Реферат: Операційна система MS Windows

Підтримка протоколом Kerberos відкритих ключів - основа аутентификація в мережі за допомогою смарт-карт. Користувачі Windows NT 5.0 можуть їх застосовувати для входу в систему.

Сервер сертифікатів Microsoft Certificate Server

Сервер сертифікатів Microsoft Certificate Server надає організаціям спрощений, без звернення до зовнішніх ВУС (уповноваженим сертифікації), процес видачі сертифікатів. З його допомогою досягається повний контроль над правилами видачі, управління і відгуку сертифікатів, а також над форматом і змістом самих сертифікатів. Реєстрація всіх транзакцій дозволяє адміністратору відстежувати запити на видачу сертифікатів і управляти ними.

Certificate Server виконується у вигляді сервісу Windows NT і обробляє всі запити сертифікатів, випадки їх видачі, а також всі списки відгуку. Статус кожної операції з сертифікатами відстежується за допомогою черги транзакцій. По завершенні операції інформація про неї заноситься в журнал транзакцій для подальшої перевірки адміністратором.

Клієнт і вхідний модуль

Запит сертифіката поступає від будь-якого, підтримуючого цифрові сертифікати, клієнтського додатку. Це можливо,  наприклад, програма перегляду сторінок Web, поштовий клієнт або клієнт електронного магазина. Точку входу Certificate Server - так званий вхідний модуль   можна настроїти на прийом запитів в багатьох стандартних форматах. Вхідні модулі виконують дві основні функції: розпізнають протокол або транспортний механізм, що використовується запитуючим додатком, а також встановлюють з'єднання з сервером сертифікатів для передачі запитів. Якщо треба забезпечити так специфічні потреби, що це не під силу вхідним модулям, що поставляються,  можна написати свій власний модуль, використовуючи інтерфейс СОМ, що надається Certificate Server.

Модуль черг і правил

Вхідний модуль передає запит у виконавчу частину сервера сертифікатів, де відбувається введення запиту в чергу, а далі   передача в модуль правил. Саме там на основі додаткової інформації, що міститься в запиті визначається можливість видачі запитаного сертифіката. Так само, як і вхідний модуль, модуль правил є повністю таким, що настроюється.

У процесі прийняття рішення про видачу сертифіката, модуль правил може звернутися до зовнішніх баз даних, таких як каталог Active Directory,  або успадкована база даних, або кредитна інформація від стороннього джерела, щоб перевірити надану інформацію. Також він може посилати адміністраторам попередження про необхідність видачі їм дозволи.

Після цього інформація упаковується в запит так, як вказана адміністратором. Модуль правил може бути настроєний на вставку будь-яких розширень сертифікатів, що зажадалися клієнтським додатком (наприклад, дані для оцінки купівельних можливостей клієнта).

Коли модуль правил повертає запит на надання сертифіката назад у виконавчий модуль, оновлюються черга, шифрування і цифровий підпис сертифіката, а також запис транзакції. У журнал заносяться не тільки всі запити, але і те, чи були вони задоволені або знехтувані. Там же з метою подальшого аудиту зберігаються всі видані сертифікати і списки відгуку сертифікатів.

Certificate Server передає сертифікат у вихідний модуль, який упаковує його у відповідний транспортний механізм або протокол. Так, сертифікат може бути переданий поштою,  по мережі або вміщений в службі каталогів, наприклад, Active Directory.

Подібно вхідному модулю, вихідного також повністю настроюємо. Більш того в одному сервері допустимі декілька вихідних модулів, і один і той же сертифікат може бути не тільки відправлений клієнту, але і вміщений, наприклад, в репозитарій сертифікатів для подальшого використання (в тому числі для перевірки інформації в призначеному для користувача сертифікаті).

