Федеральное агентство по образованию Волжский политехнический институт филиал Волгоградского государственного технического университета Семестровая работа По Операционным системам Безопасность ОС MS Windows 2000 Server Выполнил Студент группы ВВТ-207 Богданов Евгений Игоревич Проверил Макушкин И. И. г. Волжский 2006г. ОглавлениеОглавление 1 Введение 1. Структура сетевой операционной системы 1. Одноранговые сетевые ОС и ОС с выделенными серверами 2. Серверные системы история создания, основные версии. 2. Системы семейства Windows NT. 3. Анализ безопасности Windows 2000 Server. 1. Теория Безопасности 10 3.1.1. Криптография. 2. Алгоритмы шифрования 3. Симметрические функции 4. Однонаправленные функции 5. Шифрование с открытым ключом 2. Применение шифрования 1. Безопасное хранение файлов 2. Аутентификация пользователя или компьютера 3. Цифровые подписи 4. Безопасный обмен паролями 18 3.3. Стеганография 4. Пароли 4. Локальная безопасность Windows 2000 Server 1. Идентификаторы безопасности 2. Доступ к ресурсам 3. Объекты и Разрешения 5.Файловая система NTFS 1. Шифрованная файловая система 6. Сетевая безопасность Windows 2000 Server 1. Аутентификация Kerberos и безопасность домена 30 6.1.2. Доверительные отношения между доменами 3. Групповые политики 4. Безопасность общих папок 5. Шифрование сетевого уровня 1. Технологии VPN IPSec 40 6.5.3. L2TP 4. РРТР 44 Выводы 44 ВведениеПри создании системы безопасности новой ОС Windows 2000 Server разработчики фирмы Microsoft постарались учесть как существующий опыт использования системы безопасности Windows NT 4.0, так и реализовать новые наборы механизмов и протоколов безопасной работы с информацией.
Windows NT 4.0 выбрана не случайно она позиционируется как ОС для предприятий, обладает встроенными возможностями разграничения доступа к ресурсам и за 6 лет эксплуатации хорошо зарекомендовала свои существующие и потенциальные возможности безопасности.
Но если заглянуть в Windows 2000 Server, то, очевидно, что, несмотря на большое количество механизмов безопасности, внесенных в новую ОС из Windows NT 4.0, все они претерпели существенные изменения в сторону увеличения удобства, надежности и функциональности.
Несмотря на то что, судя по пользовательскому интерфейсу, Windows 2000 Server больше похожа на Windows 98, на самом деле она является преемником Windows NT и даже называлась Windows NT 5 на первом этапе работы над бета-версией. Хотя Windows 2000 и базируется на Windows NT, операционная система была кардинально усовершенствована и обновлена, был также полностью пересмотрен интерфейс администрирования.
NT 4 отличалась от NT 3.51 главным образом концепцией пользовательского интерфейса в виде рабочего стола, большинство средств администрирования остались теми же. В Windows 2000 Server изменился каждый инструмент администрирования. Все средства администрирования были унифицированы путем преобразования в оснастки snap-in псевдоиерархического средства управления Microsoft Management Console консоль управления Microsoft, MMC . Система Windows 2000 Server компании Microsoft обеспечивает возможность безопасного доступа к ресурсам системы. Если для вас, самым важным ресурсом, подлежащим защите, являются файлы, можно настроить систему так, чтобы иметь возможность контролировать то, как другие пользователи читают, записывают, создают и изменяют файлы и папки на вашем компьютере.
Это возможно только при использовании файловой системы NTFS. Система была создана для Windows NT, предшественника Windows 2000 Server, и является одной из трех систем, которые можно использовать на жестком диске компьютера. 1.
Каждый компьютер в сети в значительной степени автономен, поэтому под ... Рис. Структура сетевой ОС В сетевой операционной системе отдельной машины м... Средства предоставления собственных ресурсов и услуг в общее пользован... Эти средства обеспечивают, например, блокировку файлов и записей, что ...
Новшества, внесенные в Windows NT Server 4.0, были связаны с улучшение... Сначала Windows NT развивалась как облегченный вариант OS 2 OS 2 Lite,... Эта операционная система, первоначально поддерживавшая привычный графи... Совокупность всех серверов, приложений иданных некоторого вычислительн... .
В Windows NT 4.0 было внесено много существенных изменений, среди кото... При разработке Windows NT 4.0 Microsoft решила пожертвовать стабильнос... Это следующие ключевые технологии многопроцессорная обработка многопот... . Системы семейства Windows NT.
Анализ безопасности Windows 2000 Server.3.1.
Многие из дыр были образованы новыми компонентами по выбору Windows NT... Вся современная компьютерная безопасность основывается на фундаменталь... Даже в системах, открытых для публичного анонимного доступа, должны пр... Включение индивидуальных средств обеспечения безопасности не дает полн... В течение периода использования Windows NT 4 в операционную систему бы...
