Системы защиты ПО широко распространены и находятся в постоянном развитии, благодаря расширению рынка ПО и телекоммуникационных технологий. Необходимость использования систем защиты (СЗ) ПО обусловлена рядом проблем, среди которых следует выделить: незаконное использование алгоритмов, являющихся интеллектуальной собственностью автора, при написании аналогов продукта
(промышленный шпионаж); несанкционированное использование ПО (кража и копирование); несанкционированная модификация ПО с целью внедрения программных злоупотреблений; незаконное распространение и сбыт ПО (пиратство).

Существующие системы защиты программного обеспечения можно классифицировать по ряду признаков, среди которых можно выделить:

метод установки;

используемые механизмы защиты;

принцип функционирования.

Системы защиты ПО по методу установки можно подразделить на:

системы, устанавливаемые на скомпилированные модули ПО;

системы, встраиваемые в исходный код ПО до компиляции;

комбинированные.

Системы первого типа наиболее удобны для производителя ПО, так как легко можно защитить уже полностью готовое и оттестированное ПО, а потому и наиболее популярны. В то же время стойкость этих систем достаточно низка (в зависимости от принципа действия СЗ), так как
для обхода защиты достаточно определить точку завершения работы «конверта» защиты и передачи управления защищенной программе, а затем принудительно ее сохранить в незащищенном виде.

Системы второго типа неудобны для производителя
ПО, так как возникает необходимость обучать персонал работе с программным интерфейсом (API) системы защиты с вытекающими отсюда денежными и временными затратами. Кроме того, усложняется процесс тестирования ПО и снижается его надежность, так как кроме самого ПО ошибки может содержать API системы защиты или процедуры,
его использующие. Но такие системы являются более стойкими к атакам, потому что здесь исчезает четкая граница между системой защиты и как таковым ПО.

Наиболее живучими являются комбинированные системы защиты. Сохраняя достоинства и недостатки систем второго типа, они максимально затрудняют анализ и дезактивацию своих алгоритмов.

По используемым механизмам защиты СЗ можно классифицировать на:

системы, использующие сложные логические механизмы;

системы, использующие шифрование защищаемого ПО;

комбинированные системы.

Системы первого типа используют различные методы
и приемы, ориентированные на затруднение дизассемблирования, отладки и анализа алгоритма СЗ и защищаемого ПО. Этот тип СЗ наименее стоек к атакам, так как для преодоления защиты достаточно проанализировать логику процедур проверки и должным образом их модифицировать.

Более стойкими являются системы второго типа. Для
дезактивации таких защит необходимо определение ключа дешифрации ПО. Самыми стойкими к атакам являются комбинированные системы.

Для защиты ПО используется ряд методов, таких как:

Алгоритмы запутывания — используются хаотические переходы в разные части кода, внедрение ложных процедур — «пустышек», холостые циклы, искажение количества реальных параметров процедур ПО, разброс участков кода по разным областям ОЗУ и т. п.

Алгоритмы мутации — создаются таблицы соответствия операндов-синонимов и замена их друг на друга при каждом запуске программы по определенной схеме или случайным образом, случайные изменения структуры программы.

Алгоритмы компрессии данных — программа упаковывается, а затем распаковывается по мере выполнения.

Алгоритмы шифрования данных — программа шифруется, а затем расшифровывается по мере выполнения.

Вычисление сложных математических выражений
в процессе отработки механизма защиты — элементы логики защиты зависят от результата вычисления значения какой-либо формулы или группы формул.

Методы затруднения дизассемблирования — используются различные приемы, направленные на предотвращение дизассемблирования в пакетном режиме.

Методы затруднения отладки — используются различные приемы, направленные на усложнение отладки программы.

Эмуляция процессоров и операционных систем –
создается виртуальный процессор и/или операционная
система (не обязательно существующие) и программапереводчик из системы команд IBM в систему команд созданного процессора или ОС, после такого перевода ПО может выполняться только при помощи эмулятора, что резко
затрудняет исследование алгоритма ПО.

Нестандартные методы работы с аппаратным
обеспечением – модули системы защиты обращаются к аппаратуре ЭВМ, минуя процедуры ОС, и используют малоизвестные или недокументированные ее возможности.

В свою очередь, злоумышленники так же применяют ряд методов и средств для нарушения систем защиты. Ситуация противостояния разработчиков СЗПО и злоумышленников постоянно изменяется за счет комбинирования уже известных методов защиты и нападения, а также за
счет создания и использования новых методов. В целом это
взаимодействие может быть описано схемой на рис. 1.

Рис. 1. Схема противостояния технических методов и средств защиты

По принципу функционирования СЗ можно подразделить на:

упаковщики/шифраторы;

СЗ от несанкционированного копирования;

СЗ от несанкционированного доступа (НСД).

2. Достоинства и недостатки основных систем защиты

Рассмотрим достоинства и недостатки основных систем защиты ПО, исходя из принципов их функционирования.

2.1. Упаковщики/шифраторы

Первоначально основной целью упаковщиков/шифраторов являлось уменьшение объема исполняемого модуля на диске без ущерба для функциональности программы, но позднее на первый план вышла цель защиты ПО от анализа его алгоритмов и несанкционированной модификации. Для достижения этого используются алгоритмы компрессии
данных; приемы, связанные с использованием недокументированных особенностей операционных систем и процессоров; шифрование данных, алгоритмы мутации, запутывание логики программы, приведение ОС в нестабильное состояние на время работы ПО и др.

Положительные стороны:

В рамках периода безопасного использования данные системы обеспечивают высокий уровень защиты ПО от анализа его алгоритмов.

Методы упаковки/шифрации намного увеличивают
стойкость СЗ других типов.

Отрицательные стороны:

Практически все применяемые методы замедляют
выполнение кода ПО.

Шифрование/упаковка кода ПО вызывает затруднения при обновлении (update) и исправлении ошибок (bugfix, servicepack).

Возможно повышение аппаратно-программных требований ПО.

В чистом виде данные системы не применимы для
авторизации использования ПО.

Эти системы применимы лишь к продуктам небольшого объема.

Данный класс систем уязвим, так как программный
код может быть, распакован или расшифрован для выполнения.

Обладают небольшим сроком безопасного использования ввиду п. 4.

Упаковка и шифрование исполняемого кода вступает
в конфликт с запрещением самомодифицирующегося кода
в современных ОС.

2.2. Системы защиты от несанкционированного копирования

СЗ от несанкционированного копирования осуществляют «привязку» ПО к дистрибутивному носителю (гибкий диск, CD и др.). Данный тип защит основывается на глубоком изучении работы контроллеров накопителей, их
физических показателей, нестандартных режимах разбивки, чтения/записи и т. п. При этом на физическом уровне создается дистрибутивный носитель, обладающий предположительно неповторимыми свойствами (нестандартная разметка носителя информации и/или запись на него дополнительной информации — пароля или метки), а на программном — создается модуль, настроенный на идентификацию и аутентификацию носителя по его уникальным свойствам. При этом возможно применение приемов,
используемых упаковщиками/шифраторами.

Положительные факторы:

Затруднение нелегального копирования и распространения ПО.

Защита прав пользователя на приобретенное ПО.

Отрицательные факторы:

Большая трудоемкость реализации системы защиты.

Замедление продаж из-за необходимости физической передачи дистрибутивного носителя информации.

Повышение системных требований из-за защиты (наличие накопителя).

Снижение отказоустойчивости ПО.

Несовместимость защиты и аппаратуры пользователя (накопитель, контроллер).

На время работы ПО занимается накопитель.

Угроза кражи защищенного носителя.

2.3. Системы защиты от несанкционированного доступа

СЗ от НСД осуществляют предварительную или периодическую аутентификацию пользователя ПО или его компьютерной системы путем запроса дополнительной информации. К этому типу СЗ можно отнести системы парольной защиты ПО, системы «привязки» ПО к компьютеру пользователя, аппаратно-программные системы с электронными ключами и системы с «ключевыми дисками». В первом случае «ключевую» информацию вводит пользователь, во втором — она содержится в уникальных параметрах компьютерной системы пользователя, в третьем — «ключевая» информация считывается с микросхем электронного ключа, в четвертом — она хранится на диске.

2.3.1. Парольные защиты

Этот класс СЗПО, на сегодняшний день, является самым распространенным. Основной принцип работы данных систем заключается в идентификации и аутентификации пользователя ПО путем запроса дополнительных данных, это могут быть название фирмы и/или имя и фамилия пользователя и его пароль либо только пароль/регистрационный код. Эта информация может запрашиваться в различных ситуациях, например, при старте программы, по истечении срока бесплатного использования ПО, при вызове процедуры регистрации либо в процессе установки на ПК пользователя. Процедуры парольной защиты просты
в реализации. Большинство парольных СЗПО используют
логические механизмы, сводящиеся к проверке правильности пароля/кода и запуску или не запуску ПО, в зависимости от результатов проверки. Существуют также системы, шифрующие защищаемое ПО и использующие пароль или производную от него величину как ключ дешифрации.
Обычно они реализованы в виде защитного модуля и вспомогательных библиотек и устанавливаются на уже скомпилированные модули ПО.

Слабым звеном парольных защит является блок проверки правильности введенного пароля/кода. Для такой проверки можно сравнивать введенный пароль с записанным в коде ПО правильным либо с правильно сгенерированным из введенных дополнительных данных паролем. Возможно также сравнение производных величин от введенного и
правильного паролей, например их хэш-функций, в таком
случае в коде можно сохранять только производную величину, что повышает стойкость защиты. Путем анализа процедур проверки можно найти реальный пароль, записанный в коде ПО, найти правильно сгенерированный пароль
из введенных данных либо создать программу для перебора паролей для определения пароля с нужной хэш-суммой. Кроме того, если СЗПО не использует шифрования, достаточно лишь принудительно изменить логику проверки для получения беспрепятственного доступа к ПО.

Шифрующие системы более стойки к атакам, но при использовании простейших или некорректно реализованных криптоалгоритмов есть опасность дешифрации ПО.

Для всех парольных систем существует угроза перехвата пароля при его вводе авторизованным пользователем. Кроме того, в большинстве СЗПО данного типа процедура проверки используется лишь единожды, обычно при регистрации или установке ПО, затем система защиты просто
отключается, что создает реальную угрозу для НСД при незаконном копировании ПО.

Положительные стороны:

Надежная защита от злоумышленника-непрофессионала.

Минимальные неудобства для пользователя.

Возможность передачи пароля/кода по сети.

Отсутствие конфликтов с системным и прикладным ПО и АО.

Простота реализации и применения.

Низкая стоимость.

Отрицательные стороны:

Низкая стойкость большинства систем защиты данного типа.

Пользователю необходимо запоминать пароль/код.

2.3.2. Системы «привязки» ПО

Системы этого типа при установке ПО на ПК пользователя осуществляют поиск уникальных признаков компьютерной системы либо они устанавливаются самой системой защиты. После этого модуль защиты в самом ПО настраивается на поиск и идентификацию данных признаков, по которым в дальнейшем определяется авторизованное или неавторизованное использование ПО. При этом возможно применение методик оценки скоростных и иных показателей процессора, материнской платы, дополнительных устройств, ОС, чтение/запись в микросхемы энергонезависимой памяти, запись скрытых файлов, настройка на наиболее часто встречаемую карту использования ОЗУ и т. п.

Слабым звеном таких защит является тот факт, что на
ПК пользователя ПО всегда запускается на выполнение,
что приводит к возможности принудительного сохранения ПО после отработки системы защиты, исследование самой защиты и выявление данных, используемым СЗПО для аутентификации ПК пользователя.

Положительные факторы:

Не требуется добавочных аппаратных средств для работы защиты.

Затруднение несанкционированного доступа к скопированному ПО.

Простота применения.

«Невидимость» СЗПО для пользователя.

Отрицательные факторы:

Ложные срабатывания СЗПО при любых изменениях в параметрах ПК.

Низкая стойкость при доступе злоумышленника к
ПК пользователя.

Возможность конфликтов с системным ПО.

2.3.3. Программно-аппаратные средства защиты
ПО с электронными ключами

Этот класс СЗПО в последнее время приобретает все
большую популярность среди производителей программного обеспечения (ПО). Под программно-аппаратными средствами защиты в данном случае понимаются средства, основанные на использовании так называемых «аппаратных (электронных) ключей». Электронный ключ —
это аппаратная часть системы защиты, представляющая
собой плату с микросхемами памяти и, в некоторых случаях, микропроцессором, помещенную в корпус и предназначенную для установки в один из стандартных портов ПК (COM, LPT, PCMCIA, USB) или слот расширения материнской платы. Так же в качестве такого устройства
могут использоваться смарт-карты (Smart-Card). По результатам проведенного анализа, программно-аппаратные средства защиты в настоящий момент являются одними из самых стойких систем защиты ПО от НСД.

Электронные ключи по архитектуре можно подразделить на ключи с памятью (без микропроцессора) и ключи с микропроцессором (и памятью).

Наименее стойкими являются системы с аппаратной
частью первого типа. В таких системах критическая информация (ключ дешифрации, таблица переходов) хранится в памяти электронного ключа. Для дезактивации та-ких защит в большинстве случаев необходимо наличие у злоумышленника аппаратной части системы защиты (перехват диалога между программной и аппаратной частями для доступа к критической информации).

Наиболее стойкими являются системы с аппаратной
частью второго типа. Такие комплексы содержат в аппаратной части не только ключ дешифрации, но и блоки шифрации/дешифрации данных, таким образом при работе защиты в электронный ключ передаются блоки зашифрованной информации, а принимаются оттуда расшифрованные данные. В системах этого типа достаточно сложно перехватить ключ дешифрации, так как все процедуры выполняются аппаратной частью, но остается возможность принудительного сохранения защищенной программы в открытом виде после отработки системы защиты. Кроме
того, к ним применимы методы криптоанализа.
Положительные факторы:

Значительное затруднение нелегального распространения и использования ПО.

Избавление производителя ПО от разработки собственной системы защиты.

Высокая автоматизация процесса защиты ПО.

Наличие API системы для более глубокой защиты.

Возможность легкого создания демо-версий.

Достаточно большой выбор таких систем на рынке.

Отрицательные факторы:

Затруднение разработки и отладки ПО из-за ограничений со стороны СЗ.

Дополнительные затраты на приобретение СЗ и обучение персонала.

Замедление продаж из-за необходимости физической передачи аппаратной части.

Повышение системных требований из-за защиты (совместимость, драйверы).

Снижение отказоустойчивости ПО.

Несовместимость систем защиты и системного или прикладного ПО пользователя.

Несовместимость защиты и аппаратуры пользователя.

Ограничения из-за несовместимости электронных
ключей различных фирм.

Снижение расширяемости компьютерной системы.

Затруднения или невозможность использования защищенного ПО в переносных и блокнотных ПК.

Наличие у аппаратной части размеров и веса (для
COM/LPT = 5 х 3 х 2 см ~ 50 г).

Угроза кражи аппаратного ключа.

2.3.4. Средства защиты ПО с «ключевыми
дисками»

В настоящий момент этот тип систем защиты мало распространен, ввиду его морального устаревания. СЗПО этого типа во многом аналогичны системам с электронными ключами, но здесь критическая информация хранится на специальном, ключевом, носителе. Основной угрозой для
таких СЗПО является перехват считывания критической
информации, а также незаконное копирование ключевого
носителя.

Положительные и отрицательные стороны данного
типа СЗПО практически полностью совпадают с таковыми
у систем с электронными ключами.

3. Показатели эффективности систем защиты

Необходимо отметить, что пользователи явно ощущают лишь отрицательные стороны систем защит. А производители ПО рассматривают только относящиеся к ним «плюсы» и «минусы» систем защиты и практически не рассматривают факторы, относящиеся к конечному потребителю. По результатам исследований был разработан набор показателей применимости и критериев оценки СЗПО.

Показатели применимости:

Технические — соответствие СЗПО функциональным
требованиям производителя ПО и требованиям по стойкости, системные требования ПО и системные требования СЗПО, объем ПО и объем СЗПО, функциональная направленность ПО, наличие и тип СЗ у аналогов ПО — конкурентов.

Экономические — соотношение потерь от пиратства и
общего объема прибыли, соотношение потерь от пиратства и стоимости СЗПО и ее внедрения, соотношение стоимости ПО и стоимости СЗПО, соответствие стоимости СЗПО и ее внедрения поставленным целям.

Организационные — распространенность и популярность ПО, условия распространения и использования ПО, уникальность ПО, наличие угроз, вероятность превращения пользователя в злоумышленника, роль документации и поддержки при использовании ПО.

Критерии оценки:

Защита как таковая — затруднение нелегального копирования и доступа, защита от мониторинга, отсутствие логических брешей и ошибок в реализации системы.

Стойкость к исследованию/взлому — применение
стандартных механизмов, новые/нестандартные механизмы.

Отказоустойчивость (надежность) — вероятность
отказа защиты (НСД), время наработки на отказ, вероятность отказа программы защиты (крах), время наработки на отказ, частота ложных срабатываний.

Независимость от конкретных реализаций ОС — использование недокументированных возможностей, «вирусных» технологий и «дыр» ОС.

Совместимость — отсутствие конфликтов с системным и прикладным ПО, отсутствие конфликтов с существующим АО, максимальная совместимость с разрабатываемым АО и ПО.

Неудобства для конечного пользователя ПО — необходимость и сложность дополнительной настройки системы защиты, доступность документации, доступность ин-

формации об обновлении модулей системы защиты из-за
ошибок/несовместимости/нестойкости, доступность сервисных пакетов, безопасность сетевой передачи пароля/ключа, задержка из-за физической передачи пароля/ключа, нарушения прав потребителя.

Побочные эффекты — перегрузка трафика, отказ в
обслуживании, замедление работы защищаемого ПО и ОС, захват системных ресурсов, перегрузка ОЗУ, нарушение стабильности ОС.

Стоимость — стоимость/эффективность, стоимость/цена защищаемого ПО, стоимость/ликвидированные убытки.

Доброкачественность — доступность результатов независимой экспертизы, доступность информации о побочных эффектах, полная информация о СЗ для конечного пользователя.

Общая картина взаимодействия агентов рынка программного обеспечения представлена на схеме рис. 2. Из четырех указанных выше видов среды взаимодействия защищающейся стороне подконтрольны три
вида — организационная, техническая и экономическая
среда. Важнейшей средой взаимодействия является несомненно экономическая среда, так как экономическое взаимодействие, является первопричиной и целью всего взаимодействия.

При разработке и анализе защиты программного обеспечения необходимо учитывать существующую законодательную базу, при этом нужно проводить подробный экономический анализ ситуации, применяя различные критерии оценки, а затем создавать стратегию защиты,
включающую применение технических и организационных мер защиты программного обеспечения.

Рис. 2.Взаимодействие участников процесса создания и распространения ПО

Контрольные вопросы

1. Приведите классификацию систем защиты программного обеспечения.

2. Сравните основные технические методы и средства защиты программного обеспечения.

3. Назовите отличия систем защиты от несанкционированного доступа от систем защиты от несанкционированного копирования.

4. Дайте характеристику показателей эффективности систем защиты.

5. Приведите примеры взаимодействия участников процесса создания и распространения ПО.

Тема 2. Серверные операционные системы ведущих производителей

Создание IT-инфраструктуры любой современной компании обычно начинается с выбора инфраструктурного программного обеспечения, в частности серверных операционных систем. В настоящей статье мы остановимся на самых известных серверных операционных системах и расскажем об областях их применения.

Назначение серверных операционных систем

Назначение серверной операционной системы — это управление приложениями, обслуживающими всех пользователей корпоративной сети, а нередко и внешних пользователей. К таким приложениям относятся современные системы управления базами данных, средства управления сетями и анализа событий в сети, службы каталогов, средства обмена сообщениями и групповой работы, Web-серверы, почтовые серверы, корпоративные брандмауэры, серверы приложений самого разнообразного назначения, серверные части бизнес-приложений. Требования к производительности и надежности указанных операционных систем очень высоки; нередко сюда входят и поддержка кластеров (набора ряда однотипных компьютеров, выполняющих одну и ту же задачу и делящих между собой нагрузку), и возможности дублирования и резервирования, и переконфигурации программного и аппаратного обеспечения без перезагрузки операционной системы.

Выбор серверной операционной системы и аппаратной платформы для нее в первую очередь определяется тем, какие приложения под ее управлением должны выполняться (как минимум, выбранные приложения должны существовать в версии для данной платформы) и какие требования предъявляются к ее производительности, надежности и доступности.

Windows (Microsoft)

Серверные версии операционной системы Windows сегодня применяются довольно широко — благодаря удобству администрирования и невысокой совокупной стоимости владения.

Windows NT

Windows NT, первая полностью 32-разрядная операционная система этого семейства, появилась вскоре после выпуска Windows 95. Самой популярной стала версия Windows NT Server 4.0, существовавшая в варианте не только для Intel-совместимых компьютеров, но и для RISC-систем. Данная операционная система обладала привычным пользовательским интерфейсом Windows 95, удобными средствами администрирования, встроенным Web-сервером, средствами диагностики сети, управления процессами и задачами, интеграции с другими операционными системами (например, с Novell NetWare), а также утилитами и службами управления рабочими станциями. Чуть позже для этой операционной системы появились такие сервисы, как монитор транзакций и сервер приложений Microsoft Transaction Server, сервер управления очередями сообщений Microsoft Message Queue Server, а также ряд коммерческих продуктов, в том числе серверные СУБД, средства групповой работы и обмена сообщениями, серверы приложений как от компании Microsoft, так и от других производителей.

Применение Windows NT Server 4.0 в качестве серверной операционной системы во многих случаях было экономически оправданным, что сделало данную операционную систему весьма популярной у малых и средних предприятий — она до сих пор активно используется многими компаниями.

Windows 2000

Windows 2000 на данный момент является самой популярной операционной системой Microsoft в корпоративном секторе. К серверным операционным системам этого семейства относятся Windows 2000 Server — универсальная сетевая операционная система для серверов рабочих групп и отделов, Windows 2000 Advanced Server — операционная система для эксплуатации бизнес-приложений и приложений для электронной коммерции и Windows 2000 Datacenter Server — ОС для наиболее ответственных приложений, осуществляющих обработку данных.

В состав Windows 2000 Server, по сравнению с Windows NT 4.0, включены и дополнительные службы, облегчающие управление серверами, сетями и рабочими станциями, например службы каталогов Active Directory, позволяющие создать единое хранилище учетных записей пользователей, клиентов, серверов и приложений Windows, дополнительные средства конфигурирования сетей и подключения удаленных пользователей, терминальные службы для удаленного управления компьютерами. Кроме того, в данную операционную систему были добавлены службы компонентов, являющиеся дальнейшим развитием Microsoft Transaction Server, что позволило создавать для этой ОС корпоративные приложения, обладающие масштабируемостью и надежностью.

Windows 2000 Advanced Server обладает всеми возможностями Windows 2000 Server, а также поддерживает кластеризацию и баланс нагрузки, что делает возможным выполнение масштабируемых приложений с непрерывным доступом к данным. А операционная система Windows 2000 Datacenter Server содержит также дополнительные компоненты с широкими функциональными возможностями, в числе которых поддержка симметричной мультипроцессорной обработки с использованием 32 процессоров, поддержка до 64 Гбайт оперативной памяти, средства восстановления после отказа на основе четырехузловой кластеризации и периодического обновления операционной системы.

Как и для Windows NT, для Windows 2000 существуют версии серверных СУБД и серверов приложений от всех ведущих производителей, средства групповой работы и обмена сообщениями, средства управления сетями и приложениями.

