Опубликован: 31.07.2006 | Уровень: специалист | Доступ: свободно

Лекция 15: Вопросы безопасности Windows 2000/ Windows 2003 Server

Использование Aсtive Directory

Центральным элементом системы безопасности Windows 2000/2003 является Aсtive Directory (AD). AD - это служба каталогов, разработанная и внедренная в последние версии операционной системы Windows. Она является попыткой Microsoft создания масштабируемой структуры домена, взамен старой модели домена Windows NT.

Примечание

Основным различием Windows 2000 Server и Windows 2003 является гибкость и управляемость AD. Самое значительное изменение, связанное с безопасностью, связано с доверием между лесами.

AD может состоять из одного или более доменов, причем каждый домен имеет свои политики безопасности и безопасные (т. е. доверенные) взаимоотношения с другими доменами. Пространство имен домена соответствует домену DNS, а домен Root - это первый домен, создаваемый в AD. Все домены в AD совместно используют одну и ту же конфигурацию, схему и глобальный каталог. Ключевыми компонентами AD и их функциями являются следующие элементы.

  • Global Catalog (GC, Глобальный каталог). Серверы GC содержат частичные реплики всех доменов в AD, а также полную реплику схемы и именования конфигурации, поэтому эти системы являются носителями секретной информации и должны соответствующим образом защищаться.
  • Схема. Схема определяет, какие объекты и атрибуты могут храниться в AD. Она поддерживает все классы объектов и атрибуты, содержащиеся в AD. Для каждого класса объектов схема определяет место в AD для создания класса объекта, а также список атрибутов, которые должен содержать класс. Это ключевой компонент AD, и очень важно обеспечить его безопасность
  • Домен. Домен - это группа компьютеров, объединенных для формирования административной ограниченной области пользователей, групп, компьютеров и организационных единиц.
  • Организационная единица (OU) - это тип объектов каталога, с которыми можно связать групповые политики и таким образом определять в них ограничения безопасности. Это наименьшие административные единицы в AD, формирующие границы защищаемой области. По умолчанию, так как домен является ограниченной областью администрирования, и OU существует только внутри домена, домен является наиболее внешней организационной единицей.
  • Групповые политики. Объект домена, обеспечивающий возможность группирования параметров безопасности и конфигурации в шаблоны, которые могут применяться к отдельным системам, доменам или организационным единицам.
  • Доверительные взаимоотношения. Доверительные взаимоотношения позволяют использовать информацию из одного домена, такую как идентификаторы безопасности пользователей, в другом домене. По умолчанию в AD имеется двустороннее транзитивное доверие. Домены с двусторонним доверием полностью доверяют друг другу. Транзитивное доверие означает, что если домен A доверяет домену B, а домен B доверяет домену C, то домен A доверяет домену C. Можно сравнить этот принцип с доверием в Windows NT, где оно было однонаправленным (поэтому приходилось настраивать доверие в отдельном порядке) и не транзитивным, т. е. доверие имело место только по отношению к тем доменам, с которыми были установлены непосредственные доверительные отношения.

Безопасная установка и настройка

При настройке AD наиболее важным моментом, связанным с безопасностью, является выбор опции Permissions Compatible with Pre-Windows 2000 Server (Разрешения совместимы с версиями Windows, предшествующими Windows 2000 Server). Эта опция делает группу Everyone (Все) членом встроенной группы Pre-Windows 2000 Compatible Permissions (Разрешения, совместимые с операционными системами, предшествующими Windows 2000). Это позволяет устанавливать анонимные соединения с AD (т. е. предоставляются анонимные полномочия на чтение всем важным пользовательским и групповым атрибутам домена). Если поддержка систем, предшествующих Windows 2000, не требуется, не следует включать эту опцию.

На данном этапе (если вы не упустили какие-либо разрешения) AD должна быть достаточно защищена. Единственное, что осталось сделать, - убедиться, что пользователи используют надежные пароли, и что системы защищены от сетей без доверия (таких как интернет).

Администрирование

Ниже приведен перечень основных средств, используемых для управления AD, с кратким описанием каждой утилиты.

  • Aсtive Directory Domains and Trusts. Эта утилита используется для запуска программы Domain Manager (Диспетчер домена), управления доверительными взаимоотношениями, установки режима функционирования и определения альтернативных суффиксов UPN (User Principal Name).
  • Aсtive Directory Sites and Services. Эта утилита используется для администрирования топологии репликации, добавления и удаления сайтов, переноса компьютеров в сайт, добавления в сайт подсети, связывания сайта с подсетью и создания связи сайта.
  • Aсtive Directory Users and Computers. Эта утилита используется для управления объектами в домене. С ее помощью осуществляется добавление, перенос, удаление и изменение атрибутов таких объектов AD, как пользователи, группы, компьютеры и общие папки.
  • ADSIEdit. Эта оснастка позволяет выполнять LDAP-операции по отношению к любым разделам каталога (домен, конфигурация или схема). ADSIEdit осуществляет доступ к AD через ADSI и позволяет добавлять, удалять и перемещать объекты внутри AD. Также с ее помощью можно просматривать, изменять и удалять атрибуты.
Нияз Сабиров
Нияз Сабиров

Здравствуйте. А уточните, пожалуйста, по какой причине стоимость изменилась? Была стоимость в 1 рубль, стала в 9900 рублей.

Елена Сапегова
Елена Сапегова

для получения диплома нужно ли кроме теоретической части еще и практическую делать? написание самого диплома требуется?

Евгений Рогонков
Евгений Рогонков
Россия, Гремячево, Гремячевская СОШ, 2008