Для конфігурування, моніторинга і управління операціями на сервері в склад Certificate Server включений ряд адміністративних інструментів. Вони дозволяють модифікувати правила, додавати нові вхідний і вихідний модулі, переглядати чергу. Переглядаючи чергу, адміністратор може або відкинути запит про сертифікат або, навпаки, ініціювати його негайну видачу.

Безпека і Active Directory

У всіх попередніх версіях Windows NT інформація про облікові записи зберігалася в захищених гілках реєстру на контроллерах домена. Довірчі відносини між доменами і наскрізна аутентификація в дворівневих ієрархіях доменів дозволяли досить гнучко управляти обліковими записами і серверами ресурсів. Однак всередині кожного домена простір імен був плоским і не мав ніякої внутрішньої організації.

Розподілені служби безпеки Windows NT 5.0 використовують Active Directory як сховище облікової інформації. Active Directory значно перевершує реєстр по продуктивності і масштабованості. Особливо вражають її адміністративні можливості.

Розглянемо переваги інтегрованого управління обліковими записами службою каталогів Active Directory.

• Облікові записи користувачів, груп і машин можуть бути організовані у вигляді контейнерів каталога, званих, як вже згадувалося, організаційними одиницями OU. У домені допустиме довільне число OU, організованих у вигляді деревовидного простору імен у відповідності зі структурою організації користувача. Також як і OU, облікові записи окремих користувачів є об'єктами каталога. При зміні співробітниками місця роботи або посади облікові записи всередині дерева доменів можуть бути легко переміщені, і, таким чином, приведені у відповідність з новим положенням.

• Каталог Active Directory дозволяє враховувати набагато більше об'єктів користувачів, ніж реєстр. Розмір одного домена вже не обмежений продуктивністю сервера, що зберігає облікові записи. Дерево пов'язаних між собою доменів Windows NT може підтримувати великі і складні організаційні структури.

• Адміністрування облікової інформації розширене за рахунок графічних коштів управління Active Directory,  а також за рахунок підтримки OLE DS в мовах сценаріїв. Загальні задачі адміністрування можуть бути вирішені у вигляді сценаріїв, що дозволяє автоматизувати їх виконання.

• Служба тиражування каталогів дає можливість мати декілька списів облікової інформації, причому оновлюватися ця інформація може в будь-якій копії, а не тільки на виділених первинних контроллерах домена. Протокол LDAP і синхронізація каталогів забезпечують механізми зв'язку каталога Windows NT з іншими каталогами на підприємстві.

Зберігання облікової інформації в Active Directory означає, що користувачі і групи представлені там у вигляді об'єктів каталога. Права на читання і запис можуть бути надані окремим особам, як по відношенню до всього об'єкта цілком, так і по відношенню до окремих його властивостей. Адміністратори можуть точно задавати, хто саме правомочний модифікувати інформацію про користувачів, і яку саме. Наприклад, оператору телефонної служби дозволяється змінювати інформацію про телефонні номери користувачів, але при цьому він не володіє привілеями системного оператора або адміністратора.

Поняття груп спростилося, і місце локальних і глобальних груп тепер займають просто об'єкти гpynn. З їх допомогою можна управляти як доступом до ресурсів в масштабі всього домена, так і до локальних ресурсів контроллера домена.

Між Active Directory і службами безпеки Windows NT існують фундаментальні відносини. У Active Directory зберігаються правила безпеки домена, що визначають порядок використання системи (обмеження паролів, обмеження на доступ до системи і інш.). Об'єкти каталога, що відносяться до безпеки, повинні бути захищені від несанкціонованого доступу. У Windows NT реалізована об'єктна модель безпеки і контролю за доступом до всіх об'єктів в каталозі Active Directory. У кожного об'єкта є свій унікальний дескриптор захисту, що визначає дозволи на читання або оновлення властивостей об'єкта.

Для визначення прав даного клієнта прочитувати або модифікувати певний об'єкт в Active Directory служить імперсонація і верифікація доступу Windows NT. Іншими словами, при надходженні LDAP-запита від клієнта доступ до об'єктів каталога контролюється операційною системою, а не службою каталогів Active Directory.

