Лекции грант. Лекции_грант. Курс лекций РостовнаДону 2007

138
key). В Microsoft Server 2003 политику открытых ключей можно задавить с по- мощью оснастки MMC - Политика открытого ключа (рис. 7.4)
Рисунок 7.4. Оснастка Политика открытого ключа
В Windows Server 2003 центр сертификации предполагает применение электронных цифровых подписей. Службы сертификации (Certification Services) и средства управления сертификатами позволяют построить предприятию соб- ственную инфраструктуру открытых ключей.
Применение инфраструктуры открытых ключей обеспечивает следующие преимущества для информационной системы предприятия:
− более устойчивая к взлому защита, которая базируется на аутенти- фикации с высокой степенью защищенности и применении смарт- карт, использовании протокола IPSec для поддержания целостности и защиты данных от попыток несанкционированной модификации при передаче по общедоступным сетям, а также использовании шифрующей файловой системы для защиты конфиденциальных данных, хранящихся на сервере;

139
− упрощение администрирования за счет создания сертификатов, ко- торые позволяют избавиться от применения паролей, масштабиро- вать доверительные отношения в рамках предприятия;
− дополнительные возможности, которые обеспечивают безопасный обмен файлами и данными между сотрудниками предприятия по общедоступным сетям, защищенную электронную почту и безопас- ное соединение через Web;
− использование сертификатов, которые представляют собой цифро- вой документ, выпускаемый центром сертификации и подтвер- ждающий идентификацию владельца данного сертификата. Серти- фикат связывает открытый ключ с идентификацией лица, компью- тера или службы, которые имеют соответствующий закрытый ключ;
− службы сертификации, которые применяются при создании и управлении центрами сертификации. В корпоративной информаци- онной системе может быть один или несколько центров сертифика- ции, которые управляются через оснастку Центр сертификации консоли MMC;
− шаблоны сертификатов, которые представляют собой набор пра- вил и параметров, применяемых к входящим запросам на сертифи- каты определенного типа;
− автоматическая подача заявок на сертификаты, которая позволя- ет администратору конфигурировать субъекты сертификатов для автоматического запроса сертификатов, получения выданных сер- тификатов и возобновления просроченных сертификатов без уча- стия их субъектов;
− Web-страницы подачи заявок на сертификаты, которые позволяют подавать заявки на сертификаты через Web-браузер;
− политики открытых ключей, которые позволяют автоматически распространять сертификаты их субъектам, определять общие до-

140
веряемые центры сертификации и проводить управление политика- ми восстановления данных;
− поддержка смарт-карт, которая позволяет обеспечивать вход в систему через сертификаты на смарт-картах, хранение на них сер- тификатов и закрытых ключей. Смарт-карты предназначены для обеспечения безопасности аутентификации клиентов, входа в домен под управлением Windows Server, цифрового подписания про- граммного кода, работы с защищенной электронной почтой на ос- нове применения шифрования с открытыми ключами.
7.3 Аутентификация пользователей
В операционной системе Windows Server 2003 применяются следующие стандартные протоколы аутентификации:
− интерактивный ввод, при котором идентификация пользователя проверяется по учетной записи на локальном компьютере или в Ac- tive Directory;
− аутентификация в сети предполагает идентификацию пользовате- ля любой сетевой службой, к которой обращается пользователь, с использованием протокола Kerberos V5, сертификатов открытых ключей, SSL (Security Sockets Layer) и TLS-кэш (Transport Layer Se- curity);
− единый вход, который дает возможность обращаться к сетевым ре- сурсам без повторного ввода учетных данных.
В Windows Server 2003 поддерживается аутентификация с применением смарт-карт, что позволяет создавать корпоративные сети с высоким уровнем защищенности. Смарт-карта – это устройство внешне похожее на кредитную карту, на котором хранятся пароли, открытые и закрытые ключи и другие лич- ные данные пользователя.

141
Для активизации смарт-карты пользователь должен вставить её в устрой- ство чтения, подключенное к компьютеру, и ввести свой PIN-код (персональ- ный идентификационный номер). PIN-код обрабатывается локально и не пере- дается по сети. После нескольких неудачных попыток ввода PIN-кода смарт- карта блокируется.
Ввод PIN-кода обеспечивает аутентификацию только по отношению к смарт-карте, а не к домену. Для аутентификации в домене применяется серти- фикат открытого ключа, хранящийся на смарт-карте. При запросе на вход сна- чала происходит обращение к локальной системе безопасности клиентского компьютера. Далее происходит обращение к службе аутентификации домена с использованием сертификата пользователя. Удостоверение сертификата под- тверждается цифровой подписью с применением закрытого ключа пользовате- ля.
7.4 Защита коммуникаций
Для защиты коммуникаций предназначена технология IP-безопасности, базирующаяся на протоколе IPSec (IP Security). В корпоративной информаци- онной системе данная технология должна обеспечивать защиту от:
− изменения данных при пересылке;
− перехвата, просмотра и копирования данных;
− несанкционированного изменения определенных ролей в системе;
− перехвата и повторного использования пакетов для получения дос- тупа к конфиденциальным ресурсам.
Протокол IPSec представляет протокол транспортного уровня с защитой данных на основе шифрования, цифровой подписи и алгоритмов хеширования.
Он обеспечивает безопасность на уровне отдельных IP-пакетов, что позволяет защищать обмен данными в общедоступных сетях и обмен данными между приложениями, не имеющими собственных средств безопасности.

