Upload
anti4ek
View
777
Download
5
Embed Size (px)
DESCRIPTION
Концепции обеспечения безопасности в Microsoft Windows 2000
Citation preview
Концепции Концепции обеспечения обеспечения
безопасности безопасности в в MicrosoftMicrosoft
Windows 2000Windows 2000
Главные задачиГлавные задачи
Аутентификация пользователейАвторизация доступа к
ресурсамКонфиденциальность
информацииЦелостность информацииНевозможность отказа от
совершенных действий
Компоненты Компоненты системы системы
безопасности безопасности WindowsWindows 2000 2000
Аутентификация Аутентификация ((Kerberos)Kerberos)
Управление Управление доступом к доступом к объектамобъектам
Средства шифрованияСредства шифрования
Инфраструктура открытых ключейИнфраструктура открытых ключей
Шифрующая Шифрующая файловая файловая системасистема
Смарт-картыСмарт-карты
Secure Secure ChannelChannel
Служба удаленного доступаСлужба удаленного доступа
IP SecurityIP Security
Службы Службы аутентификациаутентификаци
ии
Общие принципыОбщие принципы
Прежде чем допустить пользователя к ресурсам система должна его идентифицировать Учетная запись
Имя пользователя Пароль пользователя
Локальная регистрация на рабочей станции Протокол NTLM
Регистрация в домене Active Directory Протокол Kerberos v5 rev6
АрхитектураАрхитектура
SSPISSPILSALSALSALSA
Kerberos Kerberos SSPSSP
Kerberos Kerberos SSPSSP
Schannel Schannel SSPSSP
Schannel Schannel SSPSSP
NTLM NTLM SSPSSP
NTLM NTLM SSPSSP
Neg
otia
teN
egot
iate
Neg
otia
teN
egot
iate
Kerberos Kerberos packagepackage
Kerberos Kerberos packagepackage
MSV1_0 MSV1_0 SSPSSP
MSV1_0 MSV1_0 SSPSSP
WinlogonWinlogonWinlogonWinlogon
GINAGINAGINAGINA
Third-Third-party party SSPSSP
Third-Third-party party SSPSSP
Third-party Third-party packagepackage
Third-party Third-party packagepackage
ПриложениеПриложениеПриложениеПриложение
Контроль Контроль доступадоступа
СубъектСубъектПривилегии
Возможность выполнять ту или иную операцию на данном компьютере
Ассоциированы с пользователем
Права Запреты и разрешения на выполнение
тех или иных действий с объектом Ассоциированы с объектом
Пользователь Однозначно определяется своей учетной
записью в каталоге Security Identifier (SID) пользователя
Маркер доступаМаркер доступа
Маркер доступа субъекта Формируется для каждого субъекта
Ассоциируется с каждым потоком, исполняемым от имени пользователя
Важнейшие компоненты SID пользователя SID-ы всех групп, в которые
пользователь входит Установленные на данном компьютере
привилегии пользователю и группам, в которые он входит
ОбъектОбъект
Объекты файловой системы Файлы Папки
Объекты каталога Active Directory Пользователи Компьютеры Принтеры Контейнеры
Свойства объекта определяются набором атрибутов
Дескриптор Дескриптор безопасности безопасности
объектаобъектаDiscretionary Access Control List, DACL Список запретов и разрешений,
установленных для данного объекта
System Access Control List, SACL Список назначений аудита
Access Control Entry, ACE Каждая ACE содержит назначение прав
для конкретного SID ACL объекта Active Directory может
содержать строки ACE, назначенные отдельным атрибутам
OUOU 12 12
НаследованиеНаследованиеФормирование
ACL объекта в иерархии Явные
назначения Наследование с
верхних уровней
Статический механизм наследования
Делегирование полномочий
OUOU 1 1ACL1ACL1
ACL1ACL1
ACL2ACL2
ACL3ACL3
Проверка правПроверка прав
DenyDenySID 278SID 278 _WX_WX
DenyDenySID 39SID 39 R_XR_X
AllowAllowSID 278SID 278 R__R__
AllowAllowSID 141SID 141 RR__XX
DenyDenySID 199SID 199 _W__W_
AllowAllowSID 65SID 65 RW_RW_
Унаследованные строки
Унаследованные строки
Явные назначенияЯвные назначения
SID 65SID 65
SID SID 141141
SID SID 172172
SID SID 199199
