибки переполнения буфера часто используются злоумышленниками для компрометации системы.) |
| Диспетчер учетных данных |
Диспетчер учетных данных в Windows Server 2003 обеспечивает безопасное хранение учетных данных пользователей, включая пароли и сертификаты X.509. Это обеспечивает единоразовую регистрацию для пользователей, в том числе и мобильных. Прикладной программный интерфейс Win32® позволяет клиентским и серверным приложениям получать учетные данные пользователя. |
| Усовершенствования в системе проверки подлинности клиента SSL | В Windows Server 2003 кэш SSL-сеанса может совместно использоваться множеством процессов. Тем самым сокращается необходимость повторно вводить учетные данные при работе с приложениями, и экономятся ресурсы процессора на сервере приложений. |
Наилучшая платформа для инфраструктуры открытых ключей
Windows Server 2003 облегчает развертывание инфраструктуры открытых ключей, а также связанных с ними технологий, таких как смарт-карты.
| Возможность | Описание |
| Автоматическая подача заявок на сертификаты и их обновление |
Эти важные новые возможности резко сокращают количество ресурсов, необходимое для управления сертификатами X.509. Windows Server 2003 дает возможность автоматически подавать заявки на сертификаты для пользователей и развертывать их; когда срок действия сертификатов истекает, их можно автоматически обновлять. Автоматическая подача заявок на сертификаты и их обновление позволяют быстрее развертывать системы смарт-карт и повышают защищенность беспроводных соединений (IEEE 802.1X) за счет автоматического истечения срока действия и возобновления сертификатов. |
| Поддержка цифровых подписей в службе Windows Installer | Эта возможность позволяет снабжать цифровыми подписями пакеты Windows Installer и внешние cab-пакеты. Таким образом системные администраторы могут создавать более безопасные пакеты Windows Installer, что особенно важно, если пакет пересылается по Интернету. |
| Усовершенствования, касающиеся списков отзыва сертификатов (CRL) |
Сервер сертификатов, входящий в состав Windows Server 2003, теперь поддерживает разностные списки отзыва сертификатов (delta CRL). Список отзыва сертификатов обеспечивает более эффективную публикацию отозванных сертификатов X.509 и облегчает для пользователя процесс получения нового сертификата. Благодаря тому, что теперь можно указать место, где будет храниться список отзыва сертификатов, его гораздо проще переместить для решения конкретных задач, связанных с нуждами бизнеса и безопасности. |
Возможность безопасной работы предприятия через Интернет
Предприятию необходимо иметь безопасный способ связи с сотрудниками, заказчиками и партнерами, которые находятся за пределами сети интранет. Windows Server 2003 облегчает обеспечение безопасного доступа к сети предприятия для отдельных лиц и других предприятий, которым необходимо работать с данными или использовать ресурсы.
| Возможность | Описание |
| Интеграция с системой Passport | В Windows Server 2003 элементу идентификации Passport может быть сопоставлен элемент идентификации Active Directory. Например, связав элемент идентификации Passport с элементом идентификации Active Directory, можно предоставить партнеру предприятия доступ к ресурсам через IIS, избавив его от необходимости непосредственно входить в сеть Windows. Интеграция с системой Passport обеспечивает эквивалентную возможность единоразового входа в систему с использованием IIS. |
| Межлесные доверительные отношения |
При работе с партнером или компанией, у которых развернут лес Active Directory, можно использовать Windows Server 2003 для установления доверительных отношений между лесами двух предприятий. Это позволяет явно установить отношения доверия с некоторыми или всеми пользователями или группами в другом лесу. Можно также устанавливать разрешения для пользователей или групп, принадлежащих к другому лесу. Межлесные доверительные отношения облегчают ведение бизнеса с другими компаниями, использующими Active Directory. |
Эффективная и безопасная работа в сети стала как никогда важна для обеспечения конкурентоспособности предприятий. Windows Server 2003 позволяет получить выгоду от вложений в ИТ-инфраструктуру и распространить эту выгоду на партнеров, заказчиков и поставщиков, используя такие ключевые возможности, как межлесные доверительные отношения и интеграция с системой Passport.
Windows Server 2003 предоставляет услуги, позволяющие создать более безопасную среду для ведения бизнеса. Упростилось шифрование конфиденциальных данных, а для защиты от вирусов и "троянских коней" теперь можно использовать политики ограничения запуска программ. Windows Server 2003 является наилучшим выбором для развертывания инфраструктуры открытых ключей, а ее функции автоматической подачи заявок и автоматического возобновления упрощают переход организаций на использование смарт-карт и сертификатов.
Новые возможности управления хранилищами
Windows Server 2003 включает в себя ряд новых и усовершенствованных возможностей управления хранением данных, которые упрощают и делают более надежными управление и обслуживание дисков и томов, резервное копирование и восстановление данных, а также подключение к сетям областей хранения (SAN). В этой статье приводится обзор преимуществ, новых возможностей и усовершенствований в Windows Server 2003, касающихся управления хранилищами.
Усовершенствования в операционной системе помогают снизить совокупную стоимость владения, упрочивая положение Windows как платформы для критически важных приложений.
| Преимущества | Описание |
| Меньшая совокупная стоимость владения для инфраструктуры управления данными и хранилищами |
Основным компонентом затрат для современных предприятий является управление инфраструктурой хранения, элементы которой приобретаются у различных поставщиков, и данными в этой инфраструктуре. Windows Server 2003 значительно уменьшает сложность управления такой гетерогенной инфраструктурой хранилищ (которая может включать все — от дисков прямого подключения до сетей областей хранения), а также данными на этих дисках. Это достигается за счет использования усовершенствованной архитектуры управления дисками и данными. Служба теневого копирования тома и виртуальная дисковая служба являются частью структуры для хранения данных, обеспечивающей гетерогенное взаимодействие оборудования и программного обеспечения для хранения данных с приложениями. Затраты на поддержку также сокращаются, поскольку новая технология восстановления из теневых копий дает пользователям возможность самостоятельно поддерживать или восстанавливать случайно потерянные или удаленные файлы. Простые в настройке общие файловые ресурсы, доступ к которым предоставляется через распределенную файловую систему (DFS), делают управление сетевыми хранилищами и их настройку более надежным и менее затратным процессом. |
| Снижение совокупной стоимости владения за счет повышения доступности |
Еще одним важнейшим компонентом совокупной стоимости владения является доступность — возможность поддерживать критически важные и взаимодействующие с потребителями приложения в работоспособном состоянии. За счет решений, обеспечивающих повышенную доступность, таких как множественные пути, кластеризация, а также службы резервного копирования, восстановления и защиты данных, Windows Server 2003 сокращает длительность плановых простоев. Сокращение длительности простоев и уменьшение потребности в обслуживании приводят к снижению затрат. ПО с поддержкой множественных путей обеспечивает (при условии поддержки от поставщика) прохождение данных от сервера до устройства хранения по нескольким путям, предоставляя альтернативный путь в том случае, если невозможно воспользоваться основным. Таким образом, заказчик получает большую свободу в выборе решений для хранения и с поддержкой множественных путей от различных поставщиков. |
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9