142
IPSec в Windows Server 2003 интегрирован с политиками безопасности
Active Directory, что обеспечивает хорошую защищенность интрасетей и ком- муникаций через Internet.
В IPSec предусмотрены криптографические механизмы хеширования и шифрования для предупреждения атак. Протокол имеет следующие средства защиты:
− аутентификация отправителя на основе цифровой подписи;
− проверка целостности данных на основе алгоритмов хеширования;
− использование алгоритмов шифрования DES и 3DES;
− защита от воспроизведения пакетов;
− свойство неотрекаемости (nonrepudiat ion), которое предполагает применение цифровой подписи для однозначного доказательства авторства сообщения;
− динамическая генерация ключей при передаче данных;
− алгоритм согласования ключей Диффи-Хелмана, который позволяет согласовывать ключ, не передавая его по сети;
− возможность задавать длину ключей.
При передаче данных с одного компьютера на другой по протоколу IPSec согласовывается уровень защиты, используемый в сеансе. В процессе согласо- вания определяются методы аутентификации, хеширования, возможно тунне- лирования и шифрования. Секретные ключи для аутентификации создаются на каждом компьютере локально на основе информации, которой они обменива- ются. Эта информация не передается по сети. После создания ключа выполня- ется аутентификация и инициируется сеанс защищенного обмена данными.
7.5 Защита от вторжений и вредоносного ПО
Защита от вторжений должна обеспечить профилактические меры по за- щите компьютеров и данных. Эти задачи решает Microsoft ISA (Internet Security and Acceleration) Server 2004. ISA Server 2004 включает межсетевой экран при-

143
кладного уровня, поддержку виртуальных частных сетей (Virtual Public Netware
– VPN), Web-кэширование, фильтры прикладного уровня. ISA Server 2004 за- щищает корпоративные информационные системы от внутренних и внешних атак. Сервер выполняет динамическую проверку потока данных и расширен- ную фильтрацию различных протоколов Интернета на прикладном уровне, что позволяет противостоять угрозам, не обнаруживаемым традиционными межсе- тевыми экранами. ISA Server 2004 позволяет:
− защитить периметр сети;
− увеличить скорость доступа к Интернету за счет кэширования Web- страниц;
− обеспечить безопасную публикацию Web-сервисов IIS;
− предоставлять доступ VPN-клиентам к ресурсам сети и сервисам, в случае исполнения роли сервера VPN;
− объединять локальные сети через VPN-соединение, в случае испол- нения роли шлюза VPN;
− расширить возможности мониторинга и регистрации VPN- соединений, позволяя отслеживать и сохранять трафик на уровне отдельных приложений;
− составлять отчеты, используя встроенные средства;
− фильтровать пакеты для всех сетевых интерфейсов;
− осуществлять поддержку туннельного режима IPSec для VPN- подключений «точка – точка»;
− поддерживать режим Windows Quarantine (сетевой карантин), что повышает безопасность работы удаленных пользователей;
− поддерживать произвольную топологию и неограниченное количе- ство сетей.
Сервер Microsoft ISA Server 2004 реализует функциональные возможно- сти трехуровневого межсетевого экрана, средства управления частными вирту- альными сетями и службы Web-кэширования. ISA Server 2004 позволяет повы- сить безопасность и производительность корпоративной информационной сети,