ПользовательОбъект
READREAD WRITWRIT
EE
READREAD WRITWRIT
EE
AccessAccessDeniedDeniedAccessAccessDeniedDenied
Средства Средства шифрованияшифрования
CSP CSP и и CryptoAPICryptoAPI
CryptoAPI Программные интерфейсы к
криптографическим службам Windows 2000
Cryptographic Service Provider Криптографические операции Генерация и хранение ключей
Microsoft CSPs Базовый набор High Encryption Pack
CSP CSP и и CryptoAPICryptoAPI
CSP #1CSP #1
Advapi32.dllAdvapi32.dllCrypt32.dllCrypt32.dll
Advapi32.dllAdvapi32.dllCrypt32.dllCrypt32.dll
ПриложениеПриложение A AПриложениеПриложение A A
CSP #2CSP #2 CSP #3CSP #3 CSP #4CSP #4
ПриложениеПриложение A AПриложениеПриложение A A ПриложениеПриложение A AПриложениеПриложение A AСлой
приложений
Системныйслой
Слойпоставщиков
CryptoAPI
CryptoSPI
Встроенные Встроенные CSPCSPСтандартные криптопровайдеры
Microsoft Base CSP Microsoft DSS CSP Microsoft DSS and Diffie-Hellman CSP Microsoft DSS and
Diffie-Hellman/Schannel CSP Microsoft RSA/Schannel CSP Schlumberger CSP GemPlus CSP
High Encryption Pack Microsoft Strong CSP Microsoft Enhanced CSP
АлгоритмыАлгоритмы
Симметричное шифрование Data Encryption Standard (DES)
DES: 56 бит DESX: 128 бит Triple DES: 112 бит, 168 бит
Rivest’s Cipher (RC) RC2, RC4: 40 бит, 56 бит, 128 бит
Обмен ключами Diffie-Hellman Key Agreement RSA Key Exchange
АлгоритмыАлгоритмы
Хеширование Message Digest (MD)
MD2, MD4, MD5 Secure Hash Algorithm (SHA-1) Hashed Message Authentication Code
(HMAC)Цифровая подпись
Digital Signature Algorithm (DSA)
RSA Digital Signature
Разработка Разработка CSPCSP
Создание и тестирование модуля CSP с помощью Microsoft Cryptographic Service Provider Developer’s Kit (CryptoSDK) http://msdn.microsoft.com/downloads/
Раздел “Security”
Цифровая подпись Microsoft Модуль c описанием нужно передать
Microsoft Процесс подписи занимает
1 – 2 рабочих дня
ИнфраструктурИнфраструктура открытых а открытых
ключейключей
СертификатСертификатЦифровое удостоверение
Стандарт X.509 версия 3Информация, однозначно
идентифицирующая субъекта Его открытый ключ
Допустимые режимы использования
Информация, необходимая для проверки сертификата Срок действия сертификата Информация о службе, выдавшей
сертификатЦифровая подпись CA
Microsoft Microsoft Certificate ServicesCertificate Services
Certification Authority Выдача сертификатов клиентам
Генерация ключей, если нужно Отзыв сертификатов
Публикация Certificate Revocation List Хранение истории всех выданных
сертификатовWeb Enrollment Support
Запрос и получение сертификата через Web-интерфейс
Архитектура Архитектура CACA
Certificate Services
Certificate Services
ExitExitModuleModule
ExitExitModuleModule
EntryEntryModuleModuleEntryEntry
ModuleModule
Certificate Certificate TemplatesTemplatesCertificate Certificate TemplatesTemplates Policy ModulePolicy ModulePolicy ModulePolicy Module
Protected StoreProtected StoreProtected StoreProtected Store
CSPCSPCSPCSP
Личные ключиЛичные ключи
Открытые ключи
Открытые ключи
Certificate Certificate DatabaseDatabase
Запросы Запросы PKCS10PKCS10
СертификатыСертификаты
CRLCRL
Microsoft CAMicrosoft CA
Enterprise CA Интегрирован с Active Directory Выдает сертификаты только
объектам, имеющим учетные записи в каталоге
Использует шаблоны сертификатовStand-Alone CA
Не зависит от Active Directory Может использоваться в качестве
независимого центра сертификации для любых объектов
Иерархия Иерархия CACARoot CA
Sub CA 4
Sub CA 1
Sub CA 2
Intermediate CA Issuing CA
Issuing CA
Root CA
Root CA
Sub CA 2
Sub CA 3
User
Sub CA 3
Issuing CA
Certification Path
Проверка Проверка сертификатасертификата
Root CA
Sub CA 2
Sub CA 3
User
Сертификат разрешено использовать в данном режиме.
