Концепции Концепции обеспечения обеспечения

безопасности безопасности в в MicrosoftMicrosoft

Windows 2000Windows 2000

Главные задачиГлавные задачи

Аутентификация пользователейАвторизация доступа к

ресурсамКонфиденциальность

информацииЦелостность информацииНевозможность отказа от

совершенных действий

Компоненты Компоненты системы системы

безопасности безопасности WindowsWindows 2000 2000

Аутентификация Аутентификация ((Kerberos)Kerberos)

Управление Управление доступом к доступом к объектамобъектам

Средства шифрованияСредства шифрования

Инфраструктура открытых ключейИнфраструктура открытых ключей

Шифрующая Шифрующая файловая файловая системасистема

Смарт-картыСмарт-карты

Secure Secure ChannelChannel

Служба удаленного доступаСлужба удаленного доступа

IP SecurityIP Security

Службы Службы аутентификациаутентификаци

ии

Общие принципыОбщие принципы

Прежде чем допустить пользователя к ресурсам система должна его идентифицировать Учетная запись

Имя пользователя Пароль пользователя

Локальная регистрация на рабочей станции Протокол NTLM

Регистрация в домене Active Directory Протокол Kerberos v5 rev6

АрхитектураАрхитектура

SSPISSPILSALSALSALSA

Kerberos Kerberos SSPSSP

Kerberos Kerberos SSPSSP

Schannel Schannel SSPSSP

Schannel Schannel SSPSSP

NTLM NTLM SSPSSP

NTLM NTLM SSPSSP

Neg

otia

teN

egot

iate

Neg

otia

teN

egot

iate

Kerberos Kerberos packagepackage

Kerberos Kerberos packagepackage

MSV1_0 MSV1_0 SSPSSP

MSV1_0 MSV1_0 SSPSSP

WinlogonWinlogonWinlogonWinlogon

GINAGINAGINAGINA

Third-Third-party party SSPSSP

Third-Third-party party SSPSSP

Third-party Third-party packagepackage

Third-party Third-party packagepackage

ПриложениеПриложениеПриложениеПриложение

Контроль Контроль доступадоступа

СубъектСубъектПривилегии

Возможность выполнять ту или иную операцию на данном компьютере

Ассоциированы с пользователем

Права Запреты и разрешения на выполнение

тех или иных действий с объектом Ассоциированы с объектом

Пользователь Однозначно определяется своей учетной

записью в каталоге Security Identifier (SID) пользователя

Маркер доступаМаркер доступа

Маркер доступа субъекта Формируется для каждого субъекта

Ассоциируется с каждым потоком, исполняемым от имени пользователя

Важнейшие компоненты SID пользователя SID-ы всех групп, в которые

пользователь входит Установленные на данном компьютере

привилегии пользователю и группам, в которые он входит

ОбъектОбъект

Объекты файловой системы Файлы Папки

Объекты каталога Active Directory Пользователи Компьютеры Принтеры Контейнеры

Свойства объекта определяются набором атрибутов

Дескриптор Дескриптор безопасности безопасности

объектаобъектаDiscretionary Access Control List, DACL Список запретов и разрешений,

установленных для данного объекта

System Access Control List, SACL Список назначений аудита

Access Control Entry, ACE Каждая ACE содержит назначение прав

для конкретного SID ACL объекта Active Directory может

содержать строки ACE, назначенные отдельным атрибутам

OUOU 12 12

НаследованиеНаследованиеФормирование

ACL объекта в иерархии Явные

назначения Наследование с

верхних уровней

Статический механизм наследования

Делегирование полномочий

OUOU 1 1ACL1ACL1

ACL1ACL1

ACL2ACL2

ACL3ACL3

Проверка правПроверка прав

DenyDenySID 278SID 278 _WX_WX

DenyDenySID 39SID 39 R_XR_X

AllowAllowSID 278SID 278 R__R__

AllowAllowSID 141SID 141 RR__XX

DenyDenySID 199SID 199 _W__W_

AllowAllowSID 65SID 65 RW_RW_

Унаследованные строки

Унаследованные строки

Явные назначенияЯвные назначения

SID 65SID 65

SID SID 141141

SID SID 172172

SID SID 199199

ПользовательОбъект

READREAD WRITWRIT

EE

READREAD WRITWRIT

EE

AccessAccessDeniedDeniedAccessAccessDeniedDenied

Средства Средства шифрованияшифрования

CSP CSP и и CryptoAPICryptoAPI

CryptoAPI Программные интерфейсы к

криптографическим службам Windows 2000

Cryptographic Service Provider Криптографические операции Генерация и хранение ключей