Windows Server 2003

Создание семейства Windows Server 2003 стало следующим шагом в развитии операционных систем Windows 2000. Основными особенностями данного семейства операционных систем являются наличие в их составе платформы Microsoft .NET Framework, а также поддержка Web-сервисов XML (вплоть до наличия в составе операционной системы UDDI-сервера).

Windows Server 2003 существует в четырех редакциях:

• Windows Server 2003 Web Edition — операционная система для развертывания и обслуживания Web-приложений и Web-сервисов, включая приложения ASP .NET;

• Windows Server 2003 Standard Edition — сетевая операционная система для выполнения серверной части бизнес-решений и рассчитанная на применение в небольших компаниях и подразделениях. Здесь имеются средства совместного использования ресурсов и централизованного развертывания приложений для настольных компьютеров, а также реализована поддержка до 4 Гбайт оперативной памяти и симметричной многопроцессорной обработки с использованием двух процессоров;

• Windows Server 2003 Enterprise Edition — ОС, которая прежде всего предназначена для средних и крупных компаний. Она поддерживает серверы на базе 64-разрядных процессоров (до восьми штук) и объем оперативной памяти до 64 Гбайт и выпускается в версиях для 32- и 64-разрядных платформ;

• Windows Server 2003 Datacenter Edition — операционная система, которая служит для создания критически важных технических решений с высокими требованиями к масштабируемости и доступности. К таким решениям относятся приложения для обработки транзакций в режиме реального времени, а также решения, основанные на интеграции нескольких серверных продуктов. В данной ОС реализована поддержка симметричной многопроцессорной обработки с использованием до 32 процессоров, а также имеются службы балансировки нагрузки и создания кластеров, состоящих из восьми узлов. Эта ОС доступна для 32- и 64-разрядных платформ.

UNIX

Операционная система UNIX относится к «долгожителям» рынка серверных операционных систем — она была создана в конце 60-х годов в Bell Laboratories фирмы AT&T. Отличительной особенностью этой ОС, обусловившей ее «живучесть» и популярность, было то, что ядро операционной системы, написанной на ассемблере, было невелико, тогда как вся оставшаяся часть операционной системы была написана на языке С. Такой подход делал легко переносимой на самые разнообразные аппаратные платформы и саму операционную систему, и созданные для нее приложения. Важным достоинством UNIX стала ее открытость, позволившая одновременно существовать как коммерческим, так и некоммерческим версиям UNIX.

Общими для всех версий UNIX особенностями являются многопользовательский режим со средствами защиты данных от несанкционированного доступа, реализация мультипрограммной обработки в режиме разделения времени, использование механизмов виртуальной памяти и свопинга, унификация операций ввода-вывода, иерархическая файловая система, разнообразные средства взаимодействия процессов, в том числе межсетевого.

Solaris (Sun Microsystems)

Операционная система Sun Solaris сегодня входит в число самых известных коммерческих версий UNIX. Эта ОС обладает развитыми средствами поддержки сетевого взаимодействия и представляет собой одну из самых популярных платформ для разработки корпоративных решений — для нее существует около 12 тыс. различных приложений, в том числе серверов приложений и СУБД почти от всех ведущих производителей.

Solaris соответствует многим промышленным стандартам и характеризуется высокой масштабируемостью. Для подавляющего большинства приложений эта операционная система обеспечивает практически линейный рост производительности при увеличении числа процессоров за счет симметричных многопроцессорных вычислений. В настоящее время Solaris поддерживает процессоры SPARC и Intel x86.

Из особенностей Solaris 9 следует отметить поддержку до 1 млн. одновременно работающих процессов, до 128 процессоров в одной системе и до 848 процессоров в кластере, до 576 Гбайт физической оперативной памяти, поддержку файловых систем размером до 252 Тбайт, наличие средств управления конфигурациями и изменениями, встроенную совместимость с Linux.

Операционная система Solaris 9 представляет собой основу открытой сетевой среды Sun Open Net Environment (Sun ONE). В комплект поставки Solaris 9 входят ключевые приложения Sun ONE: Application Server, Directory Server, Integration Server, Message Queue, Portal Server, Web Server.

HP-UX (Hewlett-Packard)

Операционная система HP-UX, разработанная в компании Hewlett-Packard, является потомком AT&T System V. Ее последняя версия, HP-UX 11i, доступна для двух аппаратных платформ — PA_RISC и Itanium — и ориентирована главным образом на серверы производства Hewlett-Packard.

Из особенностей HP-UX 11i нужно назвать средства интеграции с Windows и Linux, в том числе средства переноса Java-приложений, разработанных для этих платформ, а также средства повышения производительности Java-приложений. Кроме того, HP-UX 11i поддерживает Linux API, что гарантирует перенос приложений между HP-UX и Linux. Отметим, что приложения для HP-UX 11i переносятся между двумя поддерживаемыми ею аппаратными платформами без изменений и перекомпиляции.

Говоря о производительности и масштабируемости HP-UX 11i, следует отметить, что одна копия операционной системы поддерживает до 256 процессоров; поддерживаются также кластеры размером до 128 узлов. К тому же данная платформа поддерживает подключение и отключение дополнительных процессоров, замену аппаратного обеспечения, динамическую настройку и обновление операционной системы без необходимости перезагрузки, резервное копирование в режиме on-line и дефрагментацию дисков без выключения системы.

Выбор программного обеспечения для данной операционной системы весьма широк — это и серверы приложений ведущих производителей, и Web- и WAP-серверы, и поисковые серверы, и средства кэширования, и службы каталогов.

AIX (IBM)

AIX является клоном UNIX производства IBM, предназначенным для выполнения на серверах IBM @server pSeries и RS/6000. Как и HP-UX, эта операционная система обладает совместимостью с Linux.

В числе особенностей AIX 5L — наличие полностью 64-разрядных ядра, драйверов устройств и среды исполнения приложений (при этом имеется и 32-разрядное ядро, равно как и поддержка 32-рязрядных приложений), поддержка 256 Гбайт оперативной памяти, поддержка файлов объемом до 1 Тбайт, удобные средства администрирования, поддержка кластеров (до 32 компьютеров), развитые средства сетевой поддержки.

AIX предоставляет возможности самонастройки системы с помощью таких функций, как наращивание мощности по мере необходимости и разгрузка процессоров, а также обладает средствами самовосстановления, самооптимизации и самозащиты, включающими технологию протоколирования всех системных ошибок и систему упреждающего анализа неисправностей.

Linux и FreeBSD

Операционная система Linux — это некоммерческий продукт категории Open Source для платформы Intel, который в течение десяти лет создавали тысячи энтузиастов. Список серверных продуктов для Linux, пожалуй, не менее внушителен, чем для Solaris, HP-UX и AIX, и включает такие популярные продукты, как Web-сервер Apache, серверные СУБД и серверы приложений практически от всех производителей.

Одним из серьезных преимуществ Linux является низкая стоимость ее приобретения (хотя сама операционная система является некоммерческим продуктом, сертифицированные дистрибутивы Linux — обычно продукты коммерческие). Кроме того, ряд компаний, в частности IBM, вкладывают значительные средства в развитие Linux как серверной платформы, одновременно стремясь реализовать совместимость с Linux в своих коммерческих версиях UNIX в расчете на возможный переход с Linux на указанные операционные системы.

Еще одной известной некоммерческой версией UNIX является FreeBSD, доступная для платформ Intel и DEC Alpha. Основой FreeBSD послужил дистрибутив BSD UNIX, выпущенный группой исследования вычислительных систем Калифорнийского университета (Беркли). Данная операционная система обладает такими особенностями, как объединенный кэш виртуальной памяти и буферов файловых систем, совместно используемые библиотеки, модули совместимости с приложениями других версий UNIX, динамически загружаемые модули ядра, позволяющие добавлять во время работы поддержку новых типов файловых систем, сетевых протоколов или эмуляторов без перегенерации ядра.

FreeBSD нередко используется Интернет-провайдерами, а также в качестве операционной системы для корпоративных брандмауэров.

Из других распространенных версий UNIX, не представленных в этом обзоре из-за его ограниченного объема, следует назвать SCO OpenServer, UNIXWare, а также Compaq Tru64 UNIX.

NetWare (Novell)

В начале и середине 90-х годов Novell NetWare была доминирующей сетевой операционной системой. Хотя в настоящее время снизилась доля серверов, управляемых NetWare, как и количество создаваемых для нее приложений и инфраструктурного ПО, эта операционная система по-прежнему популярна благодаря надежности, масштабируемости, способности управлять большим количеством рабочих станций.

Основными особенностями последней версии данной операционной системы, Novell NetWare 6.5, являются возможность создания географически распределенных кластеров, наличие средств поддержки мобильных и удаленных пользователей, инструментов управления удаленными сетевыми ресурсами, а также средств синхронизации информации о пользователях и приведения в соответствие между собой каталогов в смешанных средах. Защита данных в Novell NetWare 6.5 осуществляется с помощью служб каталогов NDS eDirectory.

В состав Novell NetWare 6.5 входят известные OpenSource-продукты, а именно: Web-сервер Apache, СУБД MySQL, сервер приложений Apache Tomcat. Кроме того, в NetWare 6.5 включены сертифицированный на соответствие спецификации J2EE 1.3 сервер приложений и среда разработки Novell exteNd и так называемый виртуальный офис, позволяющий через Web-интерфейс обращаться к бизнес-ресурсам пользователя, включая файлы, электронную почту, средства календарного планирования.

Данная операционная система обычно применяется в качестве сетевого и файлового сервера, сервера печати и групповой работы.

Mac OS X (Apple)

Операционная система Mac OS X, созданная компанией Apple совместно с рядом университетских ученых, основана на BSD UNIX. В 1999 году версия Mac OS X Server была выпущена в виде продукта Open Source, что позволило разработчикам адаптировать Mac OS X для конкретных заказчиков, а также привлечь их к дальнейшему развитию этой операционной системы.

Mac OS X характеризуется наличием менеджера виртуальной памяти, возможностью полной изоляции приложений друг от друга, поддержкой многозадачности, сравнимой с аналогичной поддержкой в Windows.

В Mac OS X имеются эмулятор предыдущих версий Mac OS, средства редактирования графических изображений, встроенная поддержка OpenGL, почтовый клиент, средства управления паролями для доступа к Web-ресурсам.

В целом Mac OS X представляется многообещающей серверной операционной системой, и для нее уже начали выпускаться серверные СУБД и иное инфраструктурное программное обеспечение, хотя корпоративные пользователи пока относятся к ней достаточно осторожно.

В заключение следует сказать, что список применяемых ныне операционных систем отнюдь не ограничивается теми, что были рассмотрены в данной лекции.

Назначением серверных операционных систем обычно является управление приложениями, обслуживающими пользователей корпоративной сети или внешних пользователей, — такими как системы управления базами данных, серверы приложений, средства управления сетями, службы каталогов, средства обмена сообщениями и групповой работы, Web-серверы, почтовые серверы. Требования к производительности и надежности указанных операционных систем очень высоки. Наиболее дорогостоящие версии серверных операционных систем поддерживают кластеры (наборы однотипных компьютеров, между которыми делится нагрузка при выполнении одной и той же задачи), обладают средствами так называемого горячего резервирования и дублирования (то есть осуществляют эти операции без перезагрузки операционной системы). Что касается типично пользовательских задач, то их решение поддерживают далеко не все серверные ОС.

Хотя доля Windows на рынке серверных операционных систем сейчас довольно значительна, но все же не столь велика, как на рынке клиентских ОС. Помимо продукции Microsoft на этом рынке популярны серверные операционные системы IBM, Hewlett-Packard, Novell, Sun Microsystems и др. Кроме того, достаточно велика и доля операционных систем с открытым исходным кодом. Согласно последнему отчету Gartner, сегодня Linux-сегмент является самым быстрорастущим на рынке серверных операционных систем: за последний год он увеличился на 118%, а суммарный объем продаж составил 655 млн. долл. Лидирующим игроком в области СУБД, причем как для Linux, так и в других сегментах, является корпорация Oracle: 80,5% под Linux и 34,1% в других сегментах. За ней следуют IBM — 33,7%, а на долю Microsoft остается менее 20%.

Серверные версии Windows

Windows 2000

Windows 2000 на данный момент принадлежит к числу самых популярных операционных систем Microsoft в корпоративном секторе. Она выпускается в нескольких редакциях, отличающихся масштабируемостью и назначением. В составе Windows 2000 имеются службы, облегчающие управление серверами, сетями и рабочими станциями, службы каталогов Active Directory, средства подключения удаленных пользователей, терминальные службы для удаленного управления компьютерами.

Для Windows 2000 существуют версии серверных СУБД и серверов приложений от всех ведущих производителей, средства групповой работы и обмена сообщениями, средства управления сетями и приложениями.

Windows Server 2003

Создание семейства Windows Server 2003 стало следующим шагом в развитии серверных операционных систем Windows 2000. Основными особенностями данного семейства ОС являются наличие в их составе платформы Microsoft .NET Framework, а также поддержка Web-сервисов XML (вплоть до наличия в составе операционной системы UDDI-сервера).

Windows Server 2003 тоже существует в нескольких редакциях, различающихся назначением, масштабируемостью и уровнем доступности, — начиная от редакции для развертывания Web-приложений и обслуживания небольших компаний и заканчивая редакцией с поддержкой симметричной многопроцессорной обработки с использованием до 32 процессоров для обработки транзакций в режиме реального времени. Две старшие редакции этой операционной системы — Windows Server 2003 Enterprise Edition и Windows Server 2003 Datacenter Edition — доступны для 32- и 64-разрядных платформ.

Microsoft Windows Server 2008

Microsoft Windows Server 2008 (кодовое имя «Longhorn Server») — новая версия серверной операционной системы от Microsoft. Эта версия должна стать заменой Windows Server 2003 как представитель операционных систем поколения Vista (NT 6.x).

Windows Server 2008 первая операционная система Windows, выпущенная со встроенным Windows PowerShell, расширяемой оболочкой с интерфейсом командной строки и сопутствующим языком сценариев, разработанным Microsoft. Язык сценариев PowerShell был разработан специально для выполнения административных задач, и может заменить собой потребность в cmd.exe и Windows Script Host.

Самовосстанавливающаяся NTFS

Если в предыдущих версиях Windows операционная система обнаруживала ошибки в файловой системе тома NTFS, она отмечала том как «грязный»; исправление ошибок на томе не могло быть выполнено немедленно. С самовосстанавливающейся NTFS вместо блокировки всего тома блокируются только поврежденные файлы/папки, остающиеся недоступными на время исправления. Благодаря этому больше нет необходимости перезагрузки сервера для исправления ошибок файловой системы.

Также операционная система теперь отображает информацию S.M.A.R.T. жестких дисков чтобы помочь определить возможные сбои жёсткого диска. Впервые эта возможность появилась в Windows Vista.

Server Manager

Server Manager это новое, основанное на ролях средство управления Windows Server 2008. Он является комбинацией Управление данным сервером и Мастер настройки безопасности из Windows Server 2003. Server Manager является улучшенным диалогом Мастер настройки сервера который запускался по умолчанию в Windows Server 2003 при входе в систему. Теперь он позволяет не только добавлять новые роли, но ещё и объединяет в себе все операции, которые пользователи могут выполнять на сервере, а также обеспечивает консолидированное, выполненное в виде единого портала отображение текущего состояния каждой роли.

На данный момент невозможно удаленное использование Server Manager, однако запланированно создание клиентской версии.

Интерфейс

В сравнении с Windows Server 2003, интерфейс системы Windows 2008 Server значительно изменён и похож на стиль Aero, который имеется в Windows Vista. Кроме того, Windows Server 2008 можно установить вообще без графического интерфейса, только действительно необходимые службы. В этом случае управление сервером осуществляется в консольном режиме

Windows Server 2008 R2 - серверная версия Windows 7. Выйдет в продажу 22 октября 2009. Как и Windows 7, Windows Server 2008 R2 будет использовать ядро Windows NT 6.1. Новые возможности включают улучшенную виртуализацию, новую версию Active Directory, Internet Information Services 7.5 и поддержку до 256 процессоров. Система выйдет только в 64-разрядном варианте. Также удалена поддержка загрузки Windows с разделов, содержащих MBR

Microsoft анонсировала Windows Server 2008 R2 на конференции Professional Developers Conference как серверный вариант Windows 7. 7 января 2009 года бета-версия Microsoft Windows Server 2008 R2 стала доступна подписчикам Microsoft TechNet и MSDN, участвовавшим в программе предварительного ознакомления с Windows 7. 9 января бета-версия стала общедоступной для скачивания в Центре загрузки Microsoft.. 30 апреля 2009 - релиз-кандидат (RC) стал доступен подписчикам TechNet и MSDN. 5 мая 2009 - Windows Server 2008 R2 RC доступен в Центре загрузки Microsoft 6 августа 2009 - релиз Windows Server 2008 R2 RTM доступен подписчикам TechNet и MSDN. Выпуск в продажу состоится 22 октября 2009 года

Новые компоненты

Microsoft объявила ряд новых компонентов Windows Server 2008 R2 включая:

Улучшенная поддержка виртуализации: программа Live Migration, поддержка Cluster Shared Volumes (Falilover Clustering) и Hyper-V, умешьшенное потребление электропитания

Поддержка Корзины для удалённых объектов Active Directory

Internet Information Services 7.5: новый сервер FTP, расширения безопасности DNS, DirectAccess

Поддержка до 256 процессоров (Windows Server 2008 - до 64 процессоров)

Возможность классификации файлов отвечающих за ту или иную роль сервера. Поддержка нескольких типов классификации на одном файле

Windows PowerShell 2.0

Возможность удаления GUI после установки

Поддержка iSCSI

Усовершенствованная платформа веб-приложений

Сервер Windows Server 2008 R2 содержит множество усовершенствований, превращающих его в самую надежную платформу веб-приложений на основе Windows Server среди всех версий Windows. Он содержит обновленную роль веб-сервера и службы IIS 7.5 и обеспечивает поддержку .NET в режиме установки Server Core. При создании служб IIS 7.5 в них были внесены усовершенствования, предоставляющие администраторам веб-серверов удобные средства развертывания веб-приложений и управления ими и повышающие тем самым надежность и масштабируемость. Кроме того, службы IIS 7.5 упрощают управление и расширяют возможности настройки среды веб-сервера.

Кроме перечисленного, входящие в состав Windows Server 2008 R2 службы IIS и веб-платформа упрощают поддержку веб-приложений и управление ими, повышают безопасность веб-приложений и эффективность служб передачи файлов, позволяют расширять функциональность веб-приложений и повышают их доступность и производительность

Server Core

Windows Server 2008 включает вариант установки называемый Server Core (русск. Установка ядра сервера). Server Core — это существенно облегченная установка Windows Server 2008 в которую не включена оболочка Windows Explorer. Вся настройка и обслуживание выполняется при помощи интерфейса командной строки Windows, или подключением к серверу удалённо посредством Консоли управления. При этом доступны Блокнот и некоторые элементы панели управления, к примеру, Региональные Настройки.

В Windows Server 2008 произошло значительное обновление Служб Терминалов (Terminal Services). Службы Терминалов теперь поддерживают Remote Desktop Protocol 6.0. Самое заметное усовершенствование, названное Terminal Services RemoteApp, позволяет опубликовать одно конкретное приложение, вместо всего рабочего стола.

Другая важная особенность, добавленная в Службы Терминалов — Terminal Services Gateway и Terminal Services Web Access (теперь полностью через web-интерфейс). Terminal Services Gateway позволяет авторизованным компьютерам безопасно подключаться к Службам Терминалов или Удаленному Рабочему Столу из интернета используя RDP через HTTPS без использования VPN. Для этого не требуется открывать дополнительный порт на межсетевом экране; трафик RDP туннелируется через HTTPS. Terminal Services Web Access позволяет администраторам обеспечивать доступ к службам терминалов через Web-интерфейс. При использовании TS Gateway и TS RemoteApp, передача данных происходит через HTTP(S) и удаленные приложения выглядят для пользователя так, как будто они запущены локально. Несколько приложений запускаются через один сеанс чтобы гарантировать отсутствие потребности в дополнительных лицензиях на пользователя.

Благодаря Terminal Services Easy Print администраторам больше нет необходимости устанавливать какие-либо драйверы для принтеров на сервер. При этом Easy Print Driver перенаправляет пользовательский интерфейс и все возможности исходного принтера. Помимо этого, он улучшает производительность при передаче заданий на печать за счет перевода заданий в формат XPS перед отправкой клиенту.

UNIX и ее разновидности

Операционная система UNIX была создана в конце 60-х годов в Bell Laboratories фирмы AT&T. Ядро этой операционной системы, написанное на ассемблере, было невелико, а остальная часть ОС была написана на языке С. По этой причине UNIX может переноситься на самые разнообразные аппаратные платформы, что привело к появлению как коммерческих, так и некоммерческих версий данной ОС.

Общими для всех версий UNIX характеристиками являются многопользовательский режим со средствами защиты данных от несанкционированного доступа, реализация мультипрограммной обработки в режиме разделения времени, использование механизмов виртуальной памяти и свопинга, унификация операций ввода-вывода, иерархическая файловая система, наличие разнообразных средств взаимодействия процессов, в том числе межсетевого.

Серверные версии Linux

В настоящее время Linux весьма популярна в качестве серверной платформы, в том числе и для коммерческого применения. Список СУБД и серверов приложений для Linux довольно велик, ибо, будучи обеспокоенными ростом доли Windows на рынке серверных операционных систем, многие крупные производители аппаратного и программного обеспечения, в том числе Oracle, IBM, Hewlett-Packard, Novell, начали вкладывать немалые средства в развитие Linux, производить серверные приложения для Linux, готовые аппаратно-программные серверные решения на основе Linux, а также реализовывать совместимость с Linux в производимых ими коммерческих операционных системах — наиболее показательным примером здесь, пожалуй, является Novell Enterprise Server, построенный на основе Novell NetWare и SUSE Linux.

Из последних обновлений в области серверных версий Linux можно отметить новую линейку систем уровня предприятия от компании Mandrakelinux (Франция), производителя популярного в России и за рубежом дистрибутива Mandrakelinux. Входящие в нее продукты — многоцелевой сервер Mandrakelinux Corporate Server 3.0 и рабочая станция Mandrakelinux Corporate Desktop — отличаются от стандартных версий более длинным жизненным циклом (12-18 месяцев), гарантированным сопровождением в течение 5 лет, дополнительными приложениями, а также специальной программой технической поддержки. Наличие нескольких схем обслуживания позволяет выбрать тот вариант, который лучше всего удовлетворяет запросам конкретного пользователя. Так, на уровне Premium Support служба технической поддержки работает в режиме 24Ѕ7, а время реакции на телефонный звонок не превышает одного рабочего дня.

Одним из серьезных преимуществ ОС Linux является низкая стоимость ее приобретения. Правда, справедливости ради отметим, что, хотя эта операционная система является некоммерческим продуктом, дистрибутивы Linux, сертифицированные на совместимость с тем или иным аппаратным или программным обеспечением (например, с той или ной коммерческой СУБД), — обычно продукты коммерческие, нередко сравнимые по стоимости с аналогичными версиями Windows.

FreeBSD

FreeBSD — некоммерческая версия UNIX, доступная для 32- и 64-разрядных платформ Intel, DEC Alpha и ряда других. Основой FreeBSD послужил дистрибутив BSD UNIX, выпущенный группой исследования вычислительных систем Калифорнийского университета Беркли. Данная операционная система обладает модулями совместимости с приложениями других версий UNIX и динамически загружаемыми модулями ядра, позволяющими добавлять во время работы поддержку новых типов файловых систем, сетевых протоколов или эмуляторов без перегенерации ядра.