144
а также снизить эксплуатационные расходы. Сервер ISA Server 2004 имеет ряд достоинств:
− более совершенные средства защиты, которые реализуют динами- ческую фильтрацию пактов и каналов. Алгоритм динамической фильтрации избирательно открывает доступ пакетов данных в за- щищенные области сети. По мер необходимости служба динамиче- ской фильтрации открывает порты, а по завершению сеанса связи – закрывает;
− простота использования за счет поддержки многоуровневой архи- тектуры, унификации управления VPN, понятных шаблонов, усо- вершенствованных средств устранения неполадок, возможности экспорта конфигурации в форматах XML, мониторинга активных соединений в режиме реального времени;
− быстрое и надежное получение доступа к виртуальной частной се- ти за счет встроенной поддержки туннельного режима IPSec для
VPN-подключений, быстрое Web-кэширование и высокопроизводи- тельный пакетный фильтр.
Задачи безопасности, а также надежности, масштабируемости, быстро- действия при управлении Web-серверами обеспечиваются полнофункциональ- ным Web-сервером Internet Information Services (IIS) 6.0. Службы IIS 6.0 бази- руются на архитектуре обработки запросов, которая реализует среду с изоляци- ей приложений. Это обеспечивает функционирование отдельных Web- приложений в собственном Web-процессе. При таком режиме работа приложе- ний и сайтов реализуется обособлено рабочими процессами, полностью изоли- рованными от ядра Web-сервера, что исключает их влияние друг на друга.
В IIS 6.0 включены разнообразные средства управления для администри- рования и конфигурирования ИТ-инфраструктуры предприятия. Системные администраторы могут изменять параметры и отлаживать приложения во время работы служб. Службы IIS 6.0 поддерживают стандарты XML, SOAP и IPv6.

145
Для защиты от вирусов корпоративных информационных систем Micro- soft предлагает технологию Microsoft Antigen, которая позволяет защитить сер- веры поддержки коммуникаций и коллективной работы. Эти решения сервер- ного уровня предоставляют средства фильтрации файлов и контента, а также позволяют применять несколько механизмов сканирования одновременно.
Комплекс антивирусных средств Microsoft Antigen помогают обеспечить анти- вирусную защиту на уровне серверов с использованием нескольких механизмов сканирования.
Продукты семейства Antigen - это приложения для серверов коллектив- ной работы и передачи сообщений, которые обеспечивают защиту от атак зло- умышленников, вирусов и нежелательных сообщений [5].
Использование многоядерной технологии антивирусного сканирования позволяет продуктам Antigen успешно бороться с возникающими угрозами.
Тесная интеграция с Microsoft Exchange Server, Microsoft SharePoint и Mi- crosoft Live Communications Server обеспечивает надежную защиту и централи- зованное управление всей системой защиты без снижения производительности серверов, на которых установлены продукты Antigen.
Фильтрация содержания и файлов обеспечивает соблюдение единой кор- поративной политики по правилам передачи и хранения документов, а также применения допустимой лексики как внутри компании, так и при отправке со- общений поставщикам и клиентам.
Продукты семейства Antigen имеют следующие преимущества:
− многоуровневая защита, которая обеспечивает выбор необходимых антивирусных ядер защиты различных модулей и уровней для обеспечения максимальной защиты ИТ-инфраструктуры предпри- ятия;
− оптимизация сервера, позволяющая в зависимости от роли сервера, его загрузки и мощности можно выбрать оптимальный вариант за- щиты – количество ядер, используемых для проверки на различных уровнях;

146
− контроль содержания, что поддерживает формировании единой корпоративной политики по правилам передачи и хранения доку- ментов, а также возможность исключить применение недопустимой лексики при передаче сообщений между подразделениями и при отправке сообщений за пределы предприятия.
Решения Microsoft для обеспечения повышенной защиты от компьютер- ных атак и воздействия вредоносного ПО включают следующие продукты:
− Windows Defender (бета-версия 2) предназначено для компьютерной защиты. Оно помогает блокировать «всплывающие» браузерные окна и пресекает деятельность программ-шпионов (spyware);
− Microsoft Client Protection (MCP) помогает защитить настольные компьютеры, портативные ПК и серверы от внезапных внешних се- тевых угроз;
− Certificate Lifecycle Manager— решение на основе анализа бизнес- процессов, помогающее предприятиям управлять жизненным цик- лом цифровых сертификатов и смарт-карт;
− Windows Malicious Software Removal Tool (MSRT) — выполняет проверку системы и удаляет самое распространенное вредоносное
ПО в случае его обнаружения;
− Windows OneCare™ Live содержит антивирусный модуль, бранд- мауэр, систему резервного копирования и восстановления данных и другие средства защиты.
В табл. 7.1 и 7.2 приведены ресурсы по обеспечению безопасности ИТ- инфраструктуры корпоративных систем.