Microsoft CSPs Базовый набор High Encryption Pack

CSP CSP и и CryptoAPICryptoAPI

CSP #1CSP #1

Advapi32.dllAdvapi32.dllCrypt32.dllCrypt32.dll

Advapi32.dllAdvapi32.dllCrypt32.dllCrypt32.dll

ПриложениеПриложение A AПриложениеПриложение A A

CSP #2CSP #2 CSP #3CSP #3 CSP #4CSP #4

ПриложениеПриложение A AПриложениеПриложение A A ПриложениеПриложение A AПриложениеПриложение A AСлой

приложений

Системныйслой

Слойпоставщиков

CryptoAPI

CryptoSPI

Встроенные Встроенные CSPCSPСтандартные криптопровайдеры

Microsoft Base CSP Microsoft DSS CSP Microsoft DSS and Diffie-Hellman CSP Microsoft DSS and

Diffie-Hellman/Schannel CSP Microsoft RSA/Schannel CSP Schlumberger CSP GemPlus CSP

High Encryption Pack Microsoft Strong CSP Microsoft Enhanced CSP

АлгоритмыАлгоритмы

Симметричное шифрование Data Encryption Standard (DES)

DES: 56 бит DESX: 128 бит Triple DES: 112 бит, 168 бит

Rivest’s Cipher (RC) RC2, RC4: 40 бит, 56 бит, 128 бит

Обмен ключами Diffie-Hellman Key Agreement RSA Key Exchange

АлгоритмыАлгоритмы

Хеширование Message Digest (MD)

MD2, MD4, MD5 Secure Hash Algorithm (SHA-1) Hashed Message Authentication Code

(HMAC)Цифровая подпись

Digital Signature Algorithm (DSA)

RSA Digital Signature

Разработка Разработка CSPCSP

Создание и тестирование модуля CSP с помощью Microsoft Cryptographic Service Provider Developer’s Kit (CryptoSDK) http://msdn.microsoft.com/downloads/

Раздел “Security”

Цифровая подпись Microsoft Модуль c описанием нужно передать

Microsoft Процесс подписи занимает

1 – 2 рабочих дня

ИнфраструктурИнфраструктура открытых а открытых

ключейключей

СертификатСертификатЦифровое удостоверение

Стандарт X.509 версия 3Информация, однозначно

идентифицирующая субъекта Его открытый ключ

Допустимые режимы использования

Информация, необходимая для проверки сертификата Срок действия сертификата Информация о службе, выдавшей

сертификатЦифровая подпись CA

Microsoft Microsoft Certificate ServicesCertificate Services

Certification Authority Выдача сертификатов клиентам

Генерация ключей, если нужно Отзыв сертификатов

Публикация Certificate Revocation List Хранение истории всех выданных

сертификатовWeb Enrollment Support

Запрос и получение сертификата через Web-интерфейс

Архитектура Архитектура CACA

Certificate Services

Certificate Services

ExitExitModuleModule

ExitExitModuleModule

EntryEntryModuleModuleEntryEntry

ModuleModule

Certificate Certificate TemplatesTemplatesCertificate Certificate TemplatesTemplates Policy ModulePolicy ModulePolicy ModulePolicy Module

Protected StoreProtected StoreProtected StoreProtected Store

CSPCSPCSPCSP

Личные ключиЛичные ключи

Открытые ключи

Открытые ключи

Certificate Certificate DatabaseDatabase

Запросы Запросы PKCS10PKCS10

СертификатыСертификаты

CRLCRL

Microsoft CAMicrosoft CA

Enterprise CA Интегрирован с Active Directory Выдает сертификаты только

объектам, имеющим учетные записи в каталоге

Использует шаблоны сертификатовStand-Alone CA

Не зависит от Active Directory Может использоваться в качестве

независимого центра сертификации для любых объектов

Иерархия Иерархия CACARoot CA

Sub CA 4

Sub CA 1

Sub CA 2

Intermediate CA Issuing CA

Issuing CA

Root CA

Root CA

Sub CA 2

Sub CA 3

User

Sub CA 3

Issuing CA

Certification Path

Проверка Проверка сертификатасертификата

Root CA

Sub CA 2

Sub CA 3

User

Сертификат разрешено использовать в данном режиме.