Модель безпеки Windows NT забезпечує однорідний і уніфікований механізм контролю за доступом до ресурсів домена на основі членства в групах. Компоненти безпеки Windows NT довіряють інформації, що зберігається в каталозі про захист. Наприклад, сервіс аутентификація Windows NT зберігає зашифровані паролі користувачів в безпечній частині каталога об'єктів користувача. За замовчанням операційна система «вважає», що правила безпеки захищені і не можуть бути змінені будь-ким несанкціоновано. Загальна політика безпеки домена також зберігається в каталозі Active Directory.

Довірчі відносини між доменами

У Windows NT 5.0 домени можуть бути організовані у вигляді ієрархічних дерев. Між доменами встановлюються довірчі відносини, Підтримуються два види таких відносин:

• явні однонаправлені довірчі відносини з доменами Windows NT 4.0;

• двосторонні транзитивні довірчі відносини між всіма доменами, що входять в дерево.

Явні відносини довір'я встановлюються не тільки з доменами старого типу, але і в тому випадку, коли неявні двосторонні відносини не придатні для використання: наприклад, для домена фінансового відділу або бухгалтерії. Встановлення явних односторонніх довірчих відносин автоматично відміняє неявні довірчі відносини Kerberos.

Проте, у великій організації явні односторонні відносини потрібні не так уже часто. Неявні двосторонні довірчі відносини значно полегшують управління обліковими записами з декількох доменів, оскільки всі домени в дереві неявно довіряють один одному.

Делегування адміністративних повноважень

Делегування адміністративних повноважень - гнучкий інструмент обмеження адміністративної діяльності рамками частини домена. Цей метод дозволяє надати окремим співробітникам можливість управління користувачами або групами в заданих межах і, в той же час, не дає їм прав на управління обліковими записами, що відносяться до інших підрозділів.

Права на визначення нових користувачів або створення груп користувачів делегуються на рівні OU або контейнера, в якому створений обліковий запис. Адміністратори груп однієї організаційної одиниці не завжди мають можливість створювати облікові записи того ж самого домена, що відносяться до іншої організаційної одиниці або управляти ними. Однак доменні правила і права доступу, визначені на більш високих рівнях каталога, можуть бути застосовані по всьому дереву за допомогою механізму успадкування.

Існує три способи делегування адміністративних повноважень:

• на зміну властивостей певного контейнера, наприклад, LocalDomainPolicies самого домена;

• на створення і видалення дочірніх об'єктів певного типу (користувачі, групи, принтери і ін.) всередині OU;

• на оновлення певних властивостей деяких дочірніх об'єктів всередині OU (наприклад, право встановлювати пароль для об'єктів типу User).

Делегувати повноваження просто. Досить вибрати особу, якій будуть делеговані повноваження, і указати, які саме повноваження передаються. Інтерфейс програми адміністрування Active Directory дозволяє без ускладнень переглядати інформацію про делегування, визначену для контейнерів.

Детальне призначення прав доступу

Звичайно у великій організації за забезпечення безпеки і підтримки інфраструктури мережі відповідають декілька чоловік або груп. Отже, повинна існувати можливість надавати таким особам або групам права на виконання певних операцій без права створення додаткових облікових записів і впливу на властивості інших облікових записів.

Архітектурою безпеки об'єктів Active Directory використовуються дескриптори захисту Windows NT для контролю за доступом до об'єктів. Кожний об'єкт в каталозі має унікальний дескриптор захисту. Вхідний в дескриптор список контролю доступу ACL (Access Control List), містить рядки, що визначають дозвіл або заборону на певні види доступу для окремих осіб або груп. Права доступу можуть бути надані або заборонені в різній мірі. Існують рівні прав доступу, що розрізнюються застосуванням до:

• об'єкту загалом (при цьому зачіпаються всі властивості об'єкта);

• групі властивостей, визначеній наборами властивостей всередині об'єкта;

• окремій властивості об'єкта.

