Безопасность при работе в сети

Протоколы

Существует много протоколов обеспечения безопасности, и система Windows XP Professional использует два наиболее распространенных: Kerberos и NTLM. NTLM используется по умолчанию как протокол входа в систему в сетях Windows NT. Kerberos применяется как протокол по умолчанию для доменов Windows 2000.

Протокол Kerberos применяется в том единственном случае, когда контроллеры доменов используют Windows 2000 или .NET, а клиенты используют Windows XP Professional. В остальных сценариях применяется протокол NTLM. В следующих разделах рассматривается работа этих протоколов безопасности.

Kerberos

Мы уже упоминали Kerberos ранее. Но в связи с его важностью для Windows 2000 доменов (и их взаимодействия с Windows XP Professional) он заслуживает более подробного рассмотрения. Kerberos - это протокол аутентификации по умолчанию, используемый в системах Windows 2000 и Windows XP Professional.

Протокол Kerberos был разработан в Технологическом институте (Массачусетс) в 1999 г. Этот протокол предоставляет быстрый одноразовый вход в систему Windows-сети, а также в сети с другими операционными системами, поддерживающими Kerberos. Протокол Kerberos обеспечивает следующие возможности:

• быструю аутентификацию при входе в компьютерную сеть со множеством компонентов;
• взаимодействие с не-Windows системами, использующими протокол Kerberos;
• сквозную аутентификацию для распределенных приложений;
• транзитивные доверительные отношения между доменами.

Протокол Kerberos обеспечивает взаимно-секретную аутентификацию. Это означает, что знают пароли только клиент и другой компьютер (называемый центром распространения ключей - KDS). Kerberos предоставляет быструю аутентификацию, поскольку снимает бремя этой задачи с сервера и передает его клиенту и KDS.

Примечание. Вход с систему в соответствии с протоколом Kerberos описан в "Введение в Windows XP Professional для работы в сети" .

NTLM

Протокол NTLM осуществляет аутентификацию компьютеров и клиентов по принципу вызов/ответ. При работе по протоколу NTLM исходный сервер должен контактировать с контроллером домена для подтверждения подлинности пользователя или компьютера.

Примечание. Протокол NTLM можно использовать не только в окружении домена, но также при взаимодействии двух устройств одного ранга и в групповой работе.

Следующие шаги поясняют, что происходит при интерактивном входе в систему в соответствии с протоколом NTLM.

1. Пользователь инициирует вход, нажимая клавиши CTRL+ALT+DEL. Это называется SAS (Secure Attention Sequence).
2. Далее Winlogon вызывает библиотеку GINA.DLL - появляется диалоговое окно входа.
3. После того как пользователь ввел свое имя и пароль, Winlogon посылает информацию в LSA.

   Примечание. LSA - это объект, который получает имя пользователя и пароль от Winlogon и принимает решение о разрешении входа в систему локального компьютера или сети.
4. Если учетная запись пользователя хранится на локальном компьютере, то LSA использует пакет аутентификации MSV1_0 , сравнивая информацию для входа с данными, хранящимися в базе данных SAM компьютера. Если учетная запись пользователя хранится в сети, то LSA использует MSV1_0 и службу Сетевой вход в систему (Net Logon) для проверки SAM на Windows NT-контроллере домена.
5. Если информация подтверждается, то SAM сообщает об этом LSA, высылая пользовательский идентификатор защиты (SID). Более того, SAM высылает идентификаторы защиты (SID) всех групп, к которым принадлежит пользователь. Эта информация используется локальным администратором безопасности (LSA) для создания маркера доступа, который включает в себя идентификатор защиты пользователя.
6. Сеанс работы пользователя начинается после получения службой Winlogon этого маркера.

Аутентификация

Не путайте вход в систему с аутентификацией. В то время как вход позволяет пользователю получать доступ к компьютеру (локально или с сетевыми полномочиями), процесс аутентификации позволяет пользователям иметь определенные разрешения на работу и членство в группах.

Создание, управление и удаление учетных записей пользователей и создание и поддержка групп безопасности являются важнейшими задачами управления безопасностью. Именно от этих функций зависит уровень доступа пользователей и их возможность работать с сетевыми ресурсами.

Учетная запись пользователя

Каждый пользователь в сети имеет свою учетную запись. Учетные записи могут создаваться локально или как часть домена. Если у пользователя имеется локальная учетная запись, то он не может получить доступ к сетевым ресурсам (если в сети нет разрешенного анонимного доступа). Если у пользователя есть учетная запись на уровне домена, то со своего локального компьютера он может получать доступ к ресурсам сети.

При инсталляции Windows XP Professional создаются две учетные записи пользователя.

• Администратор. Позволяет конфигурировать и управлять системой. После окончания инсталляции и конфигурирования Windows XP Professional эта учетная запись нужна только для выполнения отдельных административных задач.

Примечание. Хорошей практикой в обеспечении безопасности является отключение учетной записи администратора и использование для повседневной работы учетной записи пользователя.

• Гость. Позволяет пользователям входить в компьютер без отдельной учетной записи для каждого пользователя.

Помимо этих учетных записей, Windows XP Professional позволяет создавать еще ряд учетных записей.

• Оператор архива. Члены этой группы могут выполнять операции копирования и восстановления на компьютерах, независимо от имеющихся разрешений.
• Группа службы поддержки. Члены этой группы могут использовать приложения для диагностики проблем, возникающих в системе.
• Операторы настройки сети. Члены этой группы могут выполнять ограниченные административные функции, такие как выдача IP-адресов.
• Опытные пользователи. Члены этой группы занимают промежуточное положение между администраторами и простыми пользователями. Они могут устанавливать и модифицировать приложения, имеют права на чтение и запись и могут получать разрешения на установку локальных принтеров (с согласия администратора).
• Пользователи удаленного рабочего стола. Члены этой группы имеют право доступа с удаленного компьютера.
• Репликатор. Члены этой группы имеют право копировать файлы домена.
• Пользователи. Члены этой группы имеют ограниченное право доступа к системе и могут получать права на чтение и запись только в индивидуальном порядке.

Если для локального компьютера нужен определенный тип учетной записи, то администратор должен войти в систему и создать эту учетную запись. Никто, кроме него, не имеет права создавать учетные записи.

Для создания, управления и удаления учетной записи проделайте следующие шаги.

1. Выберите Start\Control Panel (Пуск\Панель управления).
2. Щелкните на User Accounts (Учетные записи пользователей). Появится окно, показанное на рис. 9.16.

Вы также можете управлять дополнительными характеристиками пользователей, о чем пойдет речь в следующих разделах.

Управление паролем

Работники приходят и уходят (некоторым даже предлагается это сделать). Поэтому Windows XP Professional обеспечивает возможность управления паролями служащих вашей организации. Есть два способа управления паролями.

Рис. 9.16. Управление учетными записями пользователей

• User Accounts (Учетные записи пользователей). Расположенная в панели управления, эта опция используется, если компьютер не является частью домена, и паролями надо управлять локально.
• Local Users and Groups (Локальные пользователи и группы). Эта оснастка ММС используется, если компьютер является частью домена и надо управлять паролями на нескольких компьютерах.