WWW.REFERATCENTRAL.ORG.UA - Я ТУТ НАВЧАЮСЬ

... відкритий, безкоштовний архів рефератів, курсових, дипломних робіт

ГоловнаІнформатика, Компютерні науки → Операційна система MS Windows. Порівняння з іншими ОС (Unix, Apple, Linux, BeOS та ін.) - Курсова робота

Операційна система MS Windows. Порівняння з іншими ОС (Unix, Apple, Linux, BeOS та ін.) - Курсова робота

відповідними повноваженнями.
Більш глибокий рівень безпеки - те, як Windows NT Server захищає дані, що знаходяться в фізичній пам'яті комп'ютера. Доступ до них надається тільки маючим на це право програмам. Так само, якщо дані більше не містяться на диску, система запобігає несанкціонованому доступу до тієї області диска, де вони містилися. При такій системі захисту ніяка програма не "підгляне" у віртуальній пам'яті машини інформацію, з якою оперує в даний момент інший додаток.
Однак інтрамережі швидко стають найбільш ефективним способом спільного використання інформації бізнес-партнерами. Сьогодні доступ до закритої ділової інформації керується створенням облікових записів для нових зовнішніх членів ділової "сім'ї". Це допомагає встановлювати довірчі відносини не тільки з співробітниками корпорації, але і з множиною партнерів.
Віддалений доступ через відкриті мережі і зв'язок підприємств через Інтернет стимулюють постійний і швидкий розвиток технологій безпеки. Як приклад можна виділити сертифікати відкритих ключів і динамічні паролі. Але архітектура безпеки Windows NT однозначно оцінюється як перевершуюча і ці, і інші майбутні технології. Право на таке твердження дають нові можливості і удосконалення, що з'явилися в Windows NT 5.0. Частина цих змін відображає вимоги до захисту великих організацій, інша - дозволяє використати переваги гнучкої архітектури безпеки Windows NT, об'єднаної з сертифікатами відкритих ключів Інтернету.
Перерахуємо нові функції безпеки Windows NT.
o Інформація про доменні правила безпеки і облікова інформація зберігаються в каталозі Active Directory. Служба каталогів Active Directory забезпечує тиражування і доступність облікової інформації на багатьох контроллерах домена, а також дозволяє видалене адміністрування.
o У Active Directory підтримується ієрархічний простір імен користувачів, груп і облікових записів машин. Облікові записи можуть бути згруповані по організаційних одиницях (що істотно відрізняється від плоскої структури імен в попередніх версіях Windows NT).
o Адміністративні права на створення і управління групами облікових записів користувачів можуть бути делеговані на рівень організаційних одиниць. При цьому встановлюються диференційовані права доступу до окремих властивостей призначених для користувача об'єктів. Наприклад, група користувачів може змінювати параметри пароля, але не має доступу до іншої облікової інформації.
o Тиражування Active Directory дозволяє змінювати облікову інформацію на будь-якому контроллері домена, а не тільки на первинному. Численні копії Active Directory, що зберігаються на інших (в попередніх версіях, резервних) контроллерах домена, оновлюються і синхронізуються автоматично.
o Доменна модель змінена і використовує Active Directory для підтримки багаторівневого дерева доменів. Управління довірчими відносинами між доменами спрощене за рахунок транзитивності в межах всього дерева доменів.
o У систему безпеки включені нові механізми аутентификації, такі як Kerberos v5 і TLS (Transport Layer Security), що базуються на стандартах безпеки Інтернету,
o Протоколи захищених каналів (SSL 3.0/TLS) забезпечують підтримку надійної аутентификація клієнта. Вона досягається шляхом зіставлення мандатів користувачів в формі сертифікатів відкритих ключів з існуючими обліковими записами Windows NT. Для управління обліковою інформацією і контролю за доступом застосовуються одні і ті ж засоби адміністрування, незалежно від того, чи використовується захист з відкритим ключем або із загальним секретом.
o Додатково до реєстрації за допомогою введення пароля може підтримуватися аутентификація з використанням смарт-карт. Останні забезпечують шифрування і надійне зберігання закритих ключів і сертифікатів, що особливо важливо для надійної аутентификація при вході в домен з робочої станції.
o До складу нової версії входить Microsoft Certificate Server.
Цей сервер призначений для організацій і дозволяє видавати співробітникам і партнерам сертифікати Х.509 версії 3. В CryptoAPI включені інтерфейси і модулі управління сертифікатами відкритих ключів, включаючи видані комерційним ВУС (Уповноваженим сертифікації), стороннім ВУС або Microsoft Certificate Server. Системні адміністратори можуть вказувати, сертифікати яких уповноважених є довіреними в системі і, таким чином, контролювати аутентификація доступу до ресурсів.
o Зовнішні користувачі, що не мають облікових записів Windows NT, можуть бути аутентифіковані за допомогою сертифікатів відкритих ключів і співвіднесені з існуючим обліковим записом. Права доступу, призначені для цього облікового запису, визначають права зовнішніх користувачів на доступ до ресурсів.
o У розпорядженні користувачів засоби управління парами закритих (відкритих) ключів і сертифікатами, що використовуються для доступу до ресурсів Інтернету.
o Технологія шифрування вбудована в операційну систему і дозволяє використати цифрові підписи дляідентифікації потоків.
У Windows NT 5.0 вбудований сервер сертифікатів Certificate Server, який може видавати сертифікати в стандартних форматах (Х.509 версій 1 і 3), а також додавати розширення по мірі потреби.
Протокол аутентификації Kerberos
Протокол аутентификації Kerberos визначає взаємодію між клієнтом і мережевим сервісом аутентификації, відомим як KDC (Key Distribution Center). У Windows NT KDC використовується як сервіс аутентификація на всіх контроллерах домена. Домен Windows NT еквівалентний області Kerberos, але до неї звертаються як до домену. Реалізація протоколу Kerberos в Windows NT заснована на визначенні Kerberos в RFC1510, Клієнт Kerberos реалізований у вигляді ПФБ (постачальника функцій безпеки) Windows NT, заснованому на SSPI. Початкова аутентификація Kerberos інтегрована з процедурою WinLogon. Сервер Kerberos (KDC) інтегрований з існуючими службами безпеки Windows NT, що виконуються на контроллері домена. Для зберігання інформації про користувачів і групи він використовує службу каталогів Active Directory.
Протокол Kerberos посилює існуючі функції безпеки Windows NT і додає нові. Розглянемо останні детальніше.
o Підвищена швидкість аутентификації при встановленні початкового з'єднання. Сервер додатків не повинен звертатися до контроллера домена для аутентификація клієнта. Така конфігурація підвищує масштабованість серверів додатків при обробці запитів на підключення від великого числа клієнтів.
o Делегування аутентификації в багатоярусній архітектурі клієнт-сервер. При підключенні клієнта до сервера, останньому імперсонує (втілює) клієнта в цій системі. Але якщо серверу для завершення транзакції треба виконати мережеве підключення до іншого сервера, протокол Kerberos дозволяє делегувати аутентификації першого сервера і підключитися до другого від імені клієнта. При цьому другий сервер також виконує імперсонацію клієнта.
o Транзитивні довірчі відносини для міждоменної аутентификації. Користувач може бути аутентифікований в будь-якому місці дерева доменів, оскільки сервіси аутентификації (KDC) в кожному домені довіряють квиткам, виданим іншими KDC в дереві. Транзитивне довір'я спрощує управління
Loading...

 
 

Цікаве