Тип сертификата
Сертификат действителен в данный момент.
Срок действия
Цифровая подпись CA, выдавшего сертификат, верна.
Целостность
Сертификат не был отозван.
ЛегитимностьСертификат корневого CA присутствует в хранилище Trusted Root Certification Authorities.
Доверие
Списки CTL не запрещают использование сертификата для данной задачи.
Запреты
Службы, Службы, базирующиеся базирующиеся
на на Windows Windows 2000 PKI2000 PKI
Secure ChannelSecure Channel“Microsoft Unified Security Support
Provider” Secure Sockets Layer (SSL) 3.0 SSL 2.0 Transport Layer Security (TLS) 1.0 Private Communication Technology
(PCT) 1.0Аутентификация и защита данных
при связи через публичные сети TLS - основной (рекомендуемый)
протокол Модернизация протокола SSL
Концепции Концепции SSL/TLSSSL/TLS
При установлении защищенного сеанса участники Договариваются, какие
криптографические алгоритмы будут использоваться в рамках сеанса
RSA – при обмене ключами RC4 – для шифрования данных SHA и MD5 – для хеширования
Взаимно аутентифицируют друг друга с помощью сертификатов
Вырабатывают ключи для шифрования и хеширования
Смарт-картыСмарт-карты
Микрочип, интегрированный в пластиковую карточку Сертификат пользователя Личный ключ пользователя
Идентификация владельца Персональный идентификационный
номер (PIN)
Поддержка Smart Cards в Windows 2000 Gemplus Schlumberger
АутентификацияАутентификацияСертификат вместо пароля
Надежность аутентификации Kerberos зависит от качества паролей
PKINIT Расширение Kerberos для интерактивной
аутентификации с помощью Smart CardСоответствие сертификата учетной
записи домена SSL/TLS, EAP-TLS Возможна аутентификация
пользователей, не имеющих учетных записей в домене
Шифрующая Шифрующая файловая система файловая система
((EFS)EFS)Шифрование данных, на уровне
файловых операций NTFSПрозрачный доступ к
зашифрованным данным из приложений
Возможность восстановления зашифрованных данных Emergency Data Recovery Policy
Архитектура Архитектура EFSEFS
Вызовы File System Run-Time Library (FSRTL)
I/O ManagerI/O Manager
EFS.SYSEFS.SYSEFS.SYSEFS.SYS
Win32 Win32 subsystemsubsystem
Win32 Win32 subsystemsubsystem
User mode
Kernel mode
NTFSNTFS
CryptoAPICryptoAPI
Взаимодействие Взаимодействие через через LPCLPC
Взаимодействие Взаимодействие через через LPCLPC
EFS EFS ServiceService
EFS EFS ServiceService
Безопасность Безопасность IP IP (IPSec)(IPSec)
Защита данных на уровне сетевых пакетов Прозрачно для приложений
Два уровня защиты Обеспечение целостности пакета
Authentication Header (AH) Шифрование данных, передаваемых в
пакете Encapsulating Security Payload (ESP)
Возможность туннелирования Защищенный канал между
маршрутизаторами удаленных подсетей
Процессы Процессы IPSecIPSec
IKEIKE
IPSec DriverIPSec DriverIPSec DriverIPSec Driver
IPSec FilterIPSec Filter
IPSecIPSecPolicy Policy
IPSec DriverIPSec DriverIPSec DriverIPSec Driver
IPSec FilterIPSec Filter
IKEIKE
Инициация переговоров
Инициация переговоров
Переговоры и генерация SA
Переговоры и генерация SA
IPSecIPSecPolicy Policy
SASA SASA
Защищенные пакеты
Защищенные пакеты
Система Система безопасности безопасности Windows 2000Windows 2000
Защита на всех уровнях Аутентификация Контроль доступа к ресурсам Конфиденциальность данных в хранилище Конфиденциальность и целостность
коммуникаций
Модульность и возможность расширения Подключение модулей шифрования CSP Собственные механизмы аутентификации
ОтветОтветы ы