FreeBSD нередко используется Интернет-провайдерами, а также применяется в качестве операционной системы для корпоративных брандмауэров.

Solaris

Операционная система Sun Solaris входит в число самых известных коммерческих версий UNIX и представляет собой одну из наиболее популярных платформ для разработки корпоративных решений: для нее существует около 12 тыс. различных приложений, в том числе серверы приложений и СУБД почти всех ведущих производителей. Данная ОС доступна для платформ UltraSPARC и x86.

Solaris соответствует требованиям многих промышленных стандартов и отличается высокой масштабируемостью. Для подавляющего большинства приложений эта операционная система обеспечивает практически линейный рост производительности при увеличении числа процессоров за счет симметричных многопроцессорных вычислений. В состав 10-й версии Solaris входят такие ключевые приложения для создания корпоративной инфраструктуры, как сервер приложений, служба каталогов, средства доставки сообщений, Web-сервер, сервер для создания порталов, а также средства автоматического определения ошибок и самовосстановления, средства виртуализации, динамическая файловая система, расширенные средства безопасности.

HP-UX

ОС HP-UX, разработанная в компании Hewlett-Packard, является потомком AT&T System V. Ее последняя версия (11i) доступна для двух аппаратных платформ — PA_RISC и Intel Itanium — и ориентирована главным образом на серверы производства Hewlett-Packard.

Масштабируемость HP-UX 11i довольно высока: одна копия операционной системы поддерживает до 256 процессоров и кластеры до 128 узлов. Кроме того, данная платформа поддерживает подключение и отключение аппаратного обеспечения (в том числе и процессоров), а также резервное копирование без перезагрузки.

К особенностям HP-UX 11i, отличающим эту ОС от других платформ, можно отнести средства интеграции с Windows и Linux, в том числе для переноса в HP-UX Java-приложений, разработанных для этих платформ. Версия HP-UX 11i поддерживает Linux API, что позволяет осуществлять перенос приложений между HP-UX и Linux. В целом выбор программного обеспечения для данной операционной системы весьма широк — доступны J2EE-серверы и Web-серверы ведущих производителей, службы каталогов, серверные СУБД.

AIX

AIX является клоном UNIX производства IBM, предназначенным для выполнения на серверах IBM pSeries и RS/6000.

В числе характеристик AIX 5L — наличие полностью 64-разрядных ядер, драйверов устройств и среды исполнения приложений (при этом имеется и 32-разрядное ядро, равно как и поддержка 32-разрядных приложений), поддержка 256 Гбайт оперативной памяти, файлов объемом до 1 Тбайт, поддержка кластеров (до 32 компьютеров), удобные средства администрирования, наличие развитых средств сетевой поддержки, возможности автонастройки и автооптимизации с помощью управления мощностью и разгрузкой процессоров, системой упреждающего анализа неисправностей.

Как и HP-UX, операционная система AIX обладает совместимостью с Linux, что дает возможность переноса приложений между этими платформами.

Mac OS X Server

Серверная операционная система Mac OS X Server, основанная на BSD UNIX, была создана специалистами компании Apple совместно с рядом университетских ученых. В 1999 году версия Mac OS X Server была выпущена в виде продукта OpenSource, что позволило адаптировать Mac OS X для заказчиков, а также привлечь разработчиков к дальнейшему развитию этой ОС.

Mac OS X характеризуется наличием менеджера виртуальной памяти, возможностью полной изоляции приложений друг от друга, поддержкой многозадачности. Хотя в Mac OS X имеются средства, свойственные настольным платформам (эмулятор предыдущих версий Mac OS, средства работы с мультимедиаданными, почтовый клиент), она позиционируется в первую очередь как серверная платформа. Последняя версия этой операционной системы, Mac OS X Server version 10.4 Tiger, поддерживает выполнение 64-разрядных приложений, содержит средства совместимости с сетями на основе Windows, Linux, Mac OS, средства поддержки LDAP-каталогов различных производителей — в частности, Microsoft имеет в своем составе ряд продуктов для создания корпоративной инфраструктуры, например средства управления обновлениями, антивирусное ПО, сервер мгновенного обмена сообщениями.

Многие производители СУБД и серверов приложений уже выпустили для Mac OS X Server версии своих продуктов, но на данный момент доля серверов, работающих под управлением этой операционной системы, весьма незначительна.

NetWare и Open Enterprise Server

В начале 90-х годов Novell NetWare была доминирующей сетевой операционной системой и пользовалась заслуженной популярностью благодаря своей надежности. В настоящее время эта ОС довольно широко применяется, но уже не занимает лидирующих позиций на рынке серверных ОС. Сегодня эта операционная система в основном используется в качестве сетевого и файлового серверов, серверов печати и групповой работы (существует продукт для групповой работы Novell GroupWise, серверная часть которого выполняется под управлением NetWare). Кроме того, данную ОС можно использовать и в качестве сервера приложений, поскольку в ее состав входит J2EE-сервер Novell exteNd Application Server.

Novell NetWare характеризуется высокой степенью надежности и масштабируемости, отличным уровнем безопасности данных, устойчивостью к сбоям, способностью управлять большим количеством рабочих станций и внешних устройств.

Отметим, что компания Novell, помимо NetWare, выпускает и решение под названием Novell Open Enterprise Server, сочетающее в себе NetWare и SUSE LINUX Enterprise Server и содержащее в своем составе множество инфраструктурных приложений, характерных для обеих платформ, в частности СУБД MySQL, Web-сервер Apache, серверы приложений Tomcat и ExteNd.

Контрольные вопросы

1. Дать определение и характеристику основных режимов работы, дисциплин и режимов обслуживания заявок в вычислительных системах.

2. Дать определение и характеристику классов программных средств.

3. Изложить классификацию ОС.

4. Охарактеризовать основные принципы построения ОС.

5. Перечислить виды интерфейсов ОС. Охарактеризовать пакетную технологию как интерфейс. Дать описание интерфейса командной строки.

6. Дать описание графических интерфейсов. В каких ОС они применяются?

7. Охарактеризовать речевую технологию как интерфейс.

8. Охарактеризовать биометрическую технологию как интерфейс.

9. Охарактеризовать семантический интерфейс.

Список использованных источников

1. А. В. Гордеев. Операционные системы Издательство: Питер, 2009 г. 416 с.

2. Безопасность операционных систем : учебное пособие / А. А. Безбогов, А.В. Яковлев, Ю.Ф. Мартемьянов. - М. : "Издательство Машиностроение", 2007. - 220 с.

3. Олифер В.Г., Олифер Н.А. Сетевые операционные системы
Спб.: Издательский дом Питер, 2001

4. Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы Спб.: Издательский дом Питер, 2002

5. Операционная система UNIX. Издательство: БХВ-Петербург, 2007 г.

6. Операционные системы.Учебный курс. CD-ROM, 2006 г.

7. Снейдер Й. Эффективное программирование TCP/IP Издательский дом Питер, 2001

8. Соломон Д., Руссинович М. Внутреннее устройство Microsoft Windows 2000 СПб: Издательский дом Питер, М.: Русская редакция, 2001

9. Стивенс У. UNIX: Взаимодействие процессов
СПб: Издательский дом Питер, 2002

10. Стивенс У. UNIX: разработка сетевых приложений СПб: Издательский дом Питер, 2003

11. Таненбаум Э. Современные операционные системы СПб.: Издательский дом Питер, 2002

12. Таненбаум Э. Компьютерные сети СПб.: Издательский дом Питер, 2003

13. Таненбаум Э., Ван Стеен М. Распределенные системы. Принципы и парадигмы СПб.: Издательский дом Питер, 2003

14. Х. М. Дейтел, П. Дж. Дейтел, Д. Р. Чофнес. Операционные системы. Часть1. Основы и принципы. Издательство: Бином-Пресс, 2009 г. 1024 с.

15. Х. М. Дейтел, П. Дж. Дейтел, Д. Р. Чофнес. Операционные системы. Часть 2. Распределенные системы, сети, безопасность. Издательство: Бином-Пресс, 2009 г

16. http://vv303.narod.ru/files/inst/olifer/chapter1/default.htm#1

17. http://www.intuit.ru/department/network/mswinserver2003/

18. http://www.citforum.ru/operating_systems/unix/contents.shtml

Тема 3. Защита внутренней сеть и сотрудников компании от атак, основанных на использовании социотехники

Обзор

Для проведения атак злоумышленники, применяющие методы социотехники, эксплуатируют в своих целях доверчивость, лень, любезность и даже энтузиазм сотрудников организации. Защититься от таких атак непросто, поскольку их жертвы могут не подозревать, что их обманули, а даже если и подозревают, часто предпочитают не рассказывать об этом. Злоумышленники (люди, пытающиеся получить несанкционированный доступ к компьютерным системам), которые используют методы социотехники, преследуют, в общем, такие же цели, что и любые другие злоумышленники: им нужны деньги, информация или ИТ-ресурсы компании-жертвы.

Для этого злоумышленник, использующий методы социотехники, пытается убедить сотрудников компании предоставить ему информацию, обеспечивающую доступ к корпоративным системам или их ресурсам. Такой подход традиционно называют злоупотреблением доверием. Во многих компаниях малого и среднего размера считают, что для злоумышленников представляют интерес только крупные богатые корпорации. Возможно, раньше так и было, но нынешний рост киберпреступности свидетельствует о том, что теперь злоумышленники не гнушаются никакими способами получения выгоды, атакуя и крупные компании, и системы домашних пользователей. Злоумышленники могут красть средства или ресурсы непосредственно у атакуемой компании, но могут и использовать ее в качестве точки опоры для проведения атак на другие организации. Это осложняет расследование таких преступлений и поимку преступников.

Для защиты от атак, основанных на методах социотехники, нужно изучить их разновидности, понять, что нужно злоумышленнику, и оценить ущерб, который может быть причинен организации. Обладая этой информацией, можно интегрировать в политику безопасности меры защиты от атак, основанных на методах социотехники. В данном документе предполагается, что в организации принята политика безопасности, определяющая цели, методики и процедуры защиты корпоративных информационных активов, ресурсов и сотрудников от технологических и физических атак. Доработка корпоративной политики безопасности, поможет сотрудникам правильно реагировать на попытки заставить или убедить их предоставить доступ к корпоративным ресурсам или разгласить информацию, связанную с системой безопасности.

1. Угрозы, связанные с использованием методов социотехники, и способы защиты от них

Атаки, основанные на методах социотехники, можно разделить на пять основных направлений.

1. Сетевые атаки.

2. Телефонные атаки.

3. Поиск информации в мусоре.

4. Персональные подходы.

5. Обратная социотехника.

Кроме этого нужно также понимать, что рассчитывают получить злоумышленники. Злоумышленниками движут те же потребности, что и всеми людьми: деньги, социальный статус и самооценка. Иными словами, злоумышленники хотят получить чужие деньги или ресурсы, добиться признания в обществе или своей группе и возвысить себя в своих глазах. К сожалению, злоумышленники добиваются этих целей незаконными методами, воруя информацию или причиняя вред компьютерным системам. Любые атаки могут нанести компании ущерб в виде финансовых убытков, траты ресурсов, утечки информации, снижения работоспособности компании и урона ее репутации. При разработке мер защиты от соответствующих угроз следует сначала оценить последствия атаки.

Сетевые угрозы

В наше время персоналу компаний часто приходится использовать и обрабатывать электронные данные и запросы, полученные из внутренних и внешних источников. Благодаря этому злоумышленники могут налаживать отношения с сотрудниками компаний через Интернет, оставаясь при этом анонимными. В прессе регулярно появляются сообщения о сетевых атаках, основанных на использовании электронной почты, всплывающих приложений и служб мгновенного обмена сообщениями. При проведении таких атак для причинения вреда или несанкционированного использования компьютерных ресурсов часто применяются троянские программы, черви или вирусы, которые объединяют под названием «вредоносные программы». Начать борьбу со многими угрозами этого рода можно с внедрения надежных средств защиты от вирусов.

Примечание. Для получения информации о защите от вирусов обратитесь к документу «Руководство по комплексной защите от вирусов», который можно найти по адресу http://go.microsoft.com/fwlink/?linkid=28732 .

Злоумышленник, использующий методы социотехники, не пытается заразить корпоративную систему вредоносными программами в ходе прямой атаки. Вместо этого он обманным путем убеждает сотрудника компании предоставить ему нужную информацию, приводя обоснованные правдоподобные доводы. Полученную информацию злоумышленник может использовать для последующего проведения атак с помощью вредоносных программ, но к социотехнике это уже не относится. Сотрудники компании должны знать, как лучше всего определять и блокировать сетевые атаки, основанные на методах социотехники.

Угрозы, связанные с электронной почтой

Многие сотрудники ежедневно получают через корпоративные и частные почтовые системы десятки и даже сотни электронных писем. Разумеется, при таком потоке корреспонденции невозможно уделить должное внимание каждому письму. Это значительно облегчает проведение атак, основанных на методах социотехники. Большинство пользователей систем электронной почты спокойно относятся к обработке таких сообщений, воспринимая эту работу как электронный аналог перекладывания бумаг из одной папки в другую. Когда злоумышленник присылает по почте простой запрос, его жертва часто выполняет то, о чем ее просят, не задумываясь о своих действиях.

Например, злоумышленник может отправить сотруднику компании письмо, в котором говорится об указании начальника прислать ему все расписания выходных дней для организации встречи, отправив копию ответа всем пользователям, включенным в прилагаемый список. Злоумышленник может легко включить в этот список внешний адрес и подделать имя отправителя, чтобы казалось, что письмо получено из внутреннего источника. Подделать данные особенно легко, если у злоумышленника есть доступ к корпоративной компьютерной системе, потому что в этом случае ему не могут помешать брандмауэры, защищающие периметр сети. Утечка информации о расписании выходных дней подразделения не кажется угрозой безопасности, но на самом деле благодаря этому злоумышленник может узнать, кто из сотрудников компании и когда будет отсутствовать на своем рабочем месте. В это время злоумышленник сможет выдать себя за отсутствующего сотрудника с меньшим риском разоблачения.

В последнее десятилетие использование электронной почты в качестве средства проведения социотехнических атак приобрело очень высокую популярность. Получение личной или конфиденциальной информации у пользователей с помощью электронной почты называют фишингом. С этой целью злоумышленники могут использовать электронные письма, имитирующие письма реальных организаций, например банков и компаний-партнеров.

Например, на следующем рисунке показана на первый взгляд корректная ссылка на страницу управления учетной записью веб-узла компании Contoso.

Рис. 1. Фишинг: поддельная гиперссылка в электронном письме

Рис. 3. Фишинг: поддельная гиперссылка в электронном письме

Однако если приглядеться к ней внимательнее, можно заметить два несоответствия.

В тексте письма утверждается, что узел, на который указывает ссылка, защищен с помощью протокола https, тогда как по подсказке видно, что на самом деле при взаимодействии с этим узлом используется протокол http.

В тексте письма указано название компании Contoso, но на самом деле ссылка указывает на веб-узел компании Comtoso.

Используя фишинг, злоумышленник обычно действует наобум, просто запрашивая у пользователя информацию. Для придания правдоподобности таким письмам злоумышленники могут использовать в них корпоративные логотипы и шрифты и даже указывать реальные бесплатные телефоны службы поддержки. Информация у пользователей часто запрашивается под предлогом оказания помощи с обновлением систем или предоставления дополнительных услуг. Более продвинутой формой фишинга является направленный фишинг (spear-phishing) — атака, целью которой является конкретный сотрудник или группа сотрудников. Этот подход гораздо более сложен, поскольку в этом случае злоумышленник должен быть знаком с личными и важными корпоративными данными, чтобы его обман выглядел убедительно. Однако и вознаграждение злоумышленника при этом выше: добившись успеха, он получит более подробные и конкретные сведения.

Электронные письма могут содержать гиперссылки, склоняющие сотрудников к нарушению защиты корпоративной среды. Как показано на рис. 1, ссылки не всегда ведут на заявленные страницы. Есть целый ряд других вариантов фишинга с помощью электронной почты, в том числе применение изображений в качестве гиперссылок на вредоносные программы и включение текста в изображения ради обхода фильтров проверки гиперссылок.

Большинство мер по обеспечению безопасности направлены на предотвращение доступа неавторизованных пользователей к корпоративным ресурсам. Если, щелкнув присланную злоумышленником гиперссылку, пользователь загрузит в корпоративную сеть троянскую программу, вирус-червь или вирус, это позволит легко обойти многие виды защиты. Гиперссылка может также указывать на узел со всплывающими приложениями, запрашивающими данные или предлагающими помощь.

Для классификации атак и оценки риска, с которым сталкивается конкретная компания, можно использовать таблицу направлений, объектов и описаний атак и наносимого ими ущерба. Ниже показана именно такая таблица. С некоторыми угрозами связано сразу несколько факторов риска. Если это так, в приведенных ниже примерах главные факторы риска выделены жирным шрифтом.

Таблица 1.

Сетевые атаки, связанные с использованием электронной почты, и возможный ущерб от них

Цели атаки	Описание	Ущерб
Кража корпоративной информации	Выдавая себя за внутреннего пользователя, злоумышленник пытается получить корпоративную информацию.	Утечка конфиденциальной информации Урон репутации компании
Кража финансовой информации	Используя методы фишинга (или направленного фишинга), злоумышленник запрашивает конфиденциальную корпоративную информацию, такую как учетные записи.	Финансовые потери Утечка конфиденциальной информации Урон репутации компании
Загрузка вредоносного ПО	Злоумышленник обманным путем убеждает пользователя щелкнуть гиперссылку или открыть вложение, что приводит к заражению корпоративной сети.	Снижение работоспособности компании Урон репутации компании
Загрузка ПО злоумышленника	Злоумышленник обманным путем убеждает пользователя щелкнуть гиперссылку или открыть вложение, в результате чего загружается программа злоумышленника, потребляющая ресурсы корпоративной сети.	Трата ресурсов Урон репутации компании Финансовые потери

Как и в случае с другими разновидностями мошенничества, самым эффективным способом защиты от атак злоумышленников, основанных на методах социотехники, является скептическое отношение к любым неожиданным входящим письмам. Для распространения этого подхода в организации в политику безопасности следует включить конкретные принципы использования электронной почты, охватывающие перечисленные ниже элементы.

· Вложения в документы.

· Гиперссылки в документах.

· Запросы личной или корпоративной информации, исходящие изнутри компании.

· Запросы личной или корпоративной информации, исходящие из-за пределов компании.

Кроме того, в описание этих принципов следует включить примеры атак, основанных на фишинге. Ознакомившись с примерами, пользователям будет проще выявлять другие попытки фишинга.

Всплывающие приложения и диалоговые окна

Едва ли можно рассчитывать, что сотрудники компании не будут использовать корпоративные средства доступа в Интернет в своих личных целях. Совершая покупки в интернет-магазинах, разыскивая интересующую их информацию и решая другие личные задачи, сотрудники (а значит и компания) могут стать жертвами злоумышленников, использующими методы социотехники. Даже если злоумышленников не интересует эта конкретная компания, они могут попытаться получить через сотрудников доступ к корпоративным ресурсам. Одной из самых популярных целей таких атак является встраивание в корпоративную среду почтового механизма, который будет использоваться для фишинга или проведения иных типов почтовых атак на системы других компаний или пользователей.

На рис. 4 показана гиперссылка, якобы указывающая на защищенный узел (secure.contoso.com account_id?Amendments), в то время как в строке состояния отображается адрес сайта злоумышленника. Некоторые обозреватели Интернета позволяют злоумышленникам отключать отображение информации в строке состояния или изменять ее формат.

Рис. 2. Фишинг: веб-страница с поддельной гиперссылкой

Рис. 4. Фишинг: веб-страница с поддельной гиперссылкой

Чтобы убедить пользователя нажать кнопку в диалоговом окне, злоумышленники чаще всего отображают предупреждение о проблеме (например реалистичное сообщение об ошибке операционной системы или приложения) или предлагают дополнительные услуги, такие как возможность бесплатно загрузить программу, ускоряющую работу компьютера. Опытные пользователи обычно распознают в подобных ситуациях обман, однако людей, плохо знакомых с компьютерными технологиями и Интернетом, такие всплывающие приложения или диалоговые окна могут напугать или заинтересовать.

Таблица 2.

Сетевые атаки, связанные с использованием всплывающих приложений и диалоговых окон, и возможный ущерб от них

Цели атаки	Описание	Ущерб
Кража личной информации сотрудников	Злоумышленник запрашивает у сотрудника компании личную информацию.	Утечка конфиденциальной информации Финансовые потери (для сотрудника)
Загрузка вредоносного ПО	Злоумышленник обманным путем убеждает пользователя щелкнуть гиперссылку или открыть вложение.	Снижение работоспособности компании Урон репутации компании
Загрузка ПО злоумышленника	Злоумышленник обманным путем убеждает пользователя щелкнуть гиперссылку или открыть вложение.	Трата ресурсов Урон репутации компании Финансовые потери

Защита пользователей от социотехнических атак, основанных на использовании всплывающих приложений, сводится преимущественно к информированию. Для устранения самих причин проблемы можно заблокировать в обозревателе Интернета всплывающие окна и автоматическую загрузку файлов, однако полностью исключить отображение всех всплывающих окон в обозревателе не получится. Поэтому лучше убедить пользователей не щелкать никакие ссылки во всплывающих окнах без ведома специалистов службы поддержки. Чтобы этот подход оправдал себя, сотрудники службы поддержки не должны осуждать пользователей за подключение к Интернету без служебной надобности. На это можно повлиять, приняв соответствующую корпоративную политику использования Интернета в личных целях.

Служба мгновенного обмена сообщениями

Мгновенный обмен сообщениями — сравнительно новый способ передачи данных, однако он уже приобрел широкую популярность среди корпоративных пользователей, и некоторые аналитики прогнозируют, что число пользователей таких систем достигнет в 2006 году 200 миллионов. Из-за быстроты и легкости использования этот способ коммуникации открывает широкие возможности для проведения социотехнических атак: пользователи относятся к нему как к телефонной связи и не связывают с потенциальными программными угрозами. Двумя основными видами атак, основанных на использовании службы мгновенного обмена сообщениями, являются указание в теле сообщения ссылки на вредоносную программу и доставка самой программы. Конечно, мгновенный обмен сообщениями — это еще и один из способов запроса информации.

Мгновенный обмен сообщениями имеет несколько особенностей, которые облегчают проведение социотехнических атак. Одна из таких особенностей — его неформальный характер. В сочетании с возможностью присваивать себе любые имена этот фактор позволяет злоумышленнику гораздо легче выдавать себя за другого человека и значительно повышает его шансы на успешное проведение атаки, основанной на подделке данных.

Подделку данных при использовании электронной почты и служб мгновенного обмена сообщениями поясняет рис. 5.

Рис. 3. Подделка мгновенных сообщений и электронных писем

Рис. 5. Подделка мгновенных сообщений и электронных писем

Выдавая себя за другого известного пользователя, злоумышленник (красный) отправляет письмо или мгновенное сообщение, получатель которого считает, что получил его от известного ему человека. Знакомство с предполагаемым отправителем ослабляет внимание получателя, и он часто без всяких подозрений щелкает ссылку или открывает вложение, присланное злоумышленником. Большинство поставщиков услуг мгновенного обмена сообщениями позволяют идентифицировать пользователей по их адресу, благодаря чему злоумышленник, определив используемый в компании стандарт адресации, может инициировать с помощью службы мгновенного обмена сообщениями виртуальное знакомство с другими сотрудниками компании. Само по себе это не представляет угрозы, но значительно расширяет диапазон сотрудников и систем, которые могут подвергнуться атакам.

Таблица 3.

