даних авторизації може змінюватися. Але в будь-якому випадку ці дані будуть містити список ідентифікаторів безпеки, призначених для підтримки аутентифікації Kerberos в багато платформних системах, а також підпис, що забезпечує цілісність даних і встановлювану КОС. br/>
Застосування Kerberos в мережах Windows 2000/Server 2003
Аутентифікація Kerberos використовується багатьма службами домену Active Directory. Інтерфейс SSPI застосовується для аутентифікації в більшості системних служб, тому їх переклад з аутентифікації NTLM на Kerberos вимагає мінімальних зусиль. Більш складні зміни необхідні на сервері SMB, який не використав SSPI до версії Windows 2000. Багато нових розподілені служби Windows 2000 використовують аутентифікацію Kerberos. Приклади областей застосування аутентифікації Kerberos в Windows 2000/Server 2003:
В· аутентифікація в Active Directory із застосуванням LDAP для запитів або управління каталогом;
В· протокол віддаленого доступу до файлів CIFS/SMB;
В· управління розподіленої файлової системою DFS;
В· захищене оновлення адрес DNS;
В· служби друку;
В· необов'язкова взаємна аутентифікація IPSec-хостів при роботі протоколів ISAKMP/Oakley;
В· запити резервування для служби якості обслуговування (Quality of Service);
В· аутентифікація інтрамережі в службах Internet Information Services;
В· аутентифікація запитів сертифіката відкритого ключа, що приходять від користувачів і комп'ютерів домену, в службах Certificate Services;
В· віддалене управління сервером або робочою станцією за допомогою аутентифицированного RPC та DCOM. p> Це перший крок до основної мети, поставленої в Windows 2000, - повного виключення аутентифікації NTLM в комп'ютерних мережах, заснованих на цій операційній системі. br/>
Спільна робота засобів забезпечення безпеки мережі
Домени Active Directory повинні мати можливість одночасно підтримувати клієнтські комп'ютери і сервери, на яких працює програмне забезпечення Windows NT 3.x-4.0, Windows 9х/МЕ, а також Windows 2000/XP і Windows Server 2003. Для цього в Windows Server 2003 залишається підтримка аутентифікації NTLM, забезпечує сумісність з операційними системами більш ранніх версій. Оновлені версії клієнта Active Directory забезпечують розширені можливості аутентифікації по протоколу NTLM v.2; хоча протокол Kerberos НЕ підтримується. h1> Безпека IP (IPSec)
В
Засоби безпеки протоколу IP дозволяють управляти захистом всього IP-трафіку від джерела інформації до її одержувача. Можливості технології IP Security Management (Управління безпекою IP) в Windows Server 2003 дозволяють призначати і застосовувати політику безпеки IP, яка гарантує захищений обмін інформацією для всієї мережі. Механізм безпеки IP являє собою прозору для користувача реалізацію протоколу безпеки IP (IP Security, IPSec), причому адміністрування безпеки централізовано і поєднує гарантії безпечного обміну інформацією з легкістю застосування. Потреба в захисті мереж, заснованих на протоколі IP, досить велика і зростає з кожним роком. У Нині в тісно взаємопов'язаному діловому світі мереж Інтернет, інтранет, екстранет (extranet - корпоративна мережа, частини якої пов'язані через відкриті мережі, наприклад, через Інтернет), філій та віддаленого доступу по мережах передається важлива інформація, конфіденційність якої не можна порушувати. Одним з основних вимог, що пред'являються до мережі з боку мережевих адміністраторів та інших професіоналів, які обслуговують і використовують мережі, є вимога гарантії, що цей трафік буде захищений від:
В· доступу суб'єктів, які не мають на це прав;
В· перехоплення, перегляду або копіювання;
В· модифікації даних під час шляху по мережі. p> Ці проблеми характеризуються такими показниками, як цілісність даних, конфіденційність і справжність. Крім того, захист від повторного використання (replay protection) запобігає прийняття повторно посланого пакета.
Примітка Реалізація безпеки IP у Windows Server 2003 заснована на стандартах RFC, розроблених консорціумом Internet Engineering Task Force (IETF), робочою групою IP Security (IPSEC). h2> Переваги IP Security
Мережеві атаки можуть привести до непрацездатності системи, зчитування конфіденційних даних і іншим дорогим порушень. Для захисту інформації потрібні методи "Сильного" шифрування та сертифікації, засновані на криптографічних алгоритмах. Однак високий рівень безпеки не повинен погіршувати продуктивність праці користувачів або збільшувати витрати на адміністрування. IP Security в системах Windows 2000 і Windows Server 2003 забезпечує наступні переваги, які допомагають досягти високого рівня безпеки взаємодії при низьких витратах. p> В· Централізоване адміністрування політикою безпеки, що зменшує витрати на адміністративні витрати. Політика IPSec може бути створена і призначена на рівні домена...