За умовчанням доступ для читання і запису до всіх властивостей об'єкта отримує творець об'єкта.

Заборона або надання доступу до групи властивостей зручна для визначення родинних властивостей. Групування властивостей виконується відповідним атрибутом властивості в схемі. Взаємовідносини наборів властивостей можна змінювати, модифікуючи схему.

Нарешті, призначення прав доступу до окремих властивостей являє собою найвищий рівень деталізування, застосовний до всіх об'єктів Active Directory.

Контейнерні об'єкти в каталозі також підтримують детализація доступу, регламентуючи, хто має право створювати дочірні об'єкти і якого типу. Наприклад, правило доступу, визначене на рівні організаційної одиниці, може визначати, хто має право створювати об'єкти типу User (користувачі) в цьому контейнері. Інше правило в цієї ж OU може визначати, хто має право створювати об'єкти типу Printer.

Успадкування прав доступу

Успадкування прав доступу означає, що інформація про управління доступом, визначена у вищих шарах контейнерів в каталозі, розповсюджується нижче   на вкладені контейнери і об'єкти-листя. Існують дві моделі успадкування прав доступу: динамічна і статична. При динамічному успадкуванні права визначаються шляхом оцінки дозволів на доступ, призначених безпосередньо для об'єкта, а також для всіх батьківських об'єктів в каталозі. Це дозволяє ефективно управляти доступом до частини дерева каталога, вносячи зміни в контейнер, що впливає на всі вкладені контейнери і об'єкти-листя. Зворотна сторона такої гнучкості   недостатньо висока продуктивність через час визначення ефективних прав доступу при запиті користувача.

У Windows NT реалізована статична форма успадкування прав доступу, іноді також звана успадкуванням в момент створення. Інформація про управління доступом до контейнера розповсюджується на всі вкладені об'єкти контейнера. При створенні нового об'єкта успадковані права зливаються з правами доступу, що призначаються за умовчанням. Будь-які зміни успадкованих прав доступу, дерева, що виконуються надалі на вищих рівнях,  повинні розповсюджуватися на всі дочірні об'єкти. Нові успадковані права доступу розповсюджуються на об'єкти Active Directory відповідно до того, як ці нові права визначені. Статична модель успадкування дозволяє збільшити продуктивність.

Аудит

Аудит   одне з засобів захисту мережі Windows NT. З його допомогою можна відстежувати дії користувачів і ряд системних подій в мережі. Фіксуються наступні параметри, що стосуються дій, що здійснюються користувачами:

·     виконана дія;

·     ім'я користувача, що виконав дію;

·     дата і час виконання.

Аудит, реалізований на одному контроллері домена, розповсюджується на всі контроллери домена. Настройка аудиту дозволяє вибрати типи подій, що підлягають реєстрації, і визначити, які саме параметри будуть реєструватися.

У мережах з мінімальним вимогам до безпеки піддавайте аудиту:

·     успішне використання ресурсів, тільки в тому випадку, якщо ця інформація вам необхідна для планування;

·     успішне використання важливої і конфіденційної інформації.

У мережах зі середніми вимогами до безпеки піддавайте аудиту:

·     успішне використання важливих ресурсів;

·     вдалі і невдалі спроби зміни стратегії безпеки і адміністративної політики;

·     успішне використання важливої і конфіденційної інформації.

У мережах з високими вимогами до безпеки піддавайте аудиту:

·     вдалі і невдалі спроби реєстрації користувачів;

·     вдале і невдале використання будь-яких ресурсів;

·     вдалі і невдалі спроби зміни стратегії безпеки і адміністративної політики.

Аудит приводить до додаткового навантаження на систему, тому реєструйте лише події, що дійсно представляють інтерес.