Атаки, связанные с использованием службы мгновенного обмена сообщениями, и возможный ущерб от них

Цели атаки	Описание	Ущерб
Получение конфиденциальной корпоративной информации	Подделывая мгновенные сообщения, злоумышленник выдает себя за сотрудника компании, чтобы запросить корпоративную информацию.	Утечка конфиденциальной информации Урон репутации компании
Загрузка вредоносного ПО	Злоумышленник обманным путем убеждает пользователя щелкнуть гиперссылку или открыть вложение, что приводит к заражению корпоративной сети.	Снижение работоспособности компании Урон репутации компании
Загрузка ПО злоумышленника	Злоумышленник обманным путем убеждает пользователя щелкнуть гиперссылку или открыть вложение, в результате чего происходит загрузка программы злоумышленника (например почтового механизма), потребляющей ресурсы корпоративной сети.	Трата ресурсов Урон репутации компании Финансовые потери

Если компания намерена использовать возможности сокращения расходов и другие преимущества, обеспечиваемые мгновенным обменом сообщениями, необходимо предусмотреть в корпоративных политиках безопасности механизмы защиты от соответствующих угроз. Для получения надежного контроля над мгновенным обменом сообщениями в корпоративной среде выполните пять следующих требований.

· Выберите одну платформу для мгновенного обмена сообщениями. Это облегчит работу службы поддержки и уменьшит вероятность того, что сотрудники будут пользоваться аналогичными службами других поставщиков. Если нужно надежнее ограничить имеющийся у пользователей выбор, можно заблокировать порты, используемые популярными службами мгновенного обмена сообщениями.

· Определите параметры защиты, задаваемые при развертывании службы мгновенного обмена сообщениями. Клиентские модули систем мгновенного обмена сообщениями поддерживают различные параметры конфигурирования функций обеспечения безопасности и конфиденциальности, таких как поиск вирусов.

· Определите принципы установления новых контактов. Порекомендуйте пользователям не принимать по умолчанию любые приглашения к общению.

· Задайте стандарты выбора паролей. Потребуйте от сотрудников, чтобы их пароли к службе обмена сообщениями соответствовали стандартам выбора надежных паролей, которые приняты для паролей, служащих для входа в систему.

· Составьте рекомендации по использованию службы мгновенного обмена сообщениями. Сформулируйте для пользователей службы мгновенного обмена сообщениями оптимальные принципы работы с ней, подкрепив рекомендации обоснованными доводами.

Угрозы, связанные с использованием телефона

Телефонная связь обеспечивает уникальные возможности для проведения социотехнических атак. Это очень привычное и в то же время обезличенное средство общения, поскольку жертва не может видеть злоумышленника. Коммуникационные функции, поддерживаемые большинством компьютерных систем, могут также сделать привлекательной мишенью корпоративные телефонные станции. Еще одним видом атак (весьма грубым) является кража ПИН-кодов кредитных и телефонных карт через телефонные будки. Чаще всего при этом крадется личная информация конкретных людей, но иногда злоумышленникам удается раздобыть таким способом и ПИН-коды корпоративных кредитных карт. Большинство людей довольно осторожны при вводе ПИН-кодов в банкоматы, но при пользовании общественными телефонами многие из них ведут себя более беспечно.

Средства голосовой связи через Интернет (VoIP) могут обеспечить компаниям значительную экономию, и их рынок быстро развивается. В настоящее время из-за сравнительно небольшого числа таких систем атаки на них не рассматриваются в качестве серьезной угрозы. Однако можно ожидать, что по мере роста популярности этой технологии подделка пакетов VoIP станет такой же распространенной, как и подделка писем и мгновенных сообщений.

Корпоративные телефонные станции

Злоумышленник, атакующий корпоративную телефонную станцию, может преследовать три основные цели.

1. Запросить информацию (как правило, выдавая себя за легального пользователя), обеспечивающую доступ к самой телефонной системе или позволяющую получить удаленный доступ к компьютерным системам.

2. Получить возможность совершать бесплатные телефонные звонки.

3. Получить доступ к коммуникационной сети.

Все эти цели объединяет общий сценарий: злоумышленник звонит в компанию и пытается узнать телефонные номера, позволяющие получить доступ к самой корпоративной телефонной станции или опосредованный доступ через нее к телефонной сети общего пользования. Сами злоумышленники называют взлом телефонных систем словом «фрикинг» (phreaking). Как правило, телефонные злоумышленники представляются инженерами по обслуживанию телефонных систем и запрашивают у сотрудника компании внешнюю линию или пароль якобы для анализа и устранения проблем с внутренней телефонной системой (см. рис. 6).

Рис. 4. Атаки на корпоративную телефонную станцию

Рис. 5. Атаки на корпоративную телефонную станцию

Запрос информации или доступа по телефону — сравнительно неопасный для злоумышленника вид атаки. Если жертва начинает что-то подозревать или отказывается выполнять запрос, злоумышленник может просто повесить трубку. Помните, однако, что в реальной жизни эти атаки бывают довольно изощренными. Злоумышленник не просит напрямую сказать ему идентификатор пользователя и пароль. Обычно он описывает правдоподобную ситуацию, прося о помощи или наоборот, предлагая ее, и лишь потом запрашивает личную или деловую информацию, как бы чуть не забыв об этом.

Таблица 4.

Атаки, связанные с использованием корпоративной телефонной станции, и возможный ущерб от них

Цели атаки	Описание	Ущерб
Получение корпоративной информации	Выдавая себя за легального пользователя, злоумышленник пытается получить конфиденциальную информацию.	Утечка конфиденциальной информации Урон репутации компании
Получение информации о телефонной системе	Выдавая себя за инженера по обслуживанию телефонных систем, злоумышленник пытается получить доступ к корпоративной телефонной станции с целью совершения внешних телефонных звонков.	Трата ресурсов Финансовые потери
Использование корпоративной телефонной станции для доступа к компьютерным системам	Используя корпоративную телефонную станцию, злоумышленник получает доступ к компьютерным системам для кражи или изменения информации, заражения систем вредоносным ПО или использования ресурсов в своих целях.

Большинство пользователей ничего не знают о внутренней телефонной системе компании, исключая, конечно, сам телефон. Это и есть самый важный рубеж защиты, который можно определить в политике безопасности и который в своих целях часто пытаются использовать злоумышленники. Чаще всего жертвами при этом являются сотрудники приемной или сотрудники, работающие с коммутатором. В политике нужно указать, что только специалисты службы поддержки имеют право оказывать помощь по телефону. Благодаря этому все обращения за технической помощью будут обрабатывать только авторизованные сотрудники. Этот подход позволяет также организовать быстрое и эффективное перенаправление таких запросов квалифицированным специалистам.

Служба поддержки

Служба поддержки — один из главных механизмов защиты от обычных злоумышленников и в то же время частая мишень злоумышленников, использующих методы социотехники. Многие сотрудники служб поддержки знают и помнят об угрозах, но сама суть их работы предполагает, что они должны оказывать пользователям помощь и давать рекомендации. Иногда энтузиазм специалистов служб технической поддержки превосходит их готовность следовать процедурам обеспечения безопасности, и тогда возникает проблема. Если они решат строго соблюдать стандарты безопасности, запрашивая у пользователей подтверждения их подлинности, они могут показаться бесполезными или даже произвести неприятное впечатление. Сотрудники производственных отделений или менеджеры по продажам и маркетингу, считающие, что ИТ-отделение не удовлетворило их требования, склонны жаловаться; руководителям высшего звена также часто не нравится дотошность службы поддержки, если они сталкиваются с ней сами.

Таблица 5.

Телефонные атаки на службу поддержки и возможный ущерб от них

Цели атаки

Описание

Ущерб

Получение информации

Выдавая себя за легального пользователя, злоумышленник пытается получить деловую информацию.

Утечка конфиденциальной информации

Получение доступа

Выдавая себя за легального пользователя, злоумышленник пытается получить доступ к корпоративным системам.

Утечка конфиденциальной информации

Урон репутации компании

Снижение работоспособности компании

Трата ресурсов

Финансовые потери

Службе поддержки следует найти баланс между безопасностью и эффективностью работы и отразить достигнутый компромисс в политиках и процедурах безопасности. Едва ли, например, кто-нибудь из сотрудников будет протестовать, если при обращении в службу поддержки его попросят назвать свой номер, отделение и фамилию начальника. Конечно, это недостаточно надежная защита, так как злоумышленник может украсть эту информацию, но для начала и этот подход неплох. На самом деле единственным методом идентификации с точностью 99,99 % является тест ДНК, использовать который явно не представляется возможным.

Защитить службу поддержки от атак со стороны внутреннего сотрудника или подрядчика сложнее. Злоумышленники из их числа хорошо разбираются во внутренних процедурах компании и будут действовать наверняка, собрав перед обращением в службу поддержки всю необходимую информацию. Процедуры обеспечения безопасности должны выполнять в таких ситуациях две следующих функции.

Служба поддержки должна гарантировать, что все действия пользователей, обращающихся за помощью, регистрируются. Если, обратившись в службу поддержки, злоумышленник возможность несанкционированного доступа к данным и ресурсам, регистрация его действий позволит быстро заблокировать атаку и ограничить причиненный ущерб. Кроме того, при каждом обращении в службу поддержки целесообразно генерировать автоматически или создавать вручную почтовое сообщение с описанием проблемы или запроса и отправлять его заинтересованным лицам. Это поможет сотруднику, у которого украли учетные данные, понять, что произошло, и обратиться в службу поддержки.

Служба поддержки должна утвердить структурированную процедуру обработки разных типов запросов. Например, если запрашивать изменения прав доступа для сотрудника должен будет по электронной почте его начальник, это исключит несанкционированные или неформальные изменения уровней безопасности.

Если пользователи будут знать эти правила, а руководители поддержат их реализацию, злоумышленникам будет гораздо труднее проводить атаки и оставаться безнаказанными. Полный аудиторский контроль — самое эффективное средство обнаружения и предотвращения нарушений законов и корпоративных норм.

Угрозы, связанные с утилизацией мусора

Несанкционированный анализ мусора — или, как это еще называют, «ныряние в мусорные контейнеры» — часто позволяет злоумышленникам получить ценную информацию. Бумажные отходы компании могут содержать сведения, которые злоумышленник может использовать напрямую (например номера учетных записей и идентификаторы пользователей) или которые облегчают ему проведение дальнейших атак (списки телефонов, схемы структуры организации и т. д.). Для злоумышленника, использующего социотехнику, сведения второго типа особенно ценны, потому что они помогают ему проводить атаки, не вызывая подозрения. Например, зная имена и фамилии людей, работающих в определенном подразделении компании, злоумышленник имеет гораздо больше шансов при поиске подхода к ее сотрудникам, большинству из которых будет легко поверить, что человек, так много знающий о компании, является их коллегой.

Электронные средства хранения информации бывают для злоумышленников еще более полезными. Если в компании не действуют правила сбора отходов, предусматривающие утилизацию списанных носителей данных, на выброшенных жестких дисках, компакт-дисках и дисках DVD можно найти самые разнообразные сведения. Современные электронные носители данных надежны и долговечны, поэтому службы, отвечающие за защиту ИТ-систем, должны обеспечить соблюдение политик, предусматривающих уничтожение этих носителей или стирание хранящихся на них данных.

Таблица 6.

Атаки, основанные на поиске информации в мусоре, и возможный ущерб от них

Цели атаки	Описание	Ущерб
Бумажный мусор в мусорных корзинах, расположенных вне организации	Изучая документы, извлеченные из внешних мусорных контейнеров, злоумышленник узнает важную корпоративную информацию.	Утечка конфиденциальной информации Урон репутации компании
Бумажный мусор в мусорных корзинах, расположенных внутри организации	Обходя принятые в организации принципы управления внешним мусором, злоумышленник ворует документы из мусорных корзин, расположенных в самой организации.	Утечка конфиденциальной информации Урон репутации компании
Выброшенные электронные носители	Злоумышленник ворует данные и приложения, хранящиеся на выброшенных электронных носителях, и сами носители.	Утечка конфиденциальной информации Трата ресурсов Урон репутации компании

Сотрудники компании должны понимать все последствия, к которым может привести выбрасывание бумажных документов или электронных носителей информации в мусорную корзину. Как только мусор покидает территорию компании, ее права могут больше на него не распространяться. Само по себе «ныряние в мусоре» не всегда является чем-то незаконным, поэтому сотрудники компании должны знать, что нужно делать с мусором. Бумажный мусор всегда следует измельчать в бумагорезательных машинах, а электронный — уничтожать или стирать записанные на нем данные. Если какие-либо документы (например телефонный справочник) из-за размеров или жесткости невозможно измельчить в бумагорезательной машине либо у пользователя нет технической возможности это сделать, нужно определить специальную процедуру избавления от них. Мусорные контейнеры следует размещать в защищенной области, недоступной посторонним лицам.

При разработке политики утилизации мусора важно убедиться в том, что соблюдены все местные санитарные нормы и нормы безопасности. По мере возможности следует выбирать экологически чистые способы утилизации мусора.

Кроме внешнего мусора — бумажных или электронных отходов, доступных посторонним лицам, — есть еще и внутренний, который тоже нужно контролировать. При определении политик безопасности это часто упускают из виду, предполагая, что любому, кто имеет доступ на объекты компании, можно доверять. Ясно, что это не всегда так. Одной из самых эффективных мер по управлению бумажным мусором является классификация данных. Для этого следует определить разные категории бумажных документов и способы их утилизации. Ниже перечислены примеры таких категорий.

Конфиденциальная корпоративная информация. Прежде чем выбросить какие-либо документы с конфиденциальной корпоративной информацией в какую угодно мусорную корзину, их необходимо измельчить в бумагорезательной машине.

Закрытая информация. Прежде чем выбросить какие-либо документы с закрытой информацией в какую угодно мусорную корзину, их необходимо измельчить в бумагорезательной машине.

Информация отделения. Прежде чем выбросить какие-либо документы с информацией отделений компании в общедоступный мусорный контейнер, их необходимо измельчить в бумагорезательной машине.

Открытая информация. Документы с открытой информацией можно выбрасывать в любые мусорные корзины и контейнеры или сдавать на переработку как макулатуру.

Для получения дополнительных сведений о классификации данных обратитесь к статье «Техническое руководство по организации системы безопасности» в журнале Microsoft® TechNet, по адресу http://go.microsoft.com/fwlink/?linkid=37696 (данная ссылка может указывать на содержимое полностью или частично на английском языке).

Персональные подходы

Самый простой и дешевый для злоумышленника способ получить нужную ему информацию — непосредственно запросить ее. Каким бы грубым и банальным этот способ ни казался, он неизменно остается главным в арсенале злоумышленников, использующих методы социотехники. Для получения информации с помощью этого способа злоумышленники используют четыре стратегии.

Запугивание. Злоумышленники, выбравшие эту стратегию, часто заставляют жертву выполнить запрос, выдавая себя за лиц, облеченных властью.

Убеждение. Самые популярные формы убеждения — лесть и ссылки на известных людей.

Вызов доверия. Этот подход обычно требует достаточно длительного времени и связан с формированием доверительных отношений с коллегой или начальником ради получения у него в конечном итоге нужной информации.

Помощь. Злоумышленник, выбравший этот подход, предлагает сотруднику компании помощь, для оказания которой якобы нужна личная информация сотрудника. Получив эту информацию, злоумышленник крадет идентификационные данные жертвы.

В контексте социотехники интересен тот факт, что большинство людей, признавая, что сами иногда лгут, исходят из того, что другие всегда говорят им правду. (The Lying Ape: An Honest Guide to a World of Deception, Brian King, Icon Books Limited). Безоговорочное доверие — одна из целей злоумышленника, использующего методы социотехники.

Защитить пользователей от атак, основанных на описанных персональных подходах, очень сложно. Некоторые пользователи в силу своего характера имеют больше шансов стать жертвами атак, основанных на каком-либо из четырех этих подходов. Защититься от атак, основанных на запугивании, можно, способствуя формированию корпоративной культуры, исключающей страх. Если сотрудники компании всегда ведут себя вежливо и учтиво, запугивание не позволит злоумышленнику добиться желаемого, потому что подвергшийся атаке сотрудник скорее всего сообщит об этом начальству. Благожелательное отношение к сотрудникам со стороны руководства и надзор за процедурой решения проблем и принятия решений — худшее, с чем может столкнуться злоумышленник, использующий методы социотехники. Ему нужно, чтобы жертвы атак принимали решения быстро. Если в компании принято докладывать о проблемах руководителям, злоумышленник этого не добьется.

Убеждение всегда было важным способом достижения личных целей. Полностью исключить вероятность успешного проведения атак, основанных на убеждении, нельзя, но сотрудникам можно дать четкие указания по поводу того, что им следует делать, а что не следует. Пытаясь получить конфиденциальную информацию методом убеждения, злоумышленники всегда представляют тот или иной сценарий, предполагающий, что пользователь сообщит ее добровольно. Регулярное проведение информационных кампаний и определение базовых принципов использования паролей и других средств обеспечения безопасности — лучшая защита от подобных атак.

Чтобы войти в доверие к сотрудникам компании, злоумышленнику нужно время. Злоумышленник должен регулярно общаться с сотрудниками, что значительно легче, если он работает вместе с ними. В большинстве компаний среднего размера основным источником таких угроз являются работники, регулярно оказывающие компании какие-либо услуги или работающие по контракту. Поэтому отдел кадров должен уделять подбору сотрудников, работающих по контракту, не меньше внимания, чем найму постоянных сотрудников. Основную часть этой работы можно делегировать кадровому агентству. Для гарантии того, что агентство справится с этой задачей, можно потребовать, чтобы им были соблюдены принятые в компании политики подбора постоянных сотрудников. Если есть подозрение, что на постоянную работу в компанию устроился злоумышленник, использующий методы социотехники, лучшими способами защиты от него являются информирование сотрудников и соблюдение ими политики информационной безопасности.

Наконец, вероятность успешного проведения атак, основанных на злоупотреблении взаимопомощью, можно свести к минимуму, обеспечив высокую эффективность работы службы поддержки. Зачастую сотрудники обращаются за помощью к коллегам из-за неудовлетворенности услугами имеющейся службы поддержки. Чтобы гарантировать, что в случае проблем сотрудники будут обращаться в службу поддержки, а не к коллегам или, хуже того, к внешним специалистам, необходимо выполнить два условия.

Укажите в политике безопасности, что при возникновении проблем пользователи могут запрашивать помощь только у специалистов службы поддержки и ни у кого больше.

Убедитесь в том, что для службы поддержки определена процедура реагирования на проблемы, отраженная в принятом для отделения компании соглашении об уровне обслуживания. Регулярно проводите аудит эффективности работы службы поддержки, проверяя, чтобы пользователи получали всю необходимую помощь.

Служба поддержки — важный механизм защиты от социотехнических атак, который не стоит недооценивать.

Виртуальные методы

Для проведения атаки, основанной на социотехнике, злоумышленнику нужно установить контакт с жертвой. Как правило, для этого он использует электронные способы взаимодействия, такие как электронная почта или всплывающие окна. Из-за увеличения числа нежелательных писем, получаемых большинством пользователей, эффективность этого метода атак снизилась, так как пользователи стали более скептически относиться к письмам, присланным по цепочке, и предложениям принять участие в «законных» прибыльных финансовых операциях. И все же, несмотря на сравнительную неэффективность этого метода, объем нежелательной корреспонденции и многочисленные попытки проведения атак с помощью троянских почтовых программ говорят о том, что некоторые злоумышленники не спешат отказываться от старых методик. В большинстве случаев эти атаки направлены на конкретных людей и проводятся с целью получения идентификационных данных жертвы. Однако из-за частого использования корпоративных компьютеров, средств доступа в Интернет и других бизнес-систем в личных целях такие атаки представляют угрозу и для компаний.

Телефонные технологии позволяют злоумышленникам устанавливать более личные, но менее массовые контакты с жертвами. Из-за низкой вероятности ареста некоторые злоумышленники рассматривают телефон как одно из главных средств социотехнических атак, но область применения этого метода во многом ограничена атаками на корпоративную телефонную станцию и службу поддержки. Это объясняется тем, что большинство пользователей с подозрением относятся к звонкам с запросами информации, исходящим от незнакомцев.

Физические методы

Менее популярным, но более эффективным для злоумышленника способом подготовки к проведению атаки является установление непосредственного личного контакта с жертвой. Только самые недоверчивые сотрудники способны усомниться в искренности человека, лично просящего помощи в решении компьютерных проблем или предлагающего такую помощь. Хотя такие способы связаны для злоумышленника с гораздо большим риском, они обеспечивают ему ряд преимуществ. В случае успеха он получает свободный доступ к корпоративным системам изнутри компании, обойдя все технические средства защиты периметра.

Другой серьезной угрозой для компаний является распространение мобильных технологий, позволяющих пользователям подключаться к корпоративным сетям дома и в пути. Это делает возможными самые разные атаки: от совсем простых, основанных на наблюдении за тем, как пользователь вводит в ноутбук идентификатор и пароль, до довольно сложных, при которых злоумышленник, выдавая себя за услужливого сотрудника службы поддержки, приносит и устанавливает обновление для устройства чтения карт или маршрутизатора, попутно попросив у пользователя идентификатор и пароль для доступа к корпоративной сети (а иногда еще и чашечку кофе). Идущий до конца злоумышленник может даже попросить и получить от пользователя электронную подпись, используемую для проверки его полномочий. В качестве другого примера атак этого рода можно привести использование оплаченных компанией ресурсов для доступа в Интернет через незащищенную беспроводную сеть.

Хотя в большинстве крупных компаний имеется развитая инфраструктура ограничения доступа на корпоративные объекты, в компаниях малого и среднего размера этим часто пренебрегают. Это обеспечивает возможность проведения очень простых социотехнических атак, основанных на несанкционированном проникновении в офисное здание вместе с сотрудником компании, имеющим пропуск. Злоумышленник придерживает дверь перед законным пользователем, заводит с ним разговор на какую-нибудь банальную тему и проходит вместе с ним через пропускной пункт, не вызывая подозрения у контролеров. Для атак на крупные компании, сотрудники которых могут пройти в здание только через турникеты, считывающие данные с электронных карт, и малые организации, где все друг друга знают, этот подход не годится. Однако для атак на компании, насчитывающие около тысячи сотрудников, далеко не всегда знакомых друг с другом, он подходит как нельзя лучше. Если злоумышленнику ранее удалось получить корпоративную информацию, например названия подразделений, фамилии сотрудников или данные из внутренних служебных записок, ему будет проще завязать разговор.

Обеспечение безопасности систем сотрудников, работающих дома, обычно ограничивается техническими средствами. Политика безопасности должна требовать, чтобы домашние системы этих сотрудников были защищены брандмауэрами, блокирующими попытки злоумышленников получить доступ к сети извне. Других требований к обеспечению безопасности и даже резервному копированию данных, выполняемому сотрудниками дома, в большинстве компаний среднего размера нет.

Таблица 7.

