Лекция 15: Вопросы безопасности Windows 2000/ Windows 2003 Server

Службы терминала (Terminal Services)

По умолчанию система Windows 2003 Server содержит функцию Remote Desktop for Administration (Удаленный рабочий стол для администрирования) (Terminal Services в режиме Remote Administration [удаленное администрирование] в Windows 2000). Она позволяет создавать до двух удаленных сеансов плюс сеанс консоли. Так как эта возможность разрешает пользователям удаленно управлять серверами с любого клиента сети, необходимо обеспечить ее защиту от несанкционированного использования. Чтобы обеспечить максимальный уровень безопасности, необходимо убедиться в наличии следующих параметров, настраиваемых с помощью опции Properties (Свойства) для конкретного соединения в оснастке Terminal Services Configuration (Настройка службы терминала) (см. рис. 15.8).

• Уровень шифрования. В параметре Encryption Level (Уровень шифрования) приводится перечень доступных уровней, используемых для защиты данных, передаваемых между клиентом и сервером. Здесь имеются четыре опции:
• Low (Низкий). Данные шифруются с использованием 56-битного ключа.
• Client Compatible (Совместимый с клиентом). Данные шифруются с использованием ключа максимальной длины, поддерживаемого клиентом.
• High (Высокий). Данные шифруются с использованием 128-битного шифрования. Клиенты, не поддерживающие этот уровень шифрования, не будут иметь возможность подключения (рекомендуется использовать эту опцию).
• FIPS Compliant (Соответствие FIPS). Данные шифруются в соответствии со стандартом Federal Information Processing Standard 140-1, определяющим соответствующие методы шифрования.
• Logon Settings (Параметры входа в систему). Здесь можно указать аутентификационные данные для использования по умолчанию при подключении клиентов к серверу терминала (см. рис. 15.9). По умолчанию используются аутентификационные данные, предоставляемые клиентом. Другая опция позволяет использовать одну учетную запись пользователя для всех соединений. Последняя опция требует от пользователя ввода пароля, даже если предоставлены аутентификационные данные.
• Network Adapter settings (Параметры сетевого адаптера). С помощью этой опции можно определить, какие сетевые адаптеры будет использовать служба. Это относится только к системам с несколькими сетевыми адаптерами.

Рис. 15.8. Настройка службы Terminal Services

Рис. 15.9. Вкладка Logon Settings (Параметры входа в систему).

Вот так. При правильном администрировании учетных записей пользователей (посредством надежных паролей, блокировки и т. д.) и правильной защите системы (с использованием межсетевых экранов) данная служба будет относительно защищена.

Настройка Framework .NET 1.1

Средство .NET Framework Configuration (см. рис. 15.10) позволяет настраивать политику безопасности доступа к коду специально для версии 1.1 Framework .NET. В данной утилите есть возможность обеспечения защиты и/или удаления управляемых компонентов, установленных на рассматриваемом компьютере. С точки зрения безопасности данное средство может использоваться для контроля за доступом приложений к защищенным ресурсам. Система безопасности использует три уровня политики: Enterprise (Предприятие), Machine (Компьютер) и User (Пользователь) -для определения набора разрешений.

• Enterprise (Предприятие). Политика безопасности для предприятия в целом. Следует иметь в виду, что нет четких границ между данным уровнем и политикой Machine (Компьютер), так как обе эти политики применяются к каждому компьютеру.
• Machine (Компьютер). Применяется ко всем программам, выполняемым на данном компьютере.
• User (Пользователь). Применяется к пользователю, работающему в системе в данный момент.

Рис. 15.10. Утилита настройки .NET

Оценка политик осуществляется в отдельном порядке, и программам предоставляется минимальный набор разрешений, обуславливаемый комбинацией политик. Любой "запрет" имеет преимущество перед "разрешением".

Примечание

Для получения более подробной информации о модели безопасности программного доступа, обратитесь к документации Microsoft .NET Framework SDK.

Вопросы для самопроверки

1. Новым интерфейсом управления безопасностью в системе Windows 2000 является _____________.
2. _____________ - это дополнение к NTFS, которое позволяет обеспечить дополнительный уровень конфиденциальности файлов.