Windows NT записує події в три журнали:

·     Системний журнал (system log) містить повідомлення про помилки, попередження і іншу інформацію, вихідну від операційної системи і компонентів сторонніх виробників. Список подій, що реєструються в цьому журналі, приречений операційною системою і компонентами сторонніх виробників і не може бути змінений користувачем. Журнал знаходиться в файлі Sysevent.evt.

·     Журнал безпеки (Security Log) містить інформацію про успішні і невдалі спроби виконання дій, що реєструються засобами аудиту. Події, що реєструються в цьому журналі, визначаються заданою вами стратегією аудиту. Журнал знаходиться в файлі Secevent.evt.

·     Журнал додатків (Application Log) містить повідомлення про помилки, попередження і іншу інформацію, що видається різними додатками. Список подій, що реєструються в цьому журналі, визначається розробниками додатків. Журнал знаходиться в файлі Appevent.evt.

Всі журнали розміщені в папці %Systemroot%\System32\Config

ЕЛЕМЕНТИ БЕЗПЕКИ СИСТЕМИ Windows NT

Облікові записи користувачів і груп

Будь-який користувач Windows NT характеризується певним обліковим записом. Під обліковим записом розуміється сукупність прав і додаткових параметрів, асоційованих з певним користувачем. Крім того, користувач належить до однієї або декільком групам. Приналежність до групи дозволяє швидко і ефективно призначати права доступу і повноваження.

Так само, як і в попередніх версіях Windows NT,  у версії 5.0 є декілька вбудованих облікових записів користувачів і груп. Ці облікові записи наділені певними повноваженнями і можуть використовуватися як основа для нових облікових записів,

До вбудованих облікових записів користувачів відносяться:

• Guest   обліковий запис, фіксуючий мінімальні привілеї гостя;

• Administrator   вбудований обліковий запис для користувачів, наділених максимальними привілеями;

• Krbtgt вбудований обліковий запис, що використовується при початковій аутентификація Kerberos.

Крім них є два приховані вбудовані облікові записи:

• System   обліковий запис, що використовується операційною системою;

• Creator owner   творець (файла або каталога).

Перерахуємо вбудовані групи:

• локальні (залишені для сумісності)

  Account operators;

  Administrators;

  Backup operators;

  Guests;

  Print operators;

  Replicator;

  Server operators;

  Users;

• і глобальні

  Domain guests   гості домена;

  Domain Users   користувачі домена;

  Domain Admins   адміністратори домена.

Крім цих вбудованих груп є ще ряд спеціальних груп:

• Everyone   в цю групу за умовчанням включаються взагалі всі користувачі в системі;

• Authenticated users   в цю групу включаються тільки аутентифицированние користувачі домена;

• Self   сам об'єкт.

Домени Windows NT

Управління доменами  здійснюється за допомогою адміністративної консолі DNS. Ви можете визначити зони, прописати повністю певні імена, включити в домени комп'ютери і т. п.

Як вже вказувалося, домени об'єднуються в дерева. Для перегляду дерева доменів використовується спеціальний зліпок консолі управління (domain.msc), званий Domain Tree Management.

Встановлення довірчих відносин явного типу нічим не відрізняється від того, що застосовувався в попередніх версіях: у верхній список заносяться імена доменів, яким довіряє даний домен; а в нижній   імена доменів, які можуть йому довіряти.

Як вже вказувалося, ці довірчі відносини є значення задавати лише тоді, коли двостороннє транзитивне довір'я Kerberos, що встановлюється за умовчанням, не відповідає безпеці; а також у разі зв'язку між кореневими доменами дерев в лісі.

Домени можуть працювати в двох режимах: «рідному» (native) і змішаному (mixed). При роботі в змішаному режимі в домен можуть входити як контроллери доменів, на яких встановлена версія Windows NT 5.0, так і з більш ранніми версіями.