Атаки, основанные на физическом доступе, и возможный ущерб от них

Цели атаки	Описание	Ущерб
Кража учетных данных мобильного пользователя	Злоумышленник подсматривает, как легальный пользователь вводит в систему учетные данные или другие сведения. Это может предшествовать краже мобильного компьютера.	Утечка конфиденциальной информации
Кража учетных данных сотрудника, работающего дома	Злоумышленник представляется специалистом службы поддержки, чтобы получить доступ к сети пользователя, работающего дома, и запрашивает у пользователя идентификатор и пароль якобы для тестирования обновленной конфигурации системы.	Утечка конфиденциальной информации
Вход в корпоративную сеть через сеть сотрудника, работающего дома.	Выдавая себя за представителя службы поддержки, злоумышленник получает доступ к сети сотрудника, работающего дома, и использует ее для подключения к корпоративной сети. В случае успеха злоумышленник получает свободный доступ к сети и ресурсам компании.	Утечка конфиденциальной информации Урон репутации компании Снижение работоспособности компании Трата ресурсов Финансовые потери
Текущий доступ к сети сотрудника, работающего дома	Злоумышленник или локальный пользователь получает доступ в Интернет по широкополосному соединению, используя для этого незащищенную домашнюю сеть другого пользователя.	Трата ресурсов
Доступ в офисное здание компании без сопровождения	Злоумышленник проникает в офисное здание компании вслед за авторизованным сотрудником.	Утечка конфиденциальной информации Урон репутации компании Снижение работоспособности компании Финансовые потери Трата ресурсов
Доступ в офис сотрудника компании	Злоумышленник получает доступ в офис сотрудника компании, где пытается воспользоваться компьютерным оборудованием или найти интересующие его сведения в бумажных документах.	Утечка конфиденциальной информации Трата ресурсов Финансовые потери

Защита от этих угроз во многом сводится к реализации оптимальных методик работы на основе эффективной корпоративной политики безопасности, которая должна охватывать три области:

· здание компании;

· домашние системы;

· мобильные системы, используемые для работы.

Возможность проникновения в здание или на объект компании без прохождения авторизации должна быть исключена. Взаимодействуя с работниками компании, подрядчиками и посетителями, служащие приемной должны быть вежливыми, но непреклонными. Включив в корпоративную политику безопасности несколько простых принципов, вероятность проведения социотехнических атак в здании можно свести практически к нулю. Эти принципы могут определять перечисленные ниже требования.

Использование идентификационных карт с фотографиями, демонстрируемых каждый раз при входе в здание компании и выходе из него.

Ведение книги учета посетителей, в которой посетитель и сотрудник, к которому он явился, должны поставить свои подписи при прибытии посетителя и его уходе.

Применение датированных пропусков посетителей, прикрепляемых на одежду в видном месте и возвращаемых служащему приемной при выходе из здания.

Ведение книги учета подрядчиков, в которой подрядчик и сотрудник компании, утвердивший его рабочее задание, должны поставить свои подписи при прибытии подрядчика и его уходе.

Применение датированных пропусков подрядчиков, прикрепляемых на одежду в видном месте и возвращаемых служащему приемной при выходе из здания.

Чтобы гарантировать, что все посетители будут представляться служащему приемной, нужно организовать барьеры, не позволяющие проникнуть в здание компании без его ведома и без выполнения регистрационных процедур. Использовать для этого турникеты или что-либо подобное необязательно.

Например, для организации потока посетителей через приемную можно использовать диван (см. рис. 7).

Рис. 7. Два плана приемной

План, показанный слева, облегчает несанкционированное проникновение на территорию компании, позволяя злоумышленнику скрыться за подлинным сотрудником компании. Если же доступ в компанию организован по изображенной справа схеме, никакой посетитель не сможет пройти мимо стола служащего приемной незамеченным. Кроме того, в этом случае компьютер не ограничивает имеющийся у служащего приемной обзор. Проход на территорию компании нужно сделать достаточно широким, чтобы посетители, в том числе люди в инвалидных колясках, не испытывали никаких неудобств. Встречая и регистрируя каждого посетителя, служащие приемной должны вести себя профессионально и последовательно. Каждый вход в здание компании нужно привести в соответствие этим стандартам, запретив сотрудникам использование других входов и выходов — любые черные ходы должны отсутствовать.

При установке каких-либо барьеров или пропускных систем необходимо убедиться, что соблюдены все санитарные нормы, правила техники безопасности и права инвалидов.

Что касается домашних систем, то реализовать в них средства авторизации всех гостей и коммивояжеров невозможно. Однако на самом деле большинство людей при визите посетителей к ним домой ведут себя гораздо более осмотрительно, чем в такой же ситуации на работе. Таким образом, важнее гарантировать, что злоумышленник не сможет получить доступ к корпоративным ресурсам. Протокол оказания ИТ-услуг вне территории компании должен включать следующие правила.

Все услуги технической поддержки, в том числе восстановление работоспособности систем и обновление их конфигурации на местах, должны планироваться и утверждаться службой поддержки.

Подрядчики и штатные сотрудники, устанавливающие или обслуживающие системы на местах, должны иметь удостоверения, желательно с фотографией.

Пользователи должны сообщать в службу поддержки время прибытия и отъезда ее представителя.

На каждое задание должен выдаваться наряд на работу, подписываемый пользователем.

Пользователи никогда не должны сообщать специалисту службы поддержки свои учетные данные или регистрироваться в системе ради того, чтобы он мог получить доступ к тем или иным ресурсам.

Последний пункт заслуживает особого внимания. Предоставлять специалистам по поддержке систем информацию, достаточную для выполнения работы, должен отдел обслуживания ИТ-систем. Если у инженера, прибывшего к пользователю, нет нужных прав доступа, он должен обратиться в службу поддержки. Это требование очень важно, потому что скромная должность сотрудника компании, занимающейся обслуживанием компьютеров, как нельзя лучше подходит для проведения атак. Она позволяет злоумышленнику демонстрировать свою принадлежность к официальным техническим службам и в то же время предлагать помощь.

Мобильные сотрудники часто используют свои компьютеры в поездах, аэропортах, ресторанах и других людных местах. Ясно, что исключить возможность наблюдения за сотрудником в таких условиях нельзя, но в корпоративную политику безопасности все равно нужно включить рекомендации по уменьшению риска кражи личной и корпоративной информации таким способом. Если сотрудники компании используют карманные ПК, в политике безопасности следует определить принципы управления защитой этих систем и синхронизации данных.

Обратная социотехника

Об обратной социотехнике говорят тогда, когда жертва или жертвы сами предлагают злоумышленнику нужную ему информацию. Это может показаться маловероятным, но на самом деле лица, обладающие авторитетом в технической или социальной сфере, часто получают идентификаторы и пароли пользователей и другую важную личную информацию просто потому, что никто не сомневается в их порядочности. Например, сотрудники службы поддержки никогда не спрашивают у пользователей идентификатор или пароль; им не нужна эта информация для решения проблем. Однако многие пользователи ради скорейшего устранения проблем добровольно сообщают эти конфиденциальные сведения. Злоумышленнику даже не нужно спрашивать об этом. Тем не менее, социотехнические атаки в большинстве случаев инициируются злоумышленником.

Обычно злоумышленник, использующий методы социотехники, создает проблемную ситуацию, предлагает решение и оказывает помощь, когда его об этом просят. Рассмотрим следующий простой сценарий.

Злоумышленник, работающий вместе с жертвой, изменяет на ее компьютере имя файла или перемещает его в другой каталог. Когда жертва замечает пропажу файла, злоумышленник заявляет, что может все исправить. Желая быстрее завершить работу или избежать наказания за утрату информации, жертва соглашается на это предложение. Злоумышленник заявляет, что решить проблему можно, только войдя в систему с учетными данными жертвы. Он даже может сказать, что корпоративная политика запрещает это. Теперь уже жертва просит злоумышленника войти в систему под ее именем, чтобы попытаться восстановить файл. Злоумышленник неохотно соглашается и восстанавливает файл, а по ходу дела крадет идентификатор и пароль жертвы. Успешно осуществив атаку, он даже улучшил свою репутацию, и вполне возможно, что после этого к нему будут обращаться за помощью и другие коллеги. Этот подход не пересекается с обычными процедурами оказания услуг поддержки и осложняет поимку злоумышленника.

Не все атаки, основанные на обратной социотехнике, требуют, чтобы злоумышленник был знаком с жертвой или хотя бы встретился с ней. Добиться своего злоумышленник может, имитируя проблемы с помощью диалоговых окон. Как правило, при такой атаке на экране компьютера жертвы отображается окно с уведомлением о проблеме или необходимости обновления конфигурации системы. В этом же окне приводится ссылка на соответствующее обновление или исправление. После загрузки и установки файла сфабрикованная проблема исчезает, и пользователь продолжает работу, не подозревая о том, что он установил вредоносную программу.

Таблица 8.

Атаки, основанные на методах обратной социотехники, и возможный ущерб от них

Цели атаки	Описание	Ущерб
Кража учетных данных	Злоумышленник получает идентификатор и пароль авторизованного пользователя.	Утечка конфиденциальной информации Урон репутации компании Снижение работоспособности компании Финансовые потери Трата ресурсов
Кража информации	Используя идентификатор и пароль авторизованного пользователя, злоумышленник получает доступ к файлам компании.	Утечка конфиденциальной информации Финансовые потери Трата ресурсов Урон репутации компании Снижение работоспособности компании
Загрузка вредоносного ПО	Злоумышленник обманным путем убеждает пользователя щелкнуть гиперссылку или открыть вложение, что приводит к заражению корпоративной сети.	Снижение работоспособности компании Урон репутации компании
Загрузка ПО злоумышленника	Злоумышленник обманным путем убеждает пользователя щелкнуть гиперссылку или открыть вложение, в результате чего происходит загрузка программы злоумышленника (например почтового механизма), потребляющей ресурсы корпоративной сети.	Трата ресурсов Урон репутации компании Финансовые потери

Защититься от атак, основанных на обратной социотехнике, наверное, сложнее всего. У жертвы нет оснований подозревать злоумышленника в чем-либо, так как при таких атаках создается впечатление, что ситуация находится под ее контролем. Главным способом защиты от атак, основанных на обратной социотехнике, является включение в политику безопасности принципа, требующего, чтобы все проблемы разрешались только через службу поддержки. Если специалисты службы поддержки будут компетентны, вежливы и терпимы, у сотрудников компании не будет повода обращаться за помощью к кому-либо другому.

2. Проектирование системы защиты от угроз, основанных на методах социотехники

Осознав всю широту спектра существующих угроз, необходимо выполнить три действия для создания системы защиты сотрудников от угроз, связанных с использованием социотехники. Помните, что эффективность защиты во многом определяется во время ее планирования. Часто защитные меры предпринимаются только после обнаружения успешно проведенной атаки для предотвращения аналогичных проблем в будущем. Этот подход показывает, что обеспечению безопасности в компании уделяется некоторое внимание, но такое решение проблемы может оказаться слишком запоздалым, если компании уже причинен значительный ущерб. Чтобы не допустить этого, нужно выполнить три следующих действия.

Разработка стратегии управления обеспечением безопасности. Определите задачи защиты от социотехнических угроз и назначьте сотрудников, отвечающих за их выполнение.

Оценка риска. В разных компаниях уровень риска, связанного с одними и теми же угрозами, может быть разным. Проанализируйте каждую из социотехнических угроз и определите, насколько она опасна для организации.

Интеграция принципов защиты от социотехнических атак в политику безопасности. Разработайте и задокументируйте политики и процедуры, регламентирующие действия сотрудников в ситуациях, которые могут оказаться социотехническими атаками. Для выполнения этого этапа необходимо, чтобы в организации уже была принята политика безопасности, охватывающая угрозы, не связанные с социотехникой. Если политика безопасности отсутствует, ее нужно разработать. Факторы, определенные на этапе оценки риска, связанного с социотехническими угрозами, помогут приступить к разработке политики безопасности, но позднее в ней нужно будет учесть и другие возможные угрозы.

Дополнительную информацию о политиках безопасности можно найти на веб-узле Microsoft Security по адресу www.microsoft.com/security (данная ссылка может указывать на содержимое полностью или частично на английском языке).

Разработка стратегии управления обеспечением безопасности

Стратегия управления обеспечением безопасности должна давать общее представление о социотехнических угрозах, которым подвергается организация, и определять сотрудников, отвечающих за разработку политик и процедур, блокирующих эти угрозы. Это не означает, что на работу нужно принять специалистов, в чьи обязанности будет входить только обеспечение безопасности корпоративных активов. Такой подход возможен в крупных компаниях, но в организациях среднего размера создавать такие должности в большинстве случаев невыгодно. Главное, что нужно сделать — это распределить между некоторыми сотрудниками следующие роли.

Куратор по безопасности. Руководитель высшего звена (предположительно — уровня совета директоров), следящий за тем, чтобы все сотрудники относились к обеспечению безопасности серьезно, и обладающий необходимым для этого авторитетом.

Администратор по безопасности. Руководитель, отвечающий за организацию разработки политики безопасности и ее обновление в соответствии с изменениями требований.

Менеджер по безопасности ИТ-систем. Технический специалист, отвечающий за разработку политик и процедур обеспечения безопасности ИТ-инфраструктуры и операций.

Менеджер по безопасности на объекте. Член группы, обслуживающей здание, который отвечает за разработку политик и процедур обеспечения безопасности на объекте.

Менеджер по информированию персонала о способах обеспечения безопасности. Руководящий сотрудник (обычно из отдела кадров), отвечающий за разработку и проведение кампаний по информированию персонала об угрозах и способах защиты от них.

Сотрудники, выполняющие эти роли, формируют руководящий комитет по обеспечению безопасности (Security Steering Committee), который должен определять главные цели стратегии управления обеспечением безопасности. Если не определить эти цели, будет сложно привлекать к участию в проектах по обеспечению безопасности других сотрудников и оценивать результаты таких проектов. Первой задачей, которую должен выполнить руководящий комитет по обеспечению безопасности, является обнаружение в корпоративной среде уязвимостей, делающих возможными социотехнические атаки. Чтобы быстро получить представление о возможных векторах этих атак, можно воспользоваться простой таблицей наподобие приведенной ниже.

Таблица 9.

Уязвимости корпоративной среды, допускающие проведение атак, основанных на методах социотехники

Направление атаки	Нынешнее положение дел	Комментарии
Сетевые атаки
Электронная почта	На настольных компьютерах всех пользователей установлена программа Microsoft Outlook®.
Интернет	Мобильные пользователи в дополнение к обычному клиенту Outlook используют веб-клиент Outlook.
Всплывающие приложения		На текущий момент никакие технические средства защиты от всплывающих приложений в компании не используются.
Служба мгновенного обмена сообщениями	Принятые в компании методики работы допускают неконтролируемое использование различных систем мгновенного обмена сообщениями.
Телефонные атаки
Корпоративная телефонная станция
Служба поддержки	В настоящее время функции «службы поддержки» бессистемно выполняет ИТ-отделение.	Процессы оказания услуг поддержки нужно интегрировать в другие структуры компании.
Поиск информации в мусоре
Внутренний мусор	Каждое отделение избавляется от собственного мусора самостоятельно.
Внешний мусор	Мусорные контейнеры располагаются вне территории компании. Вывоз мусора осуществляется по четвергам.	На территории компании нет места для мусорных контейнеров.
Персональные подходы
Физическая безопасность
Безопасность офисов	Все офисы остаются незапертыми в течение всего рабочего дня.	25 процентов сотрудников работают дома. Письменные стандарты обеспечения безопасности систем сотрудников, работающих дома, отсутствуют.
Сотрудники, работающие дома	Никаких протоколов, регламентирующих обслуживание систем сотрудников, работающих дома, нет.
Другие направления атак и уязвимости, специфические для компании
Подрядчики, работающие на объектах компании	Пункты питания на территории компании организованы сторонней фирмой.	Мы ничего не знаем о ее сотрудниках и не приняли для них политику безопасности.

Когда члены руководящего комитета по обеспечению безопасности основательно разберутся в имеющихся уязвимостях, они могут составить таблицу уязвимостей корпоративной среды, допускающих проведение атак, основанных на методах социотехники (см. пример выше). В этой таблице следует описать рабочие процессы компании в потенциально уязвимых областях. Информация об уязвимостях позволяет членам руководящего комитета разработать предварительные варианты требований, которые могут быть включены в политику.

Сначала руководящий комитет должен определить области, которые могут подвергнуть компанию риску. Выполняя эту задачу, нужно учесть все направления атак, описанные в данном документе, и специфические для компании элементы, такие как использование общедоступных терминалов или процедуры управления офисной средой.

Оценка риска

При разработке мер по обеспечению безопасности всегда нужно оценить уровень риска, которому подвергается компания при различных атаках. Для тщательной оценки риска не обязательно требуется очень много времени. Опираясь на информацию о главных элементах стратегии управления обеспечением безопасности, определенных руководящим комитетом по обеспечению безопасности, можно сгруппировать факторы риска в категории и назначить им приоритеты. Ниже перечислены категории риска.

· Утечка конфиденциальной информации.

· Урон репутации компании.

· Снижение работоспособности компании.

· Трата ресурсов.

· Финансовые потери.

При определении приоритета фактора риска следует учесть стоимость его устранения. Если она превышает возможный ущерб от соответствующей атаки, возможно, с риском лучше смириться. Оценка риска может предоставить очень полезную информацию на заключительных этапах разработки политики безопасности.

Например, руководящий комитет по обеспечению безопасности может обнаружить недостатки принятого в компании пропускного режима. Если предполагается, что компанию будут посещать не более 20 человек в час, будет достаточно нанять одного контролера, завести книгу учета посетителей и пронумерованные идентификационные карточки. Если же компанию будут посещать 150 человек в час, возможно, придется расширить штат контролеров или установить терминалы для самостоятельной регистрации. В компаниях малого размера установка таких терминалов едва ли окупится, но для крупных компаний, которые в случае простоя из-за атак могут понести крупные убытки, этот вариант может оказаться наиболее эффективным.

Рассмотрим другой пример. Для компании, не принимающей посетителей и не нанимающей подрядчиков, может не быть практически никакой опасности в выкладывании распечатанных документов в одном определенном месте, откуда их будут забирать сотрудники. Между тем, для компании, часто пользующейся услугами многих подрядчиков, этот вариант связан со слишком большим риском, и ее руководители могут решить, что для предотвращения краж конфиденциальных документов из принтеров необходимо установить принтер на каждом рабочем столе. Компания может устранить этот риск, поставив условие, чтобы каждого посетителя в течение всего визита сопровождал штатный сотрудник. Это решение окажется гораздо менее дорогим, если, конечно, не учитывать финансовые следствия неэффективного использования рабочего времени сотрудников.

Используя таблицу уязвимостей корпоративной среды, допускающих проведение социотехнических атак, руководящий комитет по обеспечению безопасности может определить для компании требования политики безопасности, типы и уровни риска. При этом можно использовать формат таблицы 10.

Таблица 10.

Форма для руководящего комитета, служащая для определения требований к обеспечению безопасности и оценки факторов риска

Направление атаки	Возможные требования политик	Тип риска: утечка конфиденциальной информации, урон репутации компании, снижение работоспособности компании, трата ресурсов, финансовые потери	Уровень риска: 5 = высокий, 1 = низкий	Действие
	Изложить политики защиты от угроз, основанных на методах социотехники, в письменной форме
	Внести пункт о необходимости соблюдения политик в стандартный контракт с сотрудником
	Внести пункт о необходимости соблюдения политик в стандартный контракт с подрядчиком
Сетевые атаки
Электронная почта	Принять политику, регламентирующую действия сотрудников при получении вложений конкретных типов
Интернет	Принять политику, регламентирующую использование Интернета
Всплывающие приложения	Включить в политику использования Интернета явные указания по поводу того, что следует делать при появлении всплывающих диалоговых окон
Служба мгновенного обмена сообщениями	Принять политику, определяющую поддерживаемые и допустимые клиентские программы мгновенного обмена сообщениями
Телефонные атаки
Корпоративная телефонная станция	Принять политику управления обслуживанием корпоративной телефонной станции
Служба поддержки	Принять политику, регламентирующую предоставление доступа к данным
Поиск информации в мусоре
Бумажный мусор	Принять политику утилизации бумажного мусора
	Определить принципы использования мусорных контейнеров
Электронный мусор	Принять политику утилизации электронного мусора
Персональные подходы
Физическая безопасность	Принять политику работы с посетителями
Безопасность офисов	Принять политику управления идентификаторами и паролями пользователей, запрещающую, например, запись паролей на клейких листках, прикрепленных к монитору
Сотрудники, работающие дома	Принять политику использования мобильных компьютеров вне компании
Другие направления атак и уязвимости, специфические для компании
Подрядчики, работающие на объектах компании	Принять политику проверки сотрудников сторонних фирм

Сотрудники каждого подразделения будут по-разному воспринимать риск, связанный с различными угрозами. Члены комитета по обеспечению безопасности должны учесть их мнения и прийти к согласию по поводу важности разных факторов риска.

Для получения дополнительной информации о методологиях и инструментах оценки риска обратитесь к документу «Руководство по оценке риска, связанного с обеспечением безопасности», расположенному по адресу http://go.microsoft.com/fwlink/?linkid=30794 (данная ссылка может указывать на содержимое полностью или частично на английском языке).

Социотехника и политики безопасности

Руководящие органы компании и представители ее ИТ-подразделения должны разработать эффективную политику безопасности и помочь реализовать ее в корпоративной среде. Иногда в политике безопасности основное внимание уделяется техническим средствам защиты, помогающим бороться с техническими же угрозами, примерами которых могут служить вирусы и черви. Эти средства ориентированы на защиту технических элементов среды, таких как файлы данных, приложения и операционные системы. Средства защиты от социотехнических угроз должны помогать отражать социотехнические атаки на сотрудников компании.

Для главных областей обеспечения безопасности и факторов риска руководящий комитет по обеспечению безопасности должен разработать документацию, регламентирующую соответствующие процедуры, процессы и бизнес-операции. В следующей таблице показано, как руководящий комитет по обеспечению безопасности с помощью заинтересованных сторон может определить документы, необходимые для поддержки политики безопасности.

Таблица 11.

Требования к процедурам и документации, определяемые руководящим комитетом

Требования политик	Требования к процедурам и документации	Дата выполнения действия
Изложить политики защиты от угроз, основанных на методах социотехники, в письменной форме	Отсутствуют
Внести пункт о необходимости соблюдения политик в стандартный контракт с сотрудником	1. Сформулировать новые контрактные требования (юридическая служба) 2. Определить новый формат контрактов, заключаемых с подрядчиками
Внести пункт о необходимости соблюдения политик в стандартный контракт с подрядчиком	1. Сформулировать новые контрактные требования (юридическая служба) 2. Определить новый формат контрактов, заключаемых с подрядчиками
Принять политику работы с посетителями	1. Разработать процедуру регистрации посетителей при входе на объект и выходе с него 2. Разработать процедуру сопровождения посетителей
Определить принципы использования мусорных контейнеров	1. Разработать процедуру утилизации бумажного мусора (см. данные) 2. Разработать процедуру утилизации электронного мусора (см. данные)
Принять политику, регламентирующую предоставление доступа к данным
Принять политику утилизации бумажного мусора
Принять политику утилизации электронного мусора
Включить в политику использования Интернета явные указания по поводу того, что следует делать при появлении всплывающих диалоговых окон
Принять политику управления идентификаторами и паролями пользователей, запрещающую, например, запись паролей на клейких листках, прикрепленных к монитору, и т. д.
Принять политику использования мобильных компьютеров вне компании
Принять политику разрешения проблем при подключении к приложениям партнеров (таким как банковские и финансовые приложения, системы управления закупками и материально-техническими запасами)

Как видите, такой список может оказаться в итоге довольно длинным. Чтобы ускорить его составление, можно воспользоваться помощью специалистов. Особое внимание руководящий комитет по обеспечению безопасности должен уделить приоритетным областям, определенным в ходе оценки риска.

3. Реализация мер защиты от угроз, основанных на методах социотехники

После того, как политика безопасности задокументирована и утверждена, нужно проинформировать о ней сотрудников и разъяснить им важность ее соблюдения. Технические средства защиты можно внедрить и без участия сотрудников, но при реализации мер защиты от социотехнических атак без поддержки сотрудников обойтись не удастся. Чтобы облегчить реализацию этих мер, нужно разработать для службы поддержки протоколы реагирования на инциденты.