Это симметричный алгоритм, что значит, что один и тот же ключ использу... Правительства разных стран США и бывшего СССР активно разрабатывали ко... Противоположностью сокрытия информации являются попытки раскрыть, что ... Перебор пространства ключей keyspace search подразумевает проверку все... 3.1.3.
Получить представление о возможных шифрах можно, сравнив следующие три. IBM и американское Управление национальной безопасности National Secur... Этот шифр обладает ключом длиной 128 бит - значительно больше, чем исп... IDEA был разработан как шифр, неуязвимый для линейного и дифференциаль... Blowfish.
Следовательно, практически невозможно создать другой файл хэш-значение... 3.1.5. . Пароль сохраняется при помощи однонаправленной функции one-way functio... Одна из особенностей хэш-функций особенно дающих короткие хэш-значения...
Применение шифрования. Службу Telnet в Windows 2000 можно сконфигурировать для работы только ... Зашифрованные файлы выглядят как случайные числа, поэтому все, что так... Они могут применяться для аутентификации пользователей, шифрования дан... Использование по-настоящему случайных паролей дает гораздо лучшие резу...
Локальная безопасность Windows. Когда учетная запись пользователя входит в учетную запись группы, уста... Эти учетные записи локальны для компьютера. Если информация хранится локально на компьютере под управлением Window... Чтобы получить доступ к другому компьютеру, этот компьютер должен прин...
. SID уникально идентифицирует принципала безопасности для всех компьюте... Существуют особые идентификаторы SID. Идентификаторы безопасности. SID дает системным службам разрешение на осуществление тех действий, к...
Потоки thread, отдельные ветви выполнения процесса должны предоставлят... Пользовательское приложение, например, обычно получает свой токен дост... Основу безопасности Windows 2000 образует перемещаемый вход в систему ... 1. Процесс WinLogon представляет пользователю приглашение ко входу в сист...
Аудит проверяется точно так же, как и проверка разрешений путем сравне... Local Security Authority создают LUID на основе информации о безопасно... При следующем запуске этой программы вирус сделает то же самое, а такж... Эта архитектура потребует обмена закрытыми ключами по сети, поэтому дл... 6.
Клиент запрашивает возможный набор идентификационных данных для данног... 2. После того как клиент получил в свое распоряжение допустимый билет и к... Kerberos сокращает предоставление билетов, во время первого контакта с... Kerberos технически делится на две службы службу TGT единственную служ...
Kerberos работает через границы домена домены в терминологии Kerberos ... 1. 3. Клиент использует билет направления для запроса билета сеанса непосред... Группа безопасности.
Безопасность общих папок. д Безопасность уровня общих папок аналогична безопасности файловой сис... Однако установленные разрешения для общей папки влияют только на удале... Безопасность уровня общих папок также не применима к пользователям, во... Плюс к этому пользователи могут создавать, удалять и изменять файлы Fu...
Полагается на обмен однонаправленными ключами unidirectional keys - кл... Шифрование вложенных данных может осуществляться при помощи одного из ... Все компьютеры в соединении должны быть в одном открытом адресном прос... IP IP обеспечивает незашифрованный виртуальный туннель между двумя око... Инкапсулированные данные могут быть кадром AppleTalk, IP-пакетом, IPX-...
ВыводыБезопасность - это комплекс мер, принимаемых для предотвращения потери или раскрытия информации в сети. Поскольку невозможно абсолютно устранить вероятность потери в пригодных к работе системах, определенная степень риска неизбежна, и безопасность системы должна основываться на фундаменте предоставления доступа только надежным принципалам безопасности пользователям или компьютерам. Для управления безопасностью любая система должна контролировать доступ идентифицировать пользователей ограничивать или разрешать доступ записывать деятельность пользователей осуществлять закрытое взаимодействие между системами минимизировать риск неправильной конфигурации.
Шифрование, процесс сокрытия сообщения при помощи математического алгоритма шифра, и секретное значение ключ, известное только легитимным сторонам, образуют основу всей современной компьютерной безопасности.
Шифрование может быть использовано для подтверждения идентификационных данных пользователя или компьютера, для проверки допустимости данных или для сокрытия содержимого данных при хранении или в коммуникационном потоке.
Безопасность Windows 2000 основывается на аутентификации пользователей. Входя в систему Windows 2000, пользователи подтверждают свою личность для того, чтобы получить доступ к файлам, программам и общим данным на серверах. Windows 2000 использует проникающую модель безопасности, в которой идентификационные данные пользователя проверяются при всех действиях, выполняемых пользователем на компьютере, вместо того чтобы предоставлять широкий доступ к компьютеру после того, как произошел успешный вход в систему.