147
Таблица 7.1. Русскоязычные ресурсы по обеспечению безопасности
Наименование ресурса
Web-ссылка
Ресурс Microsoft, посвящен- ный безопасности www.microsoft.com/rus/security
Центр рекомендаций по обеспечению безопасности для пользователей www.microsoft.com/rus/securityguidance
Рекомендации по обеспече- нию безопасности для ИТ- специалистов www.microsoft.com/rus/technet/security
Сайт Security at Home для клиентов www.microsoft.com/rus/athome/security
Сайт программы Malicious
Software Removal Tool www.microsoft.com/rus/security/ malwareremove/default.mspx
Сведения о системах Win- dows и Linux www.microsoft.com/rus/getthefacts
Таблица 7.2. Англоязычные ресурсы по обеспечению безопасности
Наименование ресурса
Web-ссылка
Ресурс о безопасности для разработчиков ПО msdn.microsoft.com/security
Ресурсы по обеспечению безопасности для партнеров https://partner.microsoft.com/security
Пакет обновления 1 (SP1) для
Windows Server 2003 www.microsoft.com/windowsserver2003/ downloads/servicepacks/spl
Пакет обновления 1 (SP1) для Windows XP www.microsoft.com/athome/security/protect/ windowsxp/choose.mspx
Microsoft Windows Defender
(бета-версия 2) www.microsoft.com/athome/security/spyware/ software
Стратегия Microsoft по борьбе с программами- шпионами www.microsoft.com/athome/security/spyware/ strategy.mspx
Критерии Microsoft для оп- ределения программ- шпионов www.microsoft.com/athome/security/spyware/ software/isv
Система Microsoft Antigen www.microsoft.com/windowsserversystern/ solutions/security/sybari.mspx
Обеспечение безопасности всего цикла разработки msdn.microsoft.com/security/sdl

148
Продолжение табл. 7.2
Наименование ресурса
Web-ссылка
Исследовательский центр
Microsoft Security Response
Center www.microsoft.com/security/msrc
Microsoft Windows OneCare
Live (бета-версия) https://beta.windowsonecare.com
Центр интернет- обслуживания Windows Live
Safety Center (бета-версия) safety.live.com
7.6 Безопасность мобильных пользователей корпоративных
систем
Для обеспечения сотрудников постоянным доступом к ресурсам корпора- тивной сети в неё включают мобильные устройства. С помощью мобильных устройств сотрудники предприятия могут обращаться к корпоративной инфор- мации, своей почте и бизнес-приложениям с любого места, находящегося за межсетевым экраном корпоративной сети. Для поддержки мобильных пользо- вателей необходимо реализовать в системе стандарты безопасности, позволяю- щие корпоративные сетевые ресурсы и конфиденциальную информацию.
Для безопасной работы мобильных пользователей используются сле- дующие виды защиты:
− защита домена;
− защита мобильного устройства;
− защита беспроводных соединений.
При защите домена мобильные устройства должны отвечать требовани- ям аутентификации, применяемым на предприятии. Устройства, работающие под управлением Windows Mobile 2003, поддерживают двухэтапную аутенти- фикацию и позволяют применять стойкие пароли, биометрические технологии

149
и сертификаты. Устройства с Windows Mobile 2003 можно интегрировать в су- ществующую инфраструктуру открытых ключей.
Защиту мобильных устройств, работающих под управлением Windows
Mobile 2003, поддерживают средства защиты, которые позволяют защищать информацию, хранящуюся на таких устройствах. Это предотвращает несанк- ционированный доступ к данным в случае утери или кражи мобильного уст- ройства. В Windows Mobile 2003 в дополнение к поддержке строгих паролей встроены средства шифрования данных.
Для защиты беспроводных соединений сетевые администраторы должны контролировать процесс доступа этих устройств к корпоративной сети пред- приятия. Кроме того информация, передаваемая по беспроводной сети должна шифроваться.
Одним из решений по организации доступа сотрудников, находящихся вне предприятия, к корпоративной сети является организация виртуальной ча- стной сети – VPN. Для контроля доступа к приложениям в Windows Server 2003 имеется служба сетевого карантина (Windows Quarantine). Карантин использу- ется в сети для проверки состояния клиента пред тем, как предоставить ему доступ к защищенным сетям. Карантинный фильтр на основании политики безопасности может запретить доступ и не разрешать его до тех пор пока на- стройки подключаемого компьютера не будут удовлетворять требованиям по- литики безопасности. Для применения карантина требуется, чтобы эта служба поддерживалась и клиентом и сервером аутентификации.
Некоторые мобильные устройства, такие как КПК и смартфоны, рабо- тающие под управлением Windows Mobile 2003, имеют возможность синхрони- зации данных. Эти мобильные устройства оптимизированы для синхронизации с серверами Microsoft Exchange. Для синхронизации данных Exchange КПК и смартфоны, управляемые Windows Mobile могут использовать Exchange Server
2003 ActiveSync. На каждом устройстве с Windows Mobile указывают сервер
Exchange и задают параметры безопасности. Для соединения с сетью, в которой работает Exchange Server 2003 ActiveSync, мобильное устройство должно иметь

150
информацию по учетной записи пользователя и имени доступных серверов. Это позволяет создать шифруемый канал коммуникационной связи между мобиль- ным пользователем и корпоративной сетью.