Опубликован: 29.04.2006 | Доступ: свободный | Студентов: 11894 / 1950 | Оценка: 4.30 / 3.92 | Длительность: 28:09:00
ISBN: 978-5-9570-0039-6
Лекция 2:

Введение в Windows XP Professional для работы в сети

Система обеспечения безопасности

Как и многие другие средства, инструменты системы обеспечения безопасности, ранее доступные только в приложениях других разработчиков, теперь являются частью Windows XP Professional. В этом разделе мы рассмотрим новый брандмауэр Internet Connection Firewall, сопротивление атакам вирусов и те инструменты обеспечения безопасности, которые так хорошо работали в прошлых версиях Windows, что Microsoft сохранил их и в этой. Однако не стоит думать, что Windows XP Professional является "пуленепробиваемой" системой. Мы обсудим имеющиеся в ней бреши.

Internet Connection Firewall

Internet Connection Firewall идеально подходит для пользователей, имеющих кабельный или DSL-доступ в интернет. Эти типы соединений являются уязвимыми, так как постоянно находятся в рабочем состоянии. Internet Connection Firewall делает компьютер невидимым из интернета, что мешает хакерам выбрать его в качестве мишени. Специалисты из Gartner Group назвали этот брандмауэр "рудиментарным". Для получения лучших результатов система обеспечения безопасности должна быть улучшена с помощью дополнения, созданного разработчиками другой компании. На рисунке 2.8 показан инструмент ICF.

Настройка ICF в Windows XP

Рис. 2.8. Настройка ICF в Windows XP
Блокировка вирусов

Атакам вирусов противостоит новая ограничительная политика. Она позволяет администраторам блокировать исполняемый код, который может удалить файлы или привести к другим повреждениям при неосмотрительном открытии файла, зараженного вирусом. Вместе с этим инструментом компания McAfee, специализирующаяся на защите от вирусов, оптимизировала свою антивирусную программу VirusScan Online специально для Windows XP Professional. Эта программа автоматически обновляется через интернет при добавлении нового вируса в базу данных McAfee.

Уж если она работает, так работает

Фундаментальный код Windows XP Professional стал еще прочнее по сравнению с предыдущими версиями. Как было отмечено ранее, Windows XP Professional базируется на коде Windows NT и в таком качестве более устойчива к атакам хакеров по сравнению с Windows 98 или Me.

Другие NT-дополнения Windows XP Professional включают в себя файловую систему Windows NT, которая позволяет пользователям устанавливать пользовательские идентификаторы и контролирует доступ к файлам внутри компьютера. Это бывает полезно, когда компьютером пользуется не один человек (дома или на работе). К файлу, созданному одним пользователем, нет доступа для другого пользователя.

Потенциальные бреши в системе безопасности

К сожалению, Windows XP Professional имеет свои слабые места. Некоторые ее свойства могут быть использованы хакерами для проникновения в систему. Например, эта ОС автоматически пересылает информацию от компьютера к Microsoft, касающуюся регистрации продуктов, ошибок и обновления программ. Более того, свойство удаленного управления позволяет группе поддержки в организации или администратору управлять компьютером со своей машины. В обоих случаях может произойти атака хакеров.

Windows XP Professional является еще одним шагом Microsoft на пути от рабочего стола к веб-сервису. Программа Microsoft .Net хранит приложения и информацию на серверах, соединенных с интернетом и доступных из любого места. Хотя это и удобно в рамках .Net-инициативы, но это создает точку для атаки, которой может воспользоваться хакер.

Windows XP Professional является гораздо более безопасной системой, чем более ранние версии Windows, но все же она несовершенна, так как содержит множество мест для нежелательного проникновения в сеть. Система обеспечения безопасности в Windows XP Professional состоит из противовирусной защиты, межсетевого экрана и общей системы обеспечения безопасности пользователей.

Kerberos

Мерой для обеспечения безопасности, реализованной в Windows 2000 и перенесенной в Windows XP Professional, является Kerberos v.5. Протокол Kerberos предоставляет средства для взаимной аутентификации клиента (пользователя, компьютера или сервиса) и сервера.

Kerberos дает очень эффективный и удобный способ аутентификации даже в очень больших сетях. Работа протокола основана на предположении, что изначально транзакции между клиентом и сервером происходят в незащищенной сети. А раз так, то неавторизованный пользователь может представиться клиентом или сервером и перехватить или подделать сообщение для аутентификации.

Kerberos использует секретный ключ шифрования для защиты мандатов пользователя в процессе их перемещения по сети. Тот же самый ключ может затем использоваться для расшифровки мандата пользователя на принимающей станции. Дешифровка и последующие регистрационные процедуры выполняются контроллером домена с помощью Центра распространения ключей Kerberos (Kerberos Key Distribution Center, KDC).

Примечание. Более подробно контроллеры доменов описаны в гл. 6.

Примечание. Kerberos - это имя трехголового пса, стерегущего вход в ад. Кто бы объяснил, зачем его надо сторожить?

Удостоверение личности (аутентификатор) - это фрагмент информации, который каждый раз генерируется по-новому. Аутентификатор используется в каждом зашифрованном регистрационном сообщении для гарантии того, что прежнее зарегистрированное удостоверение личности не использовалось повторно.

Если первоначально введенное удостоверение личности принято, то KDC выдает билет (ticket-granting ticket, TGT), который используется локальными средствами защиты для получения сервисных билетов. Эти сервисные билеты используются для доступа к сетевым ресурсам без повторной проверки личности клиента, до тех пор пока сервисный билет остается действующим. В билете содержатся закодированные данные, которые однозначно идентифицируют пользователя. За исключением введения пароля или данных смарт-карты весь процесс является прозрачным для пользователя.

На рисунке 2.9 показана процедура входа с Kerberos.

Kerberos-процедура входа

Рис. 2.9. Kerberos-процедура входа
Лиана Дронова
Лиана Дронова

Добрый день! Я записывалась на курс "Системное администрирование" в апреле, цена была 1 рубль. Пройти не смогла по причине декретного отпуска, зашла на обучение, сдала несколько экзаменов и только сейчас увидела стоимость 9900 рублей. Скажите пожалуйста как я буду обучаться и по поводу оплаты. Спасибо! 

Юрий Гребенкин
Юрий Гребенкин