Информирование

Ничто так не облегчает реализацию социотехнических элементов политики безопасности, как удачная кампания по информированию сотрудников. Конечно, такую кампанию тоже можно рассматривать как разновидность социотехники. В ходе ее реализации нужно позаботиться о том, чтобы сотрудники ознакомились с политикой безопасности, поняли, зачем она нужна, и запомнили, что нужно делать, заподозрив атаку. Ключевой элемент социотехнических атак — доверие. Чтобы злоумышленник добился своего, жертва должна ему доверять. Для защиты от таких атак нужно привить сотрудникам разумное скептическое отношение ко всему неожиданному и внушить им доверие к корпоративной службе технической поддержки.

Элементы кампании по информированию сотрудников зависят от того, как в организации принято сообщать информацию. Для информирования о политиках безопасности можно выбрать структурированные обучающие курсы, неформальные встречи, плакаты и другие средства. Чем убедительнее будут представлены политики, тем эффективнее пройдет их реализация. Начать кампанию по информированию о проблемах безопасности можно с крупного мероприятия, но не менее важно регулярно напоминать о них руководителям и сотрудникам. Обеспечение безопасности — задача всей компании, и к ее решению следует привлечь по возможности всех сотрудников. Постарайтесь учесть мнения представителей всех подразделений и пользователей разных категорий, особенно тех, которые работают вне офисов.

Управление инцидентами

Получив информацию о социотехнической атаке, сотрудники службы поддержки должны знать, как действовать в сложившейся ситуации. В политике безопасности должны быть определены протоколы реагирования, но один из принципов управления инцидентами заключается в том, что в ответ на атаку проводится дополнительный аудит безопасности. Направления атак изменяются, поэтому обеспечение безопасности — это путь, не имеющий конца.

Каждый инцидент предоставляет новую информацию для текущего аудита безопасности в соответствии с моделью реагирования на инциденты (см. рис. 8).

Рис. 6. Модель реагирования на инциденты

Рис. 8. Модель реагирования на инциденты

При регистрации инцидента руководящий комитет по обеспечению безопасности должен выяснить, представляет ли он для компании новую или измененную угрозу, и, опираясь на сделанные выводы, создать или обновить политики и процедуры. Все поправки, вносимые в политики безопасности, должны соответствовать корпоративным стандартам управления изменениями.

Для управления инцидентами служба поддержки должна использовать утвержденный протокол, регистрируя в нем следующую информацию:

· Жертва атаки

· Подразделение жертвы

· Дата

· Направление атаки

· Описание атаки

· Результат атаки

· Последствия атаки

· Рекомендации

Регистрация инцидентов позволяет определить шаблоны атак и улучшить защиту от будущих атак. Образец бланка отчета об инциденте можно найти в приложении 1.

Рекомендации по работе

При выполнении аудита безопасности не следует чересчур увлекаться защитой компании от всевозможных потенциальных угроз. Политика безопасности должна отражать главную цель любой коммерческой компании — получение прибыли. Если предполагаемые меры защиты компании отрицательно скажутся на ее прибыльности или конкурентоспособности, возможно, риск следует оценить заново. Необходимо найти баланс между обеспечением безопасности и удобством и эффективностью работы.

С другой стороны, важно понимать, что репутация компании, уделяющей большое внимание безопасности, также обеспечивает коммерческие преимущества. Это не только отпугивает злоумышленников, но и вызывает доверие к компании у ее клиентов и партнеров.

Социотехника и комплексная многоуровневая модель обеспечения безопасности

В комплексной многоуровневой модели обеспечения безопасности решения для защиты компьютерных систем классифицируются в соответствии с направлениями атак — слабостями, которые злоумышленники могут использовать для реализации угроз. Ниже перечислены некоторые направления атак.

Политики, процедуры и информированность сотрудников. Выраженные в письменной форме правила, регламентирующие управление всеми аспектами обеспечения безопасности, и образовательные программы, помогающие сотрудникам понять эти правила и соблюдать их.

Физическая безопасность. Барьеры, ограничивающие доступ в здания компании и к корпоративным ресурсам. Не забывайте про ресурсы компании; например, мусорные контейнеры, расположенные вне территории компании, физически не защищены.

Данные. Деловая информация: учетные записи, почтовая корреспонденция и т. д. При анализе угроз, связанных с использованием социотехники, и планировании мер по защите данных нужно определить принципы обращения с бумажными и электронными носителями данных.

Приложения. Программы, запускаемые пользователями. Для защиты среды необходимо учесть, как злоумышленники, применяющие методы социотехники, могут использовать в своих целях почтовые программы, службы мгновенной передачи сообщений и другие приложения.

Компьютеры. Серверы и клиентские системы, используемые в организации. Защитите пользователей от прямых атак на их компьютеры, определив строгие принципы, указывающие, какие программы можно использовать на корпоративных компьютерах и как следует управлять такими средствами обеспечения безопасности, как идентификаторы пользователей и пароли.

Внутренняя сеть. Сеть, посредством которой взаимодействуют корпоративные системы. Она может быть локальной, глобальной или беспроводной. В последние годы из-за роста популярности методов удаленной работы границы внутренних сетей стали во многом условными. Сотрудникам компании нужно разъяснить, что они должны делать для организации безопасной работы в любой сетевой среде.

Периметр сети. Граница между внутренними сетями компании и внешними, такими как Интернет или сети партнерских организаций, возможно, входящие в экстрасеть. Используя методы социотехники, злоумышленники часто пытаются проникнуть через периметр сети, чтобы получить возможность проведения атак на данные, приложения и компьютеры во внутренней сети.

Рис. 7. Комплексная модель обеспечения безопасности

Рис. 9. Комплексная модель обеспечения безопасности

При разработке средств защиты комплексная модель обеспечения безопасности поможет лучше представить области бизнеса, которые подвергаются угрозам. Она охватывает не только социотехнические угрозы, но средства защиты от угроз этого рода должны быть реализованы на каждом уровне модели.

Самыми общими средствами защиты в этой модели являются политики безопасности, процедуры и информирование персонала. Они ориентированы на сотрудников организации и определяют, кто, что, когда и почему должен делать. Остальные уровни позволяют настроить средства обеспечения безопасности в соответствии со специфическими требованиями, но главным фактором защиты ИТ-среды все равно является структурированный набор правил, известных всем сотрудникам организации.

Для получения дополнительной информации о комплексной модели обеспечения безопасности обратитесь к статье «Техническое руководство по организации системы безопасности» в журнале Microsoft TechNet по адресу http://go.microsoft.com/fwlink/?linkid=37696 .

Приложение 1.

Политика защиты от угроз, связанных с использованием социотехники: контрольные списки

В данном документе представлены несколько таблиц, служащих для учета уязвимостей для атак, основанных на социотехнике, и определения требований политики обеспечения безопасности. В этом приложении приводятся их шаблоны, которые можно копировать и использовать в реальных условиях.

Уязвимости корпоративной среды, допускающие проведение атак, основанных на методах социотехники

Направление атаки	Нынешнее положение дел	Комментарии
Сетевые атаки
Электронная почта
Интернет
Всплывающие приложения
Служба мгновенного обмена сообщениями
Телефонные атаки
Корпоративная телефонная станция
Служба поддержки
Поиск информации в мусоре
Внутренний мусор
Внешний мусор
Персональные подходы
Физическая безопасность
Безопасность офисов
Другие направления атак и уязвимости, специфические для компании

Направление атаки	Возможные требования политик	Тип риска: утечка конфиденциальной информации, урон репутации компании, снижение работоспособности компании, трата ресурсов, финансовые потери	Уровень риска: 5 = высокий, 1 = низкий	Действие
Сетевые атаки

Телефонные атаки

Поиск информации в мусоре

Персональные подходы

Другие направления атак и уязвимости, специфические для компании

Требования к процедурам и документации, определяемые руководящим комитетом

Требования политик	Требования к процедурам и документации	Дата выполнения действия

Реализация политики безопасности: контрольный список

Действие	Описание	Дата выполнения действия
Разработка политик защиты от сетевых угроз
Разработка политик обеспечения физической безопасности
Разработка политик защиты от угроз, связанных с использованием телефонных технологий
Разработка политик безопасности, регламентирующих утилизацию мусора
Разработка политик, регламентирующих безопасную работу службы поддержки
Разработка модели реагирования на инциденты
Разработка кампании по информированию сотрудников об угрозах
...

Отчет об инциденте

Представитель службы поддержки
Жертва атаки
Подразделение жертвы
Дата
Направление атаки
Описание атаки
Результат атаки
Последствия атаки
Рекомендации

Глоссарий

Термин	Определение
Доступ	В контексте конфиденциальности под доступом понимают имеющуюся у пользователя возможность просматривать и изменять свои личные данные, а также проверять их правильность и полноту. Управление доступом входит в «Принципы добросовестного использования информации».
Антивирусное программное обеспечение	Приложения, которые осуществляют поиск вирусов, червей и других вредоносных программ и предпринимают при их обнаружении соответствующие меры. В число возможных мер входит блокировка зараженных файлов, очистка зараженных файлов или компьютеров и уведомление пользователя об обнаружении зараженной программы.
Атака	Умышленная попытка нарушить безопасность компьютерной системы или лишить других пользователей возможности работать с ней.
Проверка подлинности	Процесс проверки учетных данных пользователя, компьютерного процесса или устройства. Для проверки подлинности необходимо, чтобы пользователи, процессы и устройства предоставляли данные, подтверждающие, что они являются теми, за кого себя выдают. В качестве учетных данных часто используются цифровые подписи, смарт-карты, биометрические данные и сочетания имени пользователя и пароля.
Авторизация	Процесс предоставления пользователю, компьютерному процессу или устройству доступа к некоторым данным, службам или функциям. При авторизации используются учетные данные запросившего доступ пользователя, компьютерного процесса или устройства, прошедшие проверку подлинности.
Управление изменениями	Процесс управления изменениями с использованием проверенных методов с целью предотвращения ошибок и сведения к минимуму влияния изменений.
Компьютерная безопасность	Защита информационных активов с использованием технологий и процессов, а также за счет обучения.
Взломщик	Правонарушитель, обычно получающий несанкционированный доступ к компьютерной системе с использованием технических средств, а не методов социотехники.
Загрузка	Передача копии файла с удаленного компьютера на компьютер, который запросил эти данные, выполняемая с помощью модема или через сеть.
Экстрасеть	Расширение интрасети организации, облегчающее взаимодействие с ее доверенными партнерами. Экстрасеть обеспечивает доверенным партнерам организации ограниченный доступ к ее внутренним деловым данным.
Брандмауэр	Решение для обеспечения безопасности, которое отделяет одну часть сети от другой, пропуская через себя только разрешенные данные, соответствующие требованиям правил фильтрации трафика.
Вредоносные программы	Программы, которые при запуске выполняют действия, помогающие атакующему осуществить его злые намерения. Примерами таких программ могут служить вирусы, черви и «троянские кони».
Сетевой вход в систему	Процесс входа в компьютерную систему через сеть. Как правило, при этом пользователь сначала входит в локальную систему, после чего вводит учетные данные, необходимые для входа на сервер или другой компьютер сети, который ему разрешено использовать.
Пароль	Строка знаков, вводимая пользователем для подтверждения своей подлинности при входе в сеть или локальную систему. См. также «Надежный пароль».
Разрешения	Права на выполнение операций над тем или иным общим ресурсом, таким как файл, каталог или принтер. Разрешения предоставляются администратором отдельным учетным записям пользователей или административным группам.
ПИН-код	Секретный идентификационный код, аналогичный паролю и назначаемый авторизованному пользователю. ПИН-код используется для открытия доступа к функциям, которые должны быть доступны только авторизованному пользователю (например, при доступе к банковскому счету с помощью кредитной карты).
Личные данные	Любая информация о конкретном человеке или человеке, которого можно идентифицировать. Личные данные могут включать имя и фамилию, страну, физический адрес, адрес электронной почты, номер кредитной карты, номер социального страхования, государственный идентификационный номер, IP-адрес и любой уникальный идентификатор, связанный с личными данными в другой системе. Личные данные называют также личной информацией.
Личная информация	См. личные данные
Телефонный взломщик (фрикер)	Злоумышленник, незаконно использующий частные телефонные станции для телефонных звонков.
Фишер	Злоумышленник (или используемый им веб-узел), обманным путем выведывающий у пользователей личную информацию, такую как пароли и номера кредитных карт. Как правило, для этого фишер с помощью писем или рекламных объявлений завлекает пользователей на свои веб-узлы, на которых под тем или иным предлогом у них запрашивается личная информация.
Физическая уязвимость	Неспособность обеспечить физическую защиту компьютера, например оставление рабочей станции без присмотра в месте, доступном неавторизованным пользователям.
Конфиденциальность	Имеющийся у пользователя контроль над сбором, использованием и распространением его личной информации.
Уязвимость в системе безопасности	Уязвимость в программном обеспечении, которая может быть устранена путем установки обновления Microsoft или рассматривается в бюллетене безопасности Microsoft.
Нежелательная почта	Незатребованные коммерческие сообщения электронной почты.
Подделка данных	Попытка произвести впечатление, что операция была выполнена другим пользователем.
Программы-шпионы	Программы, показывающие рекламу (всплывающие рекламные окна), собирающие личные данные или без подтверждения пользователя изменяющие настройки компьютера.
Надежный пароль	Пароль, обеспечивающий эффективную защиту от несанкционированного доступа к ресурсу. Надежный пароль не должен содержать имя учетной записи пользователя или его часть и должен включать не менее шести знаков, относящихся как минимум к трем из следующих четырех категорий: буквы верхнего регистра, буквы нижнего регистра, цифры и имеющиеся на клавиатуре знаки, такие как !, @ и #.
Троянская программа	Программа, которая производит впечатление полезной или безвредной, но на самом деле содержит скрытый код, использующий уязвимость компьютера или наносящий ущерб. Троянские программы чаще всего доставляются пользователям в электронных письмах с неверным описанием их функций и предназначения. Другое название — троянский код.
Обновление	Программный пакет, заменяющий более старую версию приложения. В ходе обновления ПО данные и настройки пользователей обычно сохраняются и остаются неизменными.
Идентификатор пользователя	Уникальное имя, с помощью которого пользователь может войти в компьютерную систему.
Вирус	Код, в который специально заложена возможность самовоспроизведения. Вирусы распространяются с одного компьютера на другой, присоединяясь к программе-носителю. Вирусы могут повреждать аппаратные средства, программное обеспечение и данные. Сравните с вирусом-червем. См. также определение, предложенное организацией Virus Info Alliance (f-secure.com).
Уязвимость	Любой изъян в защите, административный или физический процесс или акт, делающий возможной атаку на компьютер.
Вирус-червь	Вредоносный код с возможностью самовоспроизведения, способный автоматически распространяться с одного компьютера на другой по сетевым соединениям. Червь может выполнять вредоносные действия, например потреблять сетевые ресурсы или ресурсы локального компьютера, порой приводя к возникновению атаки вида «отказ в обслуживании». Сравните с вирусом.

Тема 4. Безопасность WINDOWS SERVER 2003

Аутентификация Windows Server 2003

Аутентификация - это проверка того, что данное лицо соответствует опознавательным данным, которые он предъявляет; тем самым, аутентификация является основным компонентом системы безопасности Windows Server 2003. Она подтверждает опознавательные данные ("личность") пользователя, который хочет выполнить вход на компьютер, в сеть или в домен. Используя Active Directory, Windows Server 2003 поддерживает единый вход для доступа ко всем сетевым ресурсам. Это позволяет пользователю выполнять вход в домен с помощью единственного пароля или смарт-карты и аутентифицироваться для любого ресурса в домене.

Windows Server 2003 поддерживает два основных протокола для аутентификации.

· Kerberos V5. Используемый по умолчанию протокол аутентификации для серверов Windows 2000, Windows XP и Windows Server 2003, если они являются членами домена Active Directory. Его можно использовать для интерактивного входа по паролю или смарт-карте.

· NTLM. Поддерживается для совместимости с Windows 95, Windows 98, Windows Me и Windows NT 4, которые используют NTLM для подсоединения к сети. Компьютеры, работающие с Windows Server 2003, используют NTLM при подсоединении или доступе к ресурсам в домене Windows NT 4.

Аутентификация NTLM

Операционные системы Microsoft Windows 9x и Windows NT не могут использовать Kerberos, поэтому они используют NTLM для аутентификации в домене Windows Server 2003. В защите NTLM имеются "слабые места", которые позволяют специалистам по взлому паролей дешифровать NTLM-аутентификацию. Чтобы воспрепятствовать этому, Microsoft разработала NTLM версии 2. Клиенты и серверы Windows 2000, а также Windows XP будут продолжать аутентифицироваться на контроллерах доменов Windows Server 2003 с помощью Kerberos независимо от того, что используется, - NTLM или NTLMv2.

Примечание. Подробнее об активизации NTLMv2 в более ранних версиях Windows см. в статье 239869 Microsoft Knowledge Base "How to Enable NTLM 2 Authentication for Windows 95/98/2000/NT" по адресу http://support.microsoft.com.

Аутентификация NTLM для telnet

Для клиента telnet (сетевого теледоступа) в Windows 2000 добавлена поддержка аутентификации NTLM. Это позволяет клиенту telnet в Windows 2000 или Windows Server 2003 выполнять вход на сервер telnet Windows Server 2003 с помощью аутентификации NTLM. Для доступа к серверу telnet пользователи могут использовать свое локальное пользовательское имя и пароль Windows 2000 или информацию доменной учетной записи. Если аутентификация NTLM не используется, то пользовательское имя и пароль передаются на сервер telnet в виде нешифрованного текста. В результате эти данные могут быть перехвачены злоумышленником в сети. При аутентификации NTLM клиент использует для аутентификации средства безопасности Windows Server 2003, и у пользователя не запрашиваются пользовательское имя и пароль. Пользовательское имя и пароль передаются на сервер в шифрованном виде. После аутентификации все команды передаются в виде нешифрованного текста.

Примечание. Microsoft Terminal Server является более защищенной по сравнению с telnet. Terminal Server можно блокировать, используя в основном те же процессы, что используются для усиления защиты серверов Windows.

Обзор Kerberos

Протокол аутентификации Kerberos обеспечивает взаимную защиту между клиентами и серверами, а также между серверами. Когда пользователь выполняет вход, используя пользовательское имя/пароль или смарт-карту, компьютер находит сервер Active Directory и службу аутентификации Kerberos. Затем Kerberos выдает так называемые билеты (ticket), чтобы разрешить доступ к сетевым службам. Эти билеты содержат шифрованные данные, включая шифрованный пароль, подтверждающий опознавательные данные пользователя для этой службы.

Главным компонентом Kerberos является Центр распространения ключей (KDC - Key Distribution Center). KDC запускается на каждом контроллере домена как часть Active Directory и используется для хранения паролей и информации учетных записей клиентов. Windows Server 2003 реализует KDC как доменную службу и использует Active Directory домена как ее базу данных с информацией учетных записей. В процесс аутентификации Kerberos входят следующие шаги.

1. Пользователь на клиентском компьютере аутентифицируется для KDC с помощью пароля или смарт-карты.

2. KDC выдает клиенту специальный билет, позволяющий получить билет (TGT - Ticket-granting ticket), чтобы разрешить ему доступ к предоставляющей билеты службе (TGS - Ticket-granting service) на контроллере домена.

3. TGS выдает клиенту билет на обслуживание.

4. Этот билет подтверждает опознавательные данные пользователя для службы и опознавательные данные службы для пользователя.

Реализация Kerberos в Windows Server 2003

По умолчанию Kerberos обладает свойствами прозрачности и защищенности в Windows Server 2003. Это освобождает вас от необходимости знать, каким образом реализован Kerberos.

Примечание. Администраторам домена или предприятия не следует вносить изменения в реализацию Kerberos по умолчанию без ясного понимания цели этих изменений, а также их влияния на домен. После внесения изменений на одном контроллере домена настройки реплицируются на все остальные контроллеры домена. Любые изменения политики Kerberos окажут влияние на все компьютеры домена.

Если вам необходимо внести изменения в политику Kerberos, выполните следующие шаги.

1. Откройте оснастку Active Directory Users and Computers.

2. В дереве консоли щелкните правой кнопкой на данном домене.

3. Выберите пункт Properties (Свойства) и затем щелкните на вкладке Group Policy (Групповая политика).

4. Щелкните на кнопке Edit.

5. В дереве консоли щелкните на Kerberos Policy (в последовательности Computer Configuration/ Windows Settings/Security Settings/Account Policies/Kerberos Policy).

6. Дважды щелкните на политике Kerberos, которую хотите модифицировать.

7. Внесите изменения в эту политику и затем щелкните на кнопке OK.

Имеется несколько относящихся к Kerberos политик, которые можно модифицировать, если это крайне необходимо.

· Enforce User Login Restrictions. Указывает, что KDC должен проверять наличие у пользователя права "Log on locally" (Локальный вход) или "Access this computer from the Network" (Доступ к данному компьютеру из сети). Если пользователь не имеет одного из этих прав, то билет на обслуживание не выдается. Эта политика включена по умолчанию.

· Maximum Lifetime That a User Ticket Can Be Renewed. Задает максимальный срок действия билета TGT или сеансового библиотека. По умолчанию 7 дней.

· Maximum Service Ticket Lifetime. Задает количество минут, в течение которых действителен билет на обслуживание. Это должно быть значение от 10 минут до времени, заданного в политике "Maximum User Ticket Lifetime". По умолчанию 600 минут.

· Maximum Tolerance for Synchronization of Computer Clocks. Задает максимально допустимое отличие в минутах между таймерами компьютера-сервера KDC и клиентского компьютера. Таймеры этих машин должны быть синхронизированы с максимально возможной точностью. По умолчанию 5 минут.

· Maximum User Ticket Lifetime. Задает количество часов, в течение которых действителен билет Kerberos TGT. По истечении этого времени должен быть получен новый билет или обновлен старый. По умолчанию 10 минут.

Имеется также небольшое число других опций Kerberos. Для доступа к этим опциям нужно выбрать пользователя в окне Active Directory Users and Computers и щелкнуть на Properties.

· Smart Card Is Required for Interactive Logon. Требует, чтобы пользователь выполнял вход с помощью смарт-карты. По умолчанию эта политика отключена.

· Use DES Encryption for This Account. Требует использования 56-битного DES-шифрования вместо 128-битного RC4, используемого в Microsoft Kerberos. Поскольку метод DES защищен намного меньше, чем RC4, использование DES не рекомендуется. По умолчанию эта политика отключена.

Хотя Kerberos существенно повышает защищенность по сравнению с прежними протоколами аутентификации, его безопасность в целом все еще основывается на пароле пользователя. В результате слабая политика паролей может обесценить все преимущества Kerberos. Один из способов разрешения данной проблемы - это использование смарт-карт.

Реализация смарт-карт

Windows Server 2003, как и Windows 2000, поддерживает использование смарт-карт для входа. На смарт-карте могут храниться сертификат пользователя и личный ключ, поэтому он может выполнять вход, установив эту карту в устройство чтения смарт-карт. После этого компьютер запрашивает у пользователя его личный идентификационный номер (PIN-код), чтобы разрешить этому пользователю вход в систему. Смарт-карты дают следующие преимущества по сравнению с паролями.

· Отпадает вопрос слабости использования пароля в Kerberos. Смарт-карты обеспечивают более сильную аутентификацию, чем пароли, поскольку для них используются шифрованные идентификационные данные.

· Требуется, чтобы пользователь лично установил смарт-карту для аутентификации в домене.