«Рідний» режим роботи допускає включення в домен тільки контроллерів домена з Windows NT 5.0. У цьому режимі з'являється можливість створення вкладених груп, а також междоменного членства в групі.

Інформація про домене являє собою набір властивостей доменного об'єкта. Серед властивостей є обов'язкові, наприклад, ім'я домена. А ось інформація про адміністратора домена - необов'язкова. З точки зору забезпечення працездатності вона не має ніякого значення і тому цілком може бути опущена. Однак передбачимо, що Ви бажаєте знайти в дереві всю домени, якими управляє адміністратор Петров. Якщо інформація, показана на малюнку, не була введена завчасно, то поставлена задача зможе бути вирішена тільки шляхом особистого звернення до адміністратора Петрову.

Оскільки домен є контейнерним об'єктом каталога Active Directory,  до нього застосовні ті ж самі види доступу, що і до будь-якого контейнера: повний доступ, читання, запис, створення і видалення дочірніх об'єктів.

Локальна політика безпеки

Локальна політика безпеки регламентує правила безпеки на локальному комп'ютері. З її допомогою можна розподілити адміністративні ролі, конкретизувати привілеї користувачів, призначити правила аудиту.

У порівнянні з можливостями аудиту, що були в Windows NT 4.0,  в нової версії ОС доданий аудит ще двох категорій подій. Це специфічні події, пов'язані з доступом до служби каталогів Active Directory,  і події, що відносяться до аутентификація Kerberos. Доступний роздільний аудит успішних і неуспішних подій.

Доменна політика

Доменна політика встановлює правила для всіх облікових записів в домені, торкаючись такі сфери, як правила паролів, блокування облікових записів, вибір уповноважених безпеці, Kerberos-правила і т. д. В першої бети-версії реалізовані тільки правила паролів і блокування облікових записів. По своїх можливостях вони практично не відрізняються від правил попередньої версії Windows NT.

Якщо пароль користувача довгий час незмінний, захищеність системи від несанкціонованого доступу значно знижується. Саме тому система повинна примушувати користувача до періодичної зміни пароля. Політика ведення облікових записів дозволяє задати певний термін дії пароля в межах від 1 до 999 днів або призначити пароль постійним. За умовчанням тривалість дії пароля 42 дні.

Якщо адміністратор задав параметр Password never expires для конкретного користувача, той може не міняти пароль. Але така практика рекомендується тільки для службових облікових записів, від імені яких виконуються сервіси в системі.

За умовчанням довжина пароля користувача варіюється від 0 до 14 символів. Зрозуміло, що при підвищених вимогах до захищеності системи пустий пароль недопустимо. У цьому випадку адміністратор системи призначає мінімальну довжину пароля. Створюючи новий обліковий запис для користувача, адміністратор може указати пароль довільної довжини, незалежно від обмеження, заданого політикою ведення облікових записів. Однак якщо пароль змінюється користувачем після реєстрації в системі, то параметри нового пароля повинні точно відповідати політиці ведення облікових записів.

Обмеження мінімально можливого терміну зміни пароля користувачем доцільне, наприклад, якщо в системі працює багато починаючих користувачів. По-перше, певний термін дає користувачам, що недавно познайомилися з Windows NT,  можливість звикнути до особливостей захищеної роботи і пересвідчитися в необхідності пам'ятати свій пароль. По-друге, починаючий користувач, змінивши після закінчення терміну дії пароль, може захотіти повернутися до колишнього. Але зробити це і ослабити таким чином захищеність системи не дозволить примусова затримка. Це особливо ефективне, якщо встановити параметр відстеження унікальності пароля.

Мінімальний період для дозволу зміни пароля варіюється в межах від 1 до 999 днів. За умовчанням він не обмежується. Звичайно, досить встановити 14 днів.

