510. Цей документ широко обговорювалося і коректувався багатьма організаціями, працюють в галузі створення та застосування захищених засобів передачі інформації з комп'ютерних мереж. Аутентифікація Kerberos повністю відповідає вимогам до протоколів подібного призначення і дозволяє створити високопродуктивну і захищену мережу підприємства. Програмне забезпечення Kerberos, створене Microsoft, підтримує всіх клієнтів, що задовольняють RFC 1510. Однак повну підтримку мереж Windows 2000 здійснює тільки клієнт Kerberos, розроблений Microsoft, оскільки версія Kerberos Microsoft володіє поруч розширень.
Системи Windows Server 2003 в повній мірі використовують всі засоби розподіленої безпеки, впроваджені в Windows 2000. Протокол Kerberos інтегрований в існуючу модель розподіленої безпеки Windows 2000/Server 2003. У цих системах використовуються розширення протоколу Kerberos - так само, як і інші архітектури безпеки, наприклад ВСО і SESAME. Протокол Kerberos - один з протоколів безпеки, підтримуваних Windows 2000/Server 2003. Крім нього, підтримуються протоколи NTLM для сумісності з попередніми версіями, SSL і стандарт IETF безпеки транспортного рівня. В якості механізму безпеки застосовується протокол захищених переговорів (Simple Protected Negotiation, SPNEGO). Для забезпечення безпеки передачі даних на мережному рівні застосовується технологія IP Security (IPSec). br/>
Модель розподіленої безпеки Windows Server 2003
Модель розподіленої безпеки Windows Server 2003 заснована на трьох основних концепціях. p> В· Кожна робоча станція і сервер мають прямий довірений шлях (trust path) до контролера домену, членом якого є дана машина. Довірений шлях встановлюється службою NetLogon за допомогою аутентифицированного з'єднання RPC з контролером домену. Захищений канал встановлюється і з іншими доменами за допомогою междоменной довірчих відносин. Цей канал використовується для перевірки інформації безпеки, включаючи ідентифікатори безпеки (Security Identifiers, SID) користувачів і груп. p> В· Перед виконанням запитаних клієнтом операцій мережеві служби імперсоналізіруют контекст безпеки цього клієнта. Імперсоналізація заснована на маркері адреси безпеки, створеному локальним адміністратором безпеки (Local Security Authority, LSA). Він являє собою авторизацію клієнта на сервері. Потік, що знаходиться на сервері і відповідний даному клієнту, імперсоналізірует контекст безпеки клієнта і виконує операції в Відповідно з авторизацією даного клієнта, а не відповідно до ідентифікатором безпеки сервера. Імперсоналізація підтримується всіма службами Windows Server 2003, включаючи, наприклад, службу віддаленого файлового сервера CIFS/SNB. Аутентіфіцированний RPC та DCOM підтримують імперсоналізацію для розподілених додатків. Сервери сімейства BackOffice: Exchange Server, SNA Server і Internet Information Server також підтримують імперсоналізацію. p> В· Ядро Windows Server 2003 підтримує об'єктно-орієнтоване управління доступом, порівнюючи SID в маркері доступу з правами доступу, визначеними у списку управління доступом даного об'єкта. Кожен об'єкт Windows Sewer 2003 (ключі реєстру, файли і каталоги NTFS, загальні ресурси, об'єкти ядра, черги друку і т. д.) мають власні списки управління доступом. Ядро Windows Server 2003 перевіряє дозволу при кожній спробі доступу до даного об'єкта. Управління доступом і аудит здійснюються за допомогою налаштування властивостей безпеки об'єкта, що дозволяють надати користувачеві або групі доступ до об'єкта. Управління авторизацією виконується централізовано за допомогою включення користувачів в локальні групи системи, яким надані необхідні права доступу. У операційній системі Windows Server 2003 існують додаткові кошти забезпечення безпеки - аутентифікація клієнта за допомогою відкритого ключа допомогою SSL/TLS та протоколу Kerberos версії 5, які інтегровані в систему безпеки. p> Інтегрована аутентифікація Kerberos
У Windows Server 2003 аутентифікація Kerberos реалізована на рівні доменів, що дозволяє виконувати одну реєстрацію в системі при доступі до всіх ресурсів мережі і підтримувати модель розподіленої безпеки Windows Server 2003. На будь-якій ділянці дерева доменів Active Directory протокол Kerberos забезпечує взаємну аутентифікацію, прискорену аутентифікацію і транзитне довіру на аутентифікацію. Аутентифікація Kerberos в Windows Server 2003 використовується для виконання інтерактивної реєстрації користувача в домені. Розширення стандартної аутентифікації Kerberos для застосування відкритого ключа дозволяє застосовувати реєстрацію в Windows Server 2003 за допомогою смарт-карти. Протокол Kerberos реачізован у вигляді постачальника безпеки, доступ до якого здійснюється із застосуванням інтерфейсу підтримки постачальника безпеки (Security Support Provider Interface, SSPI). p> Постачальник безпеки Kerberos використовується клієнтом і сервером SMB (Server Message Block). Він також доступний д...