· Смарт-карта может быть блокирована после определенного числа неудачных попыток ввода PIN-кода. Это может воспрепятствовать словарным и "лобовым" атакам на смарт-карту.

Windows Server 2003 использует несколько политик, чтобы определить вход в систему с помощью смарт-карт. Политика Smart Card Is Required for Interactive Logon требует использования смарт-карты для интерактивного входа в систему. Если задана эта политика, то пользователь не может использовать пароль для входа по учетной записи. Эта политика касается только интерактивных и сетевых входов, но не входов удаленного доступа, для которых используется другая политика. Смарт-карты особенно рекомендуются для наиболее важных учетных записей, например, учетных записей Administrator. Политику Smart Card Is Required for Interactive Logon не следует использовать, если пользователь должен указать пользовательское имя, пароль и имя домена для доступа к сетевым ресурсам.

Инфраструктура открытых ключей и аутентификация Windows Server 2003

Windows Server 2003 использует сертификаты для разнообразных функций, таких как аутентификация по смарт-карте, аутентификация на веб-сервере, защищенная электронная почта, безопасность IP (Internet Protocol) и подписание кода (code signing). Сертификат - это цифровой документ, выданный каким-либо ответственным органом для подтверждения идентификационных данных обладателя сертификата. Он связывает открытый ключ (public key) с пользователем, компьютером или службой, которые владеют соответствующим личным ключом (private key). В сертификат обычно включается информация о пользователе или компьютере, которому выдан этот сертификат, информация о самом сертификате и (обычно) о так называемом Центре сертификации (ЦС) (Certificate authority [CA]), который выдал сертификат. Сертификаты обычно содержат следующую информацию.

· Открытый ключ пользователя.

· Часть идентифицирующей информации о пользователе, например, его имя и адрес электронной почты.

· Срок действия этого сертификата.

· Информация о поставщике этого сертификата.

· Цифровая подпись поставщика, которая связывает открытый ключ пользователя и его уникальную идентифицирующую информацию.

Примечание. Хотя сертификаты использовались и в предыдущих операционных системах Windows, они не были широко распространены как средство системы безопасности. Эта ситуация изменяется с ростом числа организаций, развертывающих Active Directory.

Обычно сертификаты действуют только в течение указанного периода времени, который тоже включается в сертификат. По истечении периода действия сертификата пользователи должны запрашивать новый сертификат. При использовании сертификатов Windows Server 2003 доверяет тому, что поставщик сертификата удостоверил идентификационные данные пользователя сертификата. Сервер обозначает поставщика сертификатов как доверяемый корневой ЦС, помещая сертификат этого поставщика, подписанный его собственной подписью, в хранилище сертификатов доверяемых корневых ЦС на хост-компьютере. Для управления этими ЦС в Windows Server 2003 используется служба Certificate Services. Таким образом, ЦС несет ответственность за создание и удостоверение идентификационных данных обладателей сертификатов. Вы можете управлять службой Certificate Services с помощью консоли MMC Certification Authority (Центр сертификации).

Шаблоны сертификатов

Шаблон сертификата - это набор правил и настроек, которые применяются к запросам сертификатов. Для каждого типа сертификатов должен быть сконфигурирован шаблон сертификата. Шаблоны сертификатов можно настраивать в центрах сертификации (ЦС) предприятий Windows Server 2003, и они хранятся в Active Directory для использования всеми ЦС в домене. Это позволяет вам выбрать шаблон по умолчанию или модифицировать существующие шаблоны, чтобы создавать настраиваемые шаблоны. В Windows Server 2003 имеется несколько типов шаблонов сертификатов.

· Server Authentication Certificates (Сертификаты для аутентификации серверов).

Используются для аутентификации серверов перед клиентами.

· Client Authentication Certificates (Сертификаты для аутентификации клиентов).

Используются для аутентификации клиентов перед серверами.

· Code Signing Certificates (Сертификаты для подписания кода). Используются для подписания активного содержимого и приложений, чтобы гарантировать их поступление от доверяемого источника.

· Secure Email Certificates (Сертификаты для защищенной почты). Используются для подписания сообщений электронной почты.

· Encrypting File System Certificates (Сертификаты для шифрующей файловой системы). Применяются для шифрования и дешифрования симметричного ключа, используемого файловой системой Encrypting File System (EFS) Windows Server 2003.

File Recovery Certificates (Сертификаты для восстановления файлов). Используются для шифрования и дешифрования симметричного ключа, используемого для восстановления данных, шифрованных с помощью файловой системы EFS Windows Server 2003.

Защита данных с помощью EFS (Encrypting File System) Windows Server 2003

Аналогично Windows 2000 и Windows XP система Windows Server 2003 может защищать данные на дисках формата NTFS с помощью EFS. EFS не работает на дисках, отформатированных с помощью FAT32. При шифровании файла ему присваивается уникальный ключ шифрования, с помощью которого можно дешифровать его данные. Этот ключ шифрования затем шифруется с помощью открытого ключа данного пользователя. Ключ шифрования файла защищается также открытым ключом других пользователей, которым были предоставлены полномочия на дешифрование этого файла, а также назначенного агента восстановления. Важно также понять, что когда шифрованные с помощью EFS файлы передаются через сеть, они не защищены, если не реализован IPSec (Internet Protocol Security).

Внимание. Хотя алгоритм шифрования EFS считается очень защищенным, шифрованные данные могут быть прочитаны хакером, если он "разгадает" пароль пользователя или администратора. Для защиты шифрованных данных критически важно иметь сильные пароли.

Существуют два метода шифрования файлов и папок с помощью EFS. Основной способ - это шифрование папки или файла с помощью Windows Explorer (Проводник).

1. Щелкните правой кнопкой на файле или папке.

2. Выберите Properties/General/Advanced (Свойства/Общие/Дополнительно).

3. Установите флажок Encrypt Contents To Secure Data (Шифровать содержимое для защиты данных).

Данные шифруются автоматически и совершенно прозрачным образом для пользователя.

Можно также использовать программу, которая называется cipher, чтобы шифровать данные с помощью EFS. Cipher можно вызывать из командной строки для шифрования файлов, папок и подпапок, которые указываются как параметры.

Вопросы администрирования, связанные с EFS

При резервном копировании шифрованных файлов они остаются шифрованными. После операции восстановления шифрованных данных эти данные тоже остаются шифрованными.

Одна из основных проблем восстановления шифрованных данных возникает в тех случаях, когда соответствующий пользователь увольняется из компании или когда эти данные запрашиваются правовыми органами. При таком восстановлении данных требуется дешифрование файла без личного ключа этого пользователя. Чтобы восстановить шифрованный файл, требуется агент восстановления для выполнения следующих шагов.

1. Резервное копирование шифрованных файлов.

2. Перемещение файлов резервной копии в какую-либо защищенную систему.

3. Импорт сертификата восстановления файлов и личного ключа в эту защищенную систему.

4. Восстановление файлов из резервной копии.

5. Дешифрование файлов с помощью Windows Explorer или команды cipher.

Администратор может использовать оснастку Group Policy, чтобы определить политику восстановления данных для отдельных компьютеров, доменов или организационных единиц (OU). Центр сертификации (ЦС) может выдавать сертификаты восстановления с помощью оснастки MMC Certificates. При работе в домене Windows Server 2003 реализует политику восстановления по умолчанию для домена, когда создается первый контроллер домена. Администратор домена назначается как агент восстановления.

Чтобы изменить политику восстановления для локального компьютера.

1. Щелкните на кнопке Start и затем на кнопке Run.

2. Введите mmc и затем щелкните на кнопке OK, чтобы запустить консоль управления Microsoft (MMC).

3. В меню Console щелкните на Add/Remove Snap-ins (Добавление/удаление оснасток) и затем щелкните на кнопке Add.

4. Добавьте Group Policy Object Editor (Редактор объектов Group Policy).

5. В Group Policy Object проследите, чтобы был представлен текст "Local Computer" и щелкните на кнопке Finish. Щелкните на кнопке Close и затем щелкните на кнопке OK.

6. В последовательности Local Computer Policy\Computer Configuration\Windows Settings\Security Settings\Public Key Policies щелкните правой кнопкой на Encrypting File System и затем выполните одно из следующих действий.

· Чтобы назначить пользователя как дополнительного агента восстановления с помощью мастера Add Recovery Agent Wizard, щелкните на кнопке Add Data Recovery Agent (Добавить агента восстановления данных). Агентами восстановления можно назначать только пользователей, имеющих сертификат агента восстановления.

· Чтобы разрешить системе EFS работать без агентов восстановления, щелкните на All Tasks (Все задачи) и затем щелкните на Do Not Require Data Recovery Agents (Не требовать агентов восстановления данных).

· Чтобы удалить эту политику EFS и всех агентов восстановления, щелкните на All Tasks и затем щелкните на Delete Policy (Удалить политику). После выбора этого варианта пользователи по-прежнему смогут шифровать файлы на данном компьютере.

Использование системного ключа (SYSKEY)

SYSKEY (system key) выполняет сильное шифрование файлов паролей и устанавливается по умолчанию на машинах с Windows 2000, Windows XP и Windows Server 2003. SYSKEY может также защищать следующую важную информацию.

· Главные ключи, которые защищают личные ключи.

· Ключи для паролей пользовательских учетных записей, которые хранятся в Active Directory.

· Ключи для паролей, которые хранятся в реестре в локальном разделе Security Accounts Manager (SAM).

· Ключи защиты для секретов LSA

· Ключ для пароля учетной записи Administrator, используемый для загрузки системы в режиме восстановления Safe Mode (Безопасный режим).

Примечание. У вас могут быть трудности с использованием какого-либо средства безопасности, выполняющего аудит паролей на компьютерах с установленным SYSKEY, поскольку шифрованные с помощью SYSKEY файлы паролей могут выглядеть одинаково с нешифрованными файлами, но на самом деле они считаются недоступными для взлома.

Системный ключ может сохраняться одним из трех способов.

· В нормальном режиме (Mode 1) системный ключ сохраняется в реестре с помощью "сложной скрывающей функции". При этом варианте пользователи могут перезагружать компьютер без необходимости ввода системного ключа. Это конфигурация по умолчанию для системного ключа.

· В режиме 2 (Mode 2) этот ключ также сохраняется в реестре, но чтобы снять блокировку компьютера во время его загрузки требуется ввод пароля. Системный ключ генерируется с помощью технологии хеширования MD5 из пароля, который может содержать до 128 символов. Этот пароль вводится во время загрузки компьютера.

· В режиме 3 (Mode 3) системный ключ сохраняется на дискете, которую нужно вставить в дисковод во время загрузки Windows, иначе Windows не загрузится. Дискета должна быть установлена, когда Windows Server 2003 начинает выполнять последовательность загрузки, но до того момента, как пользователи смогут осуществлять вход в систему.

Примечание. Если вы забыли пароль для системного ключа или потеряна дискета, содержащая системный ключ, то загрузить систему невозможно. Единственный способ восстановить систему, когда утрачен SYSKEY, это использование диска аварийного восстановления Emergency Repair Disk (ERD) для восстановления реестра в состояние, предшествовавшее защите системы с помощью системного ключа. Но тогда будут потеряны все изменения, внесенные в систему после этого.

Для защиты по системному ключу выполните следующее.

1. >Введите syskey в командной строке.

2. Выберите вариант Encryption Enabled (Включено шифрование), если он еще не выбран, и затем щелкните на кнопке OK. Вы получите напоминание, чтобы следует создать обновленный диск аварийного восстановления (ERD), и в окне будут представлены варианты выбора режима для базы данных учетных записей (Account Database). По умолчанию выбран режим Mode 1.

3. Щелкните на кнопке Update (Обновить).

4. В диалоговом окне Account Database Key (Ключ базы данных учетных записей) выберите вариант ключа или измените пароль, затем щелкните на кнопке OK.

5. Выберите нужный вариант использования системного ключа и затем щелкните на кнопке OK.

6. Перезагрузите компьютер.

Примечание. Если выбран вариант Password Startup (Загрузка с паролем), то SYSKEY не требует какой-либо минимальной длины пароля.

При загрузке системы у пользователей может быть запрошен ввод системного ключа в зависимости от установленного варианта ключа. Windows Server 2003 обнаруживает первое использование системного ключа и генерирует новый случайный ключ шифрования паролей. Ключ шифрования паролей защищен системным ключом, что обеспечивает сильное шифрование всей информации по паролям учетных записей.

Если установлен SYSKEY, то реализуется следующая последовательность загрузки Windows.

1. Windows Server 2003 получает системный ключ из хранящегося в реестре ключа, из введенного пароля или с дискеты.

2. Windows Server 2003 использует системный ключ для дешифрования главного защитного ключа.

3. Windows Server 2003 использует главный защитный ключ для получения ключа шифрования паролей пользовательских учетных записей, который затем используется для дешифрования информации паролей в Active Directory или в локальном разделе реестра SAM.

Использование SYSKEY в домене

Для компьютеров, которые включены в домен, только члены группы Domain Admin могут запускать SYSKEY. В случае автономных компьютеров SYSKEY могут запускать локальные администраторы.

Примечание. Генерируемый компьютером SYSKEY, хранящийся локально на основном контроллере домена (Primary Domain Controller), не реплицируется на другие контроллеры домена.

SYSKEY можно конфигурировать независимо на каждом компьютере в домене. Каждый компьютер может иметь свой собственный ключ шифрования паролей и уникальный системный ключ. Например, один контроллер домена может иметь режим Mode 3, а другой контроллер домена может использовать Mode 2.

Примечание. Если имеется только один контроллер домена, то администраторы должны обеспечить использование второго (резервного) контроллера домена пока не будут внесены и проверены изменения на первом контроллере домена. Рекомендуется также иметь свежую копию аварийной дискеты (ERD) для этого компьютера.

Защищенные паролем заставки

Защищенная паролем заставка (screensaver) позволяет Windows Server 2003 автоматически блокировать экран после заданного периода "неактивности". Это может быть резервное копирование, когда пользователь или администратор забыл блокировать доступ к рабочей станции. После блокировки экрана компьютера его может разблокировать только пользователь, выполнивший текущий вход на компьютер, или уполномоченный администратор.

Чтобы задать автоматическую блокировку экрана на отдельном компьютере, выполните следующее.

1. Щелкните правой кнопкой на рабочем столе пользователя и выберите пункт Properties. Появится окно Display Properties (Свойства: Экран).

2. Щелкните на вкладке Screen Saver (Заставка).

3. Выберите заставку из раскрывающегося списка Screen Saver.

4. В поле Wait (Интервал ожидания) введите количество минут периода неактивного состояния, после которого будет инициирована заставка (рекомендуется значение по умолчанию, равное 15 минутам).

5. Установите флажок On Resume, Password Protect (При возобновлении защита по паролю).

6. Щелкните на кнопке OK, чтобы задать эту защищенную паролем заставку.

Члены группы Domain Administrators могут активизировать групповую политику Active Directory, чтобы задать, будут ли пользователи использовать заставки и смогут ли они изменять свойства заставки.

Ниже приводятся настройки групповой политики, которые могут влиять на работу заставки.

· Hide Screen Saver Tab (Скрывать вкладку "Заставка"). Удаление вкладки Screen Saver из окна Display в панели управления (Control Panel).

· Screen Saver (Заставка). Может запрещать запуск заставок.

· Screen Saver Executable Name (Имя исполняемого модуля заставки). Указывает заставку для рабочего стола пользователя и препятствует изменениям.

· Password Protect the Screen Saver (Защита заставки паролем). Разрешает использовать пароли для всех заставок. Отключите, если не хотите использовать пароли для всех заставок.

Чтобы сделать блокировку заставки паролем недоступной для пользователей с помощью групповой политики, выполните следующие шаги.

1. Щелкните на кнопке Start и затем на кнопке Run.

2. Введите mmc и затем щелкните на кнопке OK, чтобы запустить консоль управления Microsoft (MMC).

3. В меню Console щелкните на Add/Remove Snap-ins и затем щелкните на кнопке Add.

4. Щелкните на Group Policy (Групповая политика) или Local Policy (Локальная политика). Если это будет политика Active Directory, щелкните на кнопке Add, затем на кнопке Browse и выберите сайт, домен или организационную единицу (OU), к которой будут применяться эта политика.

5. Щелкните на кнопке Close.

6. Раскройте последовательность User Configuration\Administrative Templates\Control Panel\Display.

7. В правой панели дважды щелкните на Password protect the screen saver.

8. Выберите вариант Disable (Отключить) во вкладке Policy. Тем самым пользователи не смогут задавать пароли по заставкам для этого компьютера или домена.

9. Щелкните на вкладке Explain (Пояснения), чтобы получить информацию по использованию этой политики.

10. Щелкните на кнопке Apply (Применить).

11. Щелкните на кнопке OK и затем закройте эту консоль MMC.

IPSec (Internet Protocol Security)

IP Security (IPSec) можно использовать для защищенной передачи данных между двумя компьютерами. Он совершенно прозрачен для приложений, поскольку реализован на транспортном уровне модели OSI, позволяя приложениям выполнять обмен данными с помощью портов TCP и UDP. IPSec имеет следующие возможности.

· Обеспечивает конфиденциальность сообщений путем шифрования всех данных, передаваемых через сетевые соединения, включая соединения удаленного доступа, например, коммутируемые (dial-up) соединения.

· Обеспечивает целостность сообщений, передаваемых между двумя компьютерами, путем защиты данных от несанкционированной модификации во время их передачи.

· Ограничивает список компьютеров, которые могут взаимодействовать друг с другом. Администраторы могут также ограничивать обмен определенными протоколами IP и портами TCP/UDP. IPSec можно использовать как "ограниченный" брандмауэр для блокирования приема или передачи определенного трафика IP.

· Препятствует воспроизводящим атакам, гарантируя, что допустимые пакеты данных не используются повторно для получения доступа к сети в будущем.

Примечание. Два из наиболее распространенных применений IPSec - брандмауэр на основе хоста и соединение двух серверов, разделенных брандмауэром. Например, IPSec можно использовать для защищенной передачи данных между веб-сервером, находящимся перед брандмауэром, с сервером базы данных, находящимся за брандмауэром в корпоративной сети интранет.

Конфигурация политик IPSec Windows Server 2003 преобразует деловые потребности IPSec в политики IPSec, которые можно назначать на уровне домена, сайта, организационной единицы (OU) или локальных машин. Ее можно реализовать, поместив серверы в OU и назначив политику IPSec этой OU с правилом, которое требует защищенного трафика между серверами и всеми другими компьютерами. В Windows Server 2003 оснастка IP Security Monitor в консоли MMC позволяет администраторам управлять политиками IPSec, включая следующее.

· Создание и модифицирование политики IPSec.

· Слежение за информацией IPSec о локальном компьютере и удаленных компьютерах.

· Просмотр деталей политик IPSec.

· Просмотр фильтров, статистики и ассоциаций безопасности (security associations) IPSec.

Из оснастки IP Security Policies можно централизованно управлять политикой IPSec для членов Active Directory или для локальных компьютеров. Политика IPSec состоит из набора фильтров, действий фильтров и правил. Фильтр содержит следующие данные.

· Один исходный IP-адрес или диапазон адресов.

· Один целевой IP-адрес или диапазон адресов.

· Протокол IP, такой как TCP, UDP или "any" (любой).

· Исходный и целевой порты.

Действие фильтра (filter action) указывает, что происходит, когда вызывается фильтр. Например, это может быть разрешение отправки и приема трафика IP без блокирования, блокирование трафика и согласование протокола безопасности для его использования между компьютерами.

Правило связывает фильтр с действием фильтра. Отраженная политика применяет правила ко всем пакетам, где меняются местами указанные исходный и целевой IP-адреса.

Внимание. Windows Server 2003 содержит списки заранее определенных файлов, действий фильтров и политик по умолчанию IPSec. Они предназначены для использования только как пример политик IPSec. Их не следует использовать без модификации. Эти политики по умолчанию определены для компьютеров в сетях интранет, поскольку они разрешают членам домена Active Directory получать незащищенный трафик.

Для добавления, редактирования или удаления политик IPSec используйте MMC, чтобы открыть консоль, содержащую IP Security Policy Management (Управление политиками IPSec), и затем выполните одну из следующих процедур.

· Добавление новой политики. Выберите Action/Create IP Security Policy. Выполняйте инструкции мастера IP Security Policy Wizard, пока не появится диалоговое окно Properties для этой новой политики.

· Модифицирование существующей политики. Дважды щелкните на политике, которую вы хотите модифицировать, и внесите необходимые изменения.

· Удаление политики. Щелкните на политике, которую вы хотите удалить, и в меню Action щелкните на пункте Delete.

Если вы добавляете или модифицируете политику, щелкните на вкладке General, введите уникальное имя в поле Name и введите описание этой политики безопасности в поле Description.

Чтобы задать частоту проверки обновлений агентом политик IPSec Policy Agent, введите в поле Check (Проверка) количество минут для интервала проверки изменений политик.

Если у вас имеются особые требования к безопасности обмена ключами, щелкните на кнопке Settings, щелкните на вкладке Rules (Правила) и создайте или измените все необходимые правила для данной политики. Активизируйте или отключите правила, как это вам нужно.

Внимание. Фильтры являются наиболее важной частью политики IPSec для компьютера, защищаемого с помощью IPSec. Если фильтры неверно сконфигурированы в политиках компьютеров или серверов либо изменились IP-адреса, то защита, обеспечиваемая IPSec, может быть потеряна.

Для добавления, редактирования или удаления фильтров IPSec выполните следующее.

1. Используйте MMC, чтобы открыть консоль, содержащую IP Security Policies.

2. Дважды щелкните на политике, которую вы хотите модифицировать.

3. Дважды щелкните на правиле IP Security, содержащем список фильтров IP, который вы хотите модифицировать.

4. Во вкладке IP Filter List (Список фильтров IP) дважды щелкните на списке фильтров IP, содержащем фильтр IP, который вы хотите модифицировать.

5. В диалоговом окне IP Filter List выполните одну из следующих процедур.

6. Для добавления фильтра щелкните на кнопке Add.

7. Для изменения существующего фильтра выберите этот фильтр и затем щелкните на кнопке Edit.

8. Для удаления существующего фильтра выберите этот фильтр и затем щелкните на кнопке Remove.

9. В диалоговом окне IP Filter List выполните одну из следующих процедур.

10. Чтобы использовать мастер IP Filter Wizard для создания фильтра, проследите, чтобы был установлен флажок Use Add Wizard (Использовать мастер добавления), и затем щелкните на кнопке Add.

11. Чтобы создать фильтр вручную, сбросьте флажок Use Add Wizard и затем щелкните на кнопке Add.

12. Чтобы модифицировать существующий фильтр, выберите этот фильтр и затем щелкните на кнопке Edit.

13. Во вкладке Addresses (Адреса) выберите исходный адрес (Source Address).

14. Щелкните на Destination Address (Адрес назначения) и повторите шаг 7 для адреса назначения.

15. В секции Mirrored (Зеркальный) выберите нужную настройку.

16. Чтобы автоматически создать два фильтра с одинаковыми настройками, один для трафика в точку назначения и второй - из точки назначения, установите флажок Mirrored.

17. Чтобы создать один фильтр, сбросьте флажок Mirrored.

18. В поле Description вкладки Description введите описание этого фильтра.

Оснастка IPSec Monitor

В Windows 2000 была автономная исполняемая программа IP Security Monitor, которая называлась IPSecmon.exe. В Windows Server 2003 реализована оснастка MMC IP Security Monitor, с помощью которой вы можете делать следующее.

· Следить за информацией IPSec для локальных и удаленных компьютеров.