Редактор конфігурацій безпеки

Однак при автоматичній установці операційних систем на велике число комп'ютерів, при адмініструванні великих корпоративних мереж всі ці інструменти, незважаючи на свою корисність, стають недостатньо ефективними, що загалом приводить до підвищення вартості адміністрування. Для роботи в таких умовах необхідний принципово інший метод, що об'єднує в собі можливості всіх згаданих інструментів. Тільки так можна гарантувати ефективну політику безпеки і контроль захисту в масштабах великого підприємства.

У ролі такого інструмента успішно виступає редактор конфігурацій безпеки. Питання, пов'язані із забезпеченням безпеки, можна умовно розділити на декілька областей. Microsoft ідентифікував і представив в редакторі конфігурацій безпеки лише деякі області, що ні в якій мірі не обмежує Вас в ідентифікації і доданні в редактор нових областей.

За замовченням підтримуються наступні області безпеки:

• політика безпеки   завдання різних атрибутів безпеки на локальному і доменному рівнях; так само охоплює деякі установки на машинному рівні;

• управління групами з обмеженнями   дозволяє управляти членством в групах, які, на думку адміністратора, «чутливі» з точки зору безпеки системи;

• управління правами і привілеями   дозволяє редагувати список користувачів і їх специфічних прав і привілеїв;

• дерева об'єктів   включають три області захисту: об'єкти каталога Active Directory,  ключі реєстру, локальну файлову систему; для кожного об'єкта в дереві шаблони безпеки дозволяють конфігурувати і аналізувати характеристики дескрипторів захисту, включаючи власників об'єкта, списки контролю доступу і параметри аудиту;

• системні служби (мережеві або локальні)   побудовані відповідним образом дають можливість незалежним виробникам програмного забезпечення розширювати редактор конфігурацій безпеки для усунення специфічних проблем.

Функції редактора конфігурацій безпеки

Редактор конфігурацій безпеки   зліпок консолі управління ММС. Розглянемо його основні функції.

• Визначення шаблонів конфігурацій безпеки. Якщо Ви прагнете забезпечити безпеку в масштабах підприємства, що нараховує сотні або тисячі комп'ютерів, найкраще скористатися шаблонами замість індивідуальної настройки кожної машини. Передбачимо, що всі комп'ютери можуть мати десять різних варіантів настройки параметрів захисту. У такому випадку, зручно зробити десять шаблонів, кожний з яких буде відповідати своєму варіанту захисту, і застосовувати ці шаблони відповідно до потреб. Коли Ви застосовуєте шаблон, в реєстр комп'ютера вносяться зміни, які і визначають настройки системи безпеки. Шаблони безпеки в Windows NT   це текстові файли, формат яких схожий на формат inf-файлів. У окремих секціях описуються різні параметри безпеки. При завантаженні файла в редактор конфігурацій ці параметри відображаються в зручному для аналізу і редагування вигляді. Редактор також дозволяє створювати нові файли-шаблони.

• Конфігурування системної безпеки. Для конфігурування параметрів системної безпеки можна або вибрати відповідну команду в меню завантаженого зліпка (що приведе до запису параметрів з шаблона в реєстр), або скористатися версією редактора, що виконується з командного рядка. При другому варіанті виклик редактора можна вбудувати в адміністративний сценарій, який буде виконаний або негайний, або в будь-який зручний для Вас час.

• Аналіз системної безпеки. Аналіз параметрів, порівняння їх із заданими, що забезпечують певний рівень захисту, не менш важливий, ніж власне настройка. Так, в Windows NT Resource Kit 4.0 входить утиліта, що дозволяє на основі аналізу настройок системи робити висновок про відповідність захисту рівню С2. Редактор конфігурацій безпеки дає можливість порівнювати настройки з шаблоном. Виконується ця операція або за допомогою відповідної команди меню редактора, або запуском з командного рядка.

• Перегляд результатів аналізу. Редактор дозволяє переглядати результати порівняння існуючої конфігурації з шаблонною, в тому числі з використанням виразних графічних коштів.