Тип сертификата

Сертификат действителен в данный момент.

Срок действия

Цифровая подпись CA, выдавшего сертификат, верна.

Целостность

Сертификат не был отозван.

ЛегитимностьСертификат корневого CA присутствует в хранилище Trusted Root Certification Authorities.

Доверие

Списки CTL не запрещают использование сертификата для данной задачи.

Запреты

Службы, Службы, базирующиеся базирующиеся

на на Windows Windows 2000 PKI2000 PKI

Secure ChannelSecure Channel“Microsoft Unified Security Support

Provider” Secure Sockets Layer (SSL) 3.0 SSL 2.0 Transport Layer Security (TLS) 1.0 Private Communication Technology

(PCT) 1.0Аутентификация и защита данных

при связи через публичные сети TLS - основной (рекомендуемый)

протокол Модернизация протокола SSL

Концепции Концепции SSL/TLSSSL/TLS

При установлении защищенного сеанса участники Договариваются, какие

криптографические алгоритмы будут использоваться в рамках сеанса

RSA – при обмене ключами RC4 – для шифрования данных SHA и MD5 – для хеширования

Взаимно аутентифицируют друг друга с помощью сертификатов

Вырабатывают ключи для шифрования и хеширования

Смарт-картыСмарт-карты

Микрочип, интегрированный в пластиковую карточку Сертификат пользователя Личный ключ пользователя

Идентификация владельца Персональный идентификационный

номер (PIN)

Поддержка Smart Cards в Windows 2000 Gemplus Schlumberger

АутентификацияАутентификацияСертификат вместо пароля

Надежность аутентификации Kerberos зависит от качества паролей

PKINIT Расширение Kerberos для интерактивной

аутентификации с помощью Smart CardСоответствие сертификата учетной

записи домена SSL/TLS, EAP-TLS Возможна аутентификация

пользователей, не имеющих учетных записей в домене

Шифрующая Шифрующая файловая система файловая система

((EFS)EFS)Шифрование данных, на уровне

файловых операций NTFSПрозрачный доступ к

зашифрованным данным из приложений

Возможность восстановления зашифрованных данных Emergency Data Recovery Policy

Архитектура Архитектура EFSEFS

Вызовы File System Run-Time Library (FSRTL)

I/O ManagerI/O Manager

EFS.SYSEFS.SYSEFS.SYSEFS.SYS

Win32 Win32 subsystemsubsystem

Win32 Win32 subsystemsubsystem

User mode

Kernel mode

NTFSNTFS

CryptoAPICryptoAPI

Взаимодействие Взаимодействие через через LPCLPC

Взаимодействие Взаимодействие через через LPCLPC

EFS EFS ServiceService

EFS EFS ServiceService

Безопасность Безопасность IP IP (IPSec)(IPSec)

Защита данных на уровне сетевых пакетов Прозрачно для приложений

Два уровня защиты Обеспечение целостности пакета

Authentication Header (AH) Шифрование данных, передаваемых в

пакете Encapsulating Security Payload (ESP)

Возможность туннелирования Защищенный канал между

маршрутизаторами удаленных подсетей

Процессы Процессы IPSecIPSec

IKEIKE

IPSec DriverIPSec DriverIPSec DriverIPSec Driver

IPSec FilterIPSec Filter

IPSecIPSecPolicy Policy

IPSec DriverIPSec DriverIPSec DriverIPSec Driver

IPSec FilterIPSec Filter

IKEIKE

Инициация переговоров

Инициация переговоров

Переговоры и генерация SA

Переговоры и генерация SA

IPSecIPSecPolicy Policy

SASA SASA

Защищенные пакеты

Защищенные пакеты

Система Система безопасности безопасности Windows 2000Windows 2000

Защита на всех уровнях Аутентификация Контроль доступа к ресурсам Конфиденциальность данных в хранилище Конфиденциальность и целостность

коммуникаций

Модульность и возможность расширения Подключение модулей шифрования CSP Собственные механизмы аутентификации

ОтветОтветы ы