· Просматривать детали активных политик IPSec, включая имя, описание, дату последнего изменения, хранилище, путь, OU и имя объекта Group Policy.

· Просматривать информацию фильтров IP.

· Просматривать статистику IPSec.

· Просматривать ассоциации безопасности в основном и быстром режимах.

· Выполнять поиск фильтров по исходному IP-адресу или IP-адресу назначения.

Локальные политики безопасности

Политики безопасности критически важны для реализации защищенных серверов Windows Server 2003 и защиты доменов. Администраторы могут управлять политикой безопасности на локальных и удаленных компьютерах, включая политики паролей, политики блокировки учетных записей, политики Kerberos, политики аудита, права пользователей и другие политики. Управлять политиками безопасности можно путем редактирования политик на локальном компьютере, в OU или в домене, а также путем применения файлов с шаблонами безопасности (файлы с расширением имени .inf). Настройки Local Security Policy можно задавать на автономных компьютерах или применять к членам домена. В домене Active Directory настройки Domain Security Policy имеют приоритет по сравнению настройками Local Security Policy.

Примечание. Как Microsoft, так и агентство NSA (National Security Agency) предлагают файлы шаблонов безопасности, которые можно использовать для защиты Windows, серверов, рабочих станций и приложений. Их следует использовать с большой осторожностью и только после обширного тестирования. После их установки может нарушиться работа многих конфигураций приложений и серверов.

Чтобы модифицировать Local Security Policy, сделайте следующее.

1. Выполните вход на данный компьютер с административными правами.

2. Выберите Start/Programs/Administrative Tools/Local Security Policy. Появится консоль Local Security Settings.

Локальные политики безопасности для учетных записей

Windows Server 2003 использует политики учетных записей для управления двумя важными составляющими аутентификации по учетной записи.

· Password policy (Политика паролей). Определяет настройки для реализации функций управления паролями пользователей.

· Account lockout policy (Политика блокировки учетных записей). Определяет, когда и насколько будет блокирована от системы учетная запись в случае отказа в аутентификации пользователя.

· Enforce Password History (Журнал паролей). Должно быть задано запоминание 12 паролей.

· Maximum Password Age (Максимальный срок действия паролей). Промежуток времени, после которого пользователям требуется изменить свой пароль. Должно быть задано значение от 45 до 90 дней.

· Minimum Password Age (Минимальный срок действия паролей). Минимальный промежуток времени, в течение которого пользователи не могут изменять пароль. Должно быть задано значение 1 день.

· Minimum Password Length (Минимальная длина паролей). Минимальное количество символов, которое должно быть в пользовательских паролях. Должно быть задано значение не менее 8 символов. Каждый дополнительный символ в пароле существенно повышает трудность взлома пароля.

· Password Must Meet Complexity Requirements (Пароль должен отвечать требованиям сложности). Требует использования сильных паролей и поэтому должна быть включена (Enabled). Это требует задания пароля, содержащего не менее трех символов из следующих четырех наборов символов: прописные буквы, строчные буквы, числа и неалфавитные символы.

Примечание. Слабые пароли пользователей и администраторов являются одной из основных причин проникновения хакеров на серверы. Если хакер может "разгадать" пароль Domain Administrators, то он фактически "владеет" всем доменом.

Политики блокировки учетных записей

Существует несколько подходов к реализации политик блокировки учетных записей. В одной из рекомендаций говорится, что блокировку учетных записей реализовать не следует: если политики паролей сконфигурированы должным образом, то никакой злоумышленник не сможет разгадать пароль за приемлемый период времени. Кроме того, активизация политик блокировки учетных записей значительно повышает возможность отказа в обслуживании, если делаются попытки компрометации сервера с помощью автоматизированных атакующих программ. Эти программы часто осуществляют перебор небольшого числа типичных паролей, что может привести к блокировке некоторых или всех учетных записей на сервере (за исключением учетной записи Administrator, которая не может быть блокирована).

Внимание. Существует ряд "червей", которые пытаются выполнить вход для открытия разделяемых сетевых ресурсов путем перебора небольшого числа паролей для учетной записи Administrator. Если им удается выполнить вход, это открывает бреши для проникновения хакеров в систему.

Ниже приводятся некоторые рекомендованные настройки на тот случай, если вы решили реализовать политику блокировки учетных записей.

· Account Lockout Duration (Длительность блокировки учетной записи). Должна быть задана равной 0, что требует помощи администратора для разблокирования учетной записи. Эта политика блокирует учетную запись на указанный период времени после неудачных попыток ввода пароля.

· Account Lockout Threshold (Предельное число попыток перед блокировкой учетной записи). Учетные записи следует блокировать после пяти неверных попыток входа.

· Reset Account Lockout Counter After (Сброс счетчика попыток через). Должно быть задано значение 30 минут. Эта политика задает, как долго должно оставаться в счетчике предельное число попыток, прежде чем выполнить его сброс.

Локальные политики

Локальные политики позволяют администраторам реализовать настройки безопасности, которые относятся к отдельным компьютерам или пользователям. Для конфигурирования можно использовать секцию Local Policies.

· User rights assignment (Назначение прав пользователей). Охватывает разнообразные политики, определяющие типы действий, которые могут выполнять отдельные пользователи или группы. Их конкретная реализация зависит от сайта и компьютера.

· Security options (Параметры безопасности). Управление различными настройками для компьютера. Их конкретная реализация зависит от окружения сайта и того, как используется сервер.

· Audit policy (Политика аудита). Определяет, какие события безопасности регистрируются в журнале событий безопасности на данном компьютере. Управление журналом безопасности Windows Security осуществляется из оснастки Event Viewer.

Существует целый ряд опций безопасности, которые вы можете реализовать в Windows Server 2003. Конфигурирование этих опций сильно зависит от окружения сервера и характера использования данного сервера. Например, контроллер домена может иметь опции, отличные от связанного с интернетом веб-сервера. Возможно, вы захотите просмотреть и реализовать некоторые из этих политик. Две из наиболее важных политик - это переименование учетной записи Administrator и учетной записи Guest.

Следующие политики безопасности можно задавать для повышения безопасности локальных компьютеров и компьютеров, являющихся членами домена.

· Set Additional Restrictions for Anonymous Connections (Задание дополнительных ограничений для анонимных соединений). Отключает для анонимных пользователей возможность доступа к спискам учетных записей SAM и разделяемых ресурсов. Это затрудняет определение учетных записей, которые могут быть компрометированы. Эта политика должна быть включена (Enabled).

· Disable Shutdown Without Logon (Запрет завершения работы компьютера до выполнения входа). Запрещает пользователям завершать работу компьютера, пока он не выполнил вход в систему. Эта политика должна быть отключена (Disabled).

· Clear Virtual Memory Page File When System Shuts Down (Удаление файла виртуальной памяти при завершении работы системы). Удаление файла подкачки при завершении работы системы. Это гарантирует, что любая информация, остающаяся в файле подкачки, будет недоступна следующему пользователю, выполняющему вход на эту машину. Эта политика должна быть включена (Enabled).

· Disable CTRL+ALT+DEL Required for Logon (Исключить требование CTRL+ALT+DEL для входа). Упрощает вход в сеанс пользователя. По умолчанию эта политика отключена (Disabled). Не активизируйте эту политику!

· Do Not Display Last User Name on Logon Screen (Не выводить имя последнего пользователя в окне входа). Удаление имени последнего пользователя из сеанса входа. В этом случае злоумышленнику придется угадывать идентификатор и пароль пользователя. Эта политика должна быть включена (Enabled).

· Implement an Authorized Usage Warning (Реализация предупреждения об авторизованном использовании). Реализация интерактивного окна входа, где выводится баннер входа с заголовком и предупреждением. Администраторы могут задавать заголовок и текст сообщения.

· Rename Administrator Account (Переименование учетной записи администратора). Снижает вероятность успешных атак за счет того, что потенциальному хакеру придется угадывать пароль и пользовательский идентификатор учетной записи

Administrator. Администраторы могут задавать новое имя для учетной записи Administrator.

· Rename Guest Account (Переименование учетной записи гостя). Снижает вероятность успешных атак за счет того, что потенциальному хакеру придется угадывать пароль и пользовательский идентификатор учетной записи Guest. Администраторы могут задавать новое имя для учетной записи Guest.

Реализация аудита

Аудит - это основное средство для администраторов, позволяющее выявлять и отслеживать потенциальные проблемы безопасности, обеспечивать учет пользователей и обнаруживать признаки проникновения в систему безопасности. Для реализации политики аудита требуется, чтобы вы определили, какие события и объекты нужно включить в аудит. Наиболее часто в аудит включаются следующие типы событий.

· Вход и выход пользователей из системы.

· Изменения в пользовательских учетных записях и группах.

· Доступ пользователей к важным объектам, таким как файлы и папки.

· Изменения политик.

Примечание. Аудит журнала событий - это один из наиболее действенных способов, позволяющих выявить несанкционированное проникновение на сервер.

Для эффективного аудита Windows Server 2003 вы должны выработать стратегию аудита, которая определяет следующее.

· События безопасности сервера, которые следует включить в аудит.

· Максимальный размер и срок хранения записей для журнала Windows Security. Эти значения можно задать в Event Viewer (выберите Start/Settings/Control Panel/ Administrative Tools/Event Viewer, щелкните правой кнопкой на конкретном журнале и выберите пункт Properties).

· Объекты, такие как файлы и папки, которые должны быть включены в мониторинг. Администраторам следует включать в аудит только необходимые объекты, иначе это вызовет очень быстрое заполнение журналов аудита.

· Развертывание политики аудита (Auditing Policy) с помощью средства Local Security Policy (Start/Settings/Control Panel/Administrative Tools/Local Security Policy) на автономной машине или (с помощью Group Policy) в домене.

· Регулярный просмотр журналов безопасности. Ценность аудита заключается именно в том, что вы можете просматривать журналы безопасности для выявления проникновений в систему безопасности. Ниже приводится местоположение журналов Windows Server 2003.

o %SYSTEMROOT%\system32\config\SysEvent.Evt

o %SYSTEMROOT%\system32\config\SecEvent.Evt

o %SYSTEMROOT%\system32\config\AppEvent.Evt

· Обновление политики аудита по мере необходимости. После просмотра журналов за определенный период времени может потребоваться сбор большего или меньшего объема информации.

Чтобы активизировать локальный аудит безопасности Windows с помощью Local Security Policy, выполните следующие шаги.

1. Выполните вход в качестве администратора в Windows Server 2003.

2. Выберите Start/Settings/Control Panel.

3. Дважды щелкните на Administrative Tools.

4. Дважды щелкните на Local Security Policy, чтобы запустить оснастку MMC Local Security Settings.

5. Дважды щелкните на Local Policies, чтобы раскрыть этот контейнер, и затем дважды щелкните на Audit Policy (Политика аудита).

6. В правой панели дважды щелкните на политике, которую хотите активизировать или отключить.

7. Установите флажки Success (Успешные) и Fail (Неуспешные).

Чтобы активизировать аудит безопасности с помощью консоли MMC, выполните следующие шаги.

1. Выполните вход в качестве администратора в Windows Server 2003.

2. Выберите Start/Run, введите mmc и затем щелкните на кнопке OK.

3. Добавьте оснастку Group Policy.

4. В поле Select Group Policy Object щелкните на Local Computer, щелкните на кнопке Finish, щелкните на кнопке Close и затем щелкните на кнопке OK.

5. Раскройте Local Computer Policy\Computer Configuration\Windows Settings\ Security Settings\Local Policies и затем щелкните на Audit Policy.

6. В правой панели дважды щелкните на политике, которую хотите активизировать или отключить.

7. Установите флажки Success и Fail.

Имеется несколько политик аудита, которые можно реализовать для повышения безопасности Windows Server 2003.

· Audit Account Logon Events (Аудит событий входа по учетным записям). Аудит событий входа, связанных с аутентификацией пользователя. Рекомендуется аудит успешных и неудачных попыток входа (SUCCESS и FAILURE).

· Audit Account Management (Аудит управления учетными записями). Аудит таких событий, как создание учетной записи, блокировка учетной записи и удаление учетной записи. Рекомендуется аудит событий типа SUCCESS и FAILURE.

· Audit Directory Service Access (Аудит доступа к службе каталога). Активизирует аудит доступа к объектам Active Directory. Рекомендуется аудит событий типа SUCCESS и FAILURE.

· Audit Logon Events (Аудит событий входа). Аудит событий входа в систему, к которой применяется данная политика. Рекомендуется аудит событий типа SUCCESS и FAILURE.

· Audit Object Access (Аудит доступа к объектам). Активизирует аудит доступа ко всем объектам, которые можно включать в аудит, например, объекты файловой системы и реестра. Рекомендуется аудит событий типа SUCCESS и FAILURE.

· Audit Policy Change (Изменение изменений политик). Определяет, нужен ли аудит изменений, вносимых в политики назначения прав пользователей, в политики аудита или в политики доверия. Рекомендуется аудит событий типа SUCCESS.

· Audit System Events (Аудит системных событий). Аудит таких событий, как завершение работы системы и загрузка системы, или событий, влияющих на системный журнал и/или журнал безопасности, например, очистка этих журналов. Рекомендуется аудит событий типа SUCCESS.

Примечание. Наиболее важными событиями, для которых требуется мониторинг, являются события Audit Logon Events (из них можно определить, кто пытался выполнить вход), Audit Policy Change (из них можно определить, вносились ли изменения в какую-либо политику) и Audit System Events (они позволяют выявить необычные действия на данном компьютере). Эти события аудита часто используются для выявления проникновений в систему.

После задания аудита, направленного на обнаружение и запись доступа через систему безопасности к файлам или папкам, вы можете отслеживать пользователей, которые выполняют доступ к определенным объектам, и анализировать проникновения в систему безопасности. Анализ аудита может показать, кто выполнил действия и кто пытался выполнить действия, которые не разрешены.

Чтобы задать аудит по файлу или папке, выполните следующие шаги.

1. Запустите Windows Explorer и затем найдите файл или папку, для которой хотите задать аудит.

2. Щелкните правой кнопкой на этом файле или папке, выберите пункт Properties и затем щелкните на вкладке Security.

3. Щелкните на кнопке Advanced и затем щелкните на вкладке Auditing.

4. Определите тип изменений в аудите, которые нужно выполнить.

Чтобы задать аудит для новой группы или нового пользователя, щелкните на кнопке Add. В поле Name введите имя пользователя или используйте кнопку Advanced, чтобы найти конкретного пользователя.

Для просмотра или изменения аудита для существующей группы или пользователя щелкните на имени и затем щелкните на кнопке View/Edit.

Чтобы отменить аудит для существующей группы или пользователя, щелкните на имени и затем щелкните на кнопке Remove.

5. В панели Access (Доступ) щелкните на флажках Successful (Успешные) и/или Failed (Безуспешные) в зависимости от типа доступа, аудит которого вам нужен.

6. Если вы хотите, чтобы файлы и подпапки в данной папке не наследовали настройки аудита, сбросьте флажок Apply these auditing entries.

Примечание. Вы можете просматривать события IPSec Policy Agent в журнале аудита и события драйвера IPSec в системном журнале. Чтобы активизировать регистрацию событий драйвера IPSec, задайте в реестре для HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\IPSec\DiagnosticMode значение 1 и перезагрузите компьютер. Драйвер IPSec записывает события в системный журнал только раз в час.

Выявление проникновений в систему безопасности путем аудита журналов

Попытки несанкционированного доступа, записанные в журнале Windows Security, можно видеть как записи предупреждений или ошибок. Чтобы выявить возможные проблемы безопасности, просмотрите журнал Windows Security.

1. Выберите Start/Settings/Control Panel.

2. Дважды щелкните на Administrative Tools и затем дважды щелкните на Computer Management.

3. Раскройте System Tools и затем раскройте Event Viewer.

4. Щелкните на Security.

5. Просмотрите, нет ли в журналах "подозрительных" событий безопасности, включая следующие события.

6. Неверные попытки входа.

7. Безуспешное использование привилегий.

8. Безуспешные попытки доступа и изменения файлов .bat или .cmd.

9. Попытки изменить привилегии безопасности или журнал аудита.

10. Попытки завершить работу сервера.

Защита журналов событий

Важно ограничить доступ к журналам событий, чтобы защитить их от изменения. Злоумышленник может попытаться изменить журналы безопасности, отключить аудит во время атаки или очистить журнал безопасности, чтобы воспрепятствовать обнаружению.

Внимание. Совершенно пустой журнал безопасности, когда включен аудит безопасности, может означать, что было проникновение на сервер, и хакер пытался скрыть свои следы.

Журналам безопасности можно назначить права доступа, чтобы ограничить круг пользователей, которые могут читать эти файлы. По умолчанию эти файлы могут читать члены группы Everyone. Для обеспечения защиты записей журналов событий, вы должны предпринять соответствующие шаги.

· Отмените права доступа группы Everyone и ограничьте доступ группами Administrators и System. Определите политику для хранения, перезаписи и обслуживания всех журналов событий. Эта политика должна определять все требуемые настройки журналов событий и поддерживаться Group Policy.

· Проследите, чтобы в политике указывалось, что делать в случае заполнения всего журнала событий, особенно журнала безопасности. В этом случае рекомендуется требовать, чтобы по возможности была завершена работа сервера.

· Задайте настройки политики безопасности, чтобы локальные учетные записи Guest не могли получать доступ к системному журналу и к журналам приложений и безопасности.

· Проследите, чтобы для системных событий выполнялся аудит как успешных, так и безуспешных попыток, чтобы выявить возможные попытки стирания содержимого журнала безопасности.

· Все администраторы, которые имеют возможность просматривать или модифицировать настройки аудита, должны использовать сложные пароли или двух-факторные методы аутентификации, например, вход по смарт-карте, чтобы предотвратить атаки на эти учетные записи для получения доступа к информации аудита.

Доверительные отношения между доменами

Доверие домену - это отношения между доменами, которые позволяют пользователям одного домена быть аутентифицированными контроллером домена в другом домене. При использовании Windows Server 2003 аутентификация по учетным записям между доменами активизируется двусторонними транзитивными доверительными отношениями на базе Kerberos. Это позволяет пользователям и компьютерам аутентифицироваться между любым доменом в дереве доменов или в лесу. Эти доверительные отношения автоматически создаются между родительским и дочерним доменами, когда в дереве доменов создается новый домен. В лесу доверительные отношения автоматически создаются между корневым доменом леса и корневым доменом каждого дерева доменов, добавляемого к лесу.

Внимание. Доверительные отношения доменов могут представлять серьезную угрозу безопасности. Обычно угроза безопасности ограничена в каждый момент каким-либо одним конкретным доменом. Компрометация безопасности в домене с доверительными отношениями может подвергать риску все домены, которые являются "партнерами" этого домена. Например, если учетная запись верхнего уровня компрометирована в одном домене, ее могут использовать для проникновения в другие доверяемые домены.

Прежде чем учетной записи может быть предоставлен доступ к ресурсам контроллером другого домена, система Windows Server 2003 должна проверить, имеет ли этот домен доверительные отношения с первым доменом. Для этого Windows Server 2003 определяет "последовательность доверия" между контроллерами этих двух доменов. Последовательность доверия - это набор доверительных отношений, который должен быть пройден средствами безопасности Windows Server 2003 для передачи запросов аутентификации между любыми двумя доменами.

Примечание. Если пользователь аутентифицируется контроллером доверяющего домена, это не позволяет пользователю автоматически получать доступ к ресурсам в этом домене. Доступ пользователя по-прежнему определяется правами и полномочиями, предоставленными учетной записи этого пользователя для доверяющего домена администратором домена.

Явные доверительные отношения между доменами создаются администраторами - в отличие от доверительных отношений, создаваемых во время установки контроллера домена. Администраторы создают явные доверительные отношения и управляют ими с помощью оснастки MMC Active Directory Domains and Trusts (Домены Active Directory и доверительные отношения).

Имеется два вида явных доверительных отношений доменов: внешние доверительные отношения (external trust) и сокращенные доверительные отношения (shortcut trust). Внешние доверительные отношения разрешают аутентификацию пользователя в домене, находящемся вне определенного леса, в то время как сокращенные доверительные отношения сокращают последовательность доверия в сложном лесу.

Внешние доверительные отношения создают отношения доверия между доменами в различных лесах. Внешние доверительные отношения разрешают аутентификацию пользователя в домене, который не входит в последовательность доверия определенного леса. Хотя все внешние доверительные отношения являются односторонними нетранзитивными доверительными отношениями, два внешних доверительных отношения можно объединить для создания двусторонних доверительных отношений.

Повторите эту процедуру во втором домене этого явного доверительного отношения.

Управление корректировками ПО

Поддержка корректировок для Windows Server 2003 с помощью последних выпусков ПО является критически важной для защиты системы. Если в систему не вносятся эти поправки, все остальные попытки защиты Windows Server 2003 не дают никакого эффекта.

Компании по разработке ПО выпускают поправки (заплаты) для исправлений кода или устранения проблем конфигурации. Иногда эти проблемы связаны с вопросами безопасности, когда злоумышленники используют бреши (уязвимые точки) в системе безопасности. Как только становится известно о такой точке, злоумышленники часто пытаются использовать ее для компрометации систем. Обычно компании по разработке ПО стараются как можно быстрее выпустить такие заплаты безопасности, чтобы защитить своих пользователей.

Обычно термины "заплата" (patch), пакет обновлений (service pack) и оперативное исправление (hotfix) используют в равной степени, подразумевая обновления ПО, но каждый из них имеет свое конкретное определение.

· Пакеты обновлений (service pack). Используются для поддержки соответствующего продукта на уровне текущих изменений, а также исправления проблем, появившихся после выпуска этого продукта. Для каждого продукта имеется несколько пакетов обновлений, но один пакет обновлений обычно подходит для различных версий одного продукта. Пакеты обновлений являются накопительными, то есть каждый новый пакет обновлений содержит предыдущие пакеты обновлений, а также новые исправления, появившиеся с момента выпуска предыдущего пакета обновлений.

· Оперативные исправления (hotfix). Это "заплаты" для продуктов, поставляемые отдельным заказчикам, имеющим существенные проблемы без каких-либо способов их обхода. Оперативные исправления не проходят исчерпывающего регрессивного тестирования и выпускаются только для разрешения конкретной проблемы. Группы оперативных исправлений часто объединяются в пакеты обновлений.

· Заплаты безопасности (security patch). Специальные выпуски для устранения брешей в системе безопасности. Они аналогичны оперативным исправлениям, но в основном выпускаются для защиты систем. Без применения текущих заплат безопасности система Windows Server 2003 может быть уязвима в высокой степени для проникновения вирусов и атак хакеров.

Для всех этих обновлений вам следует взвесить риски и преимущества их развертывания. Следует также тестировать каждое обновление, прежде чем развертывать его в эксплуатируемой среде. Microsoft разработала бесплатные средства, позволяющие определить, была ли обновлена система.

Microsoft Network Security Hotfix Checker (HFNETCHK)

HFNETCHK (Проверка оперативных исправлений системы безопасности сети) - это утилита командной строки, позволяющая проверить, установлены ли все заплаты безопасности на рабочей станции или сервере. Утилита MBSA V1.1, выпущенная а декабре 2002 г., заменила автономное средство HFNETCHK эквивалентной программой Mbsacli.exe.

Примечание. Администраторы, которые используют в настоящее время HFNETCHK, могут получать ту же информацию, используя следующую команду из папки, где была установлена MBSA 1.1: Mbsacli.exe /hf.

Программу Mbsacli.exe, заменившую HFNETCHK, можно использовать для проверки состояния обновлений Windows Server 2003, Windows NT 4, Windows 2000 и Windows X P, а также оперативных исправлений для