Для того чтобы операционная система была надежной, она должна быть способной гарантировать, что не подвергалась несанкционированным изменениям и что информация может храниться в безопасности от пользователей. Windows 2000 использует разрешения файловой системы NTFS для управления доступом к файлам, включая файлы, обеспечивающие загрузку Windows 2000. Разрешения могут быть предоставлены пользователям и группам пользователей для каждой функции файловой системы.
Файлы также могут быть зашифрованы на диске для гарантии того, что к ним не будет получен доступ, даже когда компьютер выключен. Сетевая безопасность Windows 2000 управляется при помощи Active Directory, используемой в качестве репозитария хэшированных паролей Kerberos, групповых политик и политик IPSec. Active Directory определяет также взаимоотношения между принципалами безопасности.
Windows 2000 использует Kerberos для проверки идентификационных данных пользователя по сети. Kerberos является надежной системой безопасности третьей фирмы. Поскольку обе конечные точки во взаимодействии доверяют и доверяемы сервером Kerberos, они доверяют друг другу. Серверы Kerberos могут доверять другим серверам Kerberos, поэтому могут быть созданы транзитивные доверительные отношения, дающие возможность конечным точкам из разделенных большим расстоянием сетей устанавливать сеансы взаимодействия с проверкой подлинности.
Kerberos интегрирован с Active Directory все контроллеры домена являются центрами Kerberos Key Distribution Center центрами распределения ключей Kerberos, и вхождение в одно дерево домена автоматически создает транзитивные двусторонние доверительные отношения. Групповые политики применяются для установки требований безопасности и конфигурации компьютеров и учетных записей пользователей в домене, офисе или контейнере OU. Можно применять групповые политики для управления практически всеми элементами безопасности компьютеров и пользователей.
Групповые политики управляются из оснастки Active Directory Users and Computers Пользователи и компьютеры или через оснастку Active Directory Sites and Services Сайты И службы. IPSec является стандартом Интернета для обеспечения аутентичности IP-пакетов и для шифрования данных, вложенных в IP-пакеты. IPSec работает со многими различными алгоритмами безопасности и может работать в обычном транспортном режиме или туннельном режиме для эмуляции закрытого канала в открытой сети, такой как Интернет.
Безопасность в эру Интернета означает активную блокировку сеансов от неизвестных компьютеров, авторизацию пользователей на основе сертификатов публичных ключей шифрования, аудита использования файлов и каталогов, шифрование передачи данных и предотвращение непреднамеренной активизации вирусов и троянских коней легитимными пользователями.
Вынеся уроки из плохо подготовленной Windows NT4, Windows 2000 предоставляет сложный набор средств аутентификации пользователей, шифрования данных, обеспечения безопасных соединений, блокировки несанкционированного доступа и целостного управления безопасностью. При помощи набора служб по умолчанию Windows 2000 можно сделать более безопасной, чем любую другую операционную систему для массового рынка - в том числе все версии UNIX или Linux и ею гораздо проще управлять и использовать в безопасном состоянии.
Windows 2000 не может, тем не менее, предусмотреть все, потому что Microsoft и поставщики программного обеспечения третьих фирм пока еще во главу угла ставят простоту использования, а не безопасность в потребительских продуктах, таких как Internet Explorer, Outlook и Office. Во всех этих программах существуют серьезные изъяны в безопасности из-за их встроенных сценарных процессоров, требующих от администраторов сетей неустанной бдительности.
Windows 2000 также может помочь в исправлении этих проблем, но пока Microsoft в своих продуктах для конечных пользователей не станет уделять основное внимание безопасности, единственным способом предотвратить проблемы безопасности в вашей сети, вызванные этими программами, -это вообще их не использовать. Список литературы 1. MSDN Library April 2001 библиотека MSDN от апреля 2001 года 2. MSDN Library for Visual Studio 2005 библиотека MSDN для Visual Studio 2005 3. Безопасность сети на основе Microsoft Windows 2000. Учебный курс MSCE. 2001 Москва Русская Редакция . 4. http www.microsoft.com windows2000 library 5. В. Олифер Н. Олифер.
Сетевые операционные системы. 2003 С. Петербург Питер. 6. Марк Джозеф Эдвард, Дэвид Лебланк. Где NT хранит пароли. Журнал Windows 2000 Magazine .02 1999. 7. Мэтью Штребе. Windows 2000 проблемы и решения. Специальный справочник. 2002 С.Петербург Питер 8. Андреев А. Г. и др. Microsoft Windows 2000 Server и Professional. Русские версии. 2001 BHV 9. Грег Тодд. Windows 2000 Datacenter Server по материалам сайта http www.citforum.ru 10. Криста Андерсон.
Администрирование дисков в Windows 2000. Журнал Windows 2000 Magazine , 03 2000 по материалам сайта http www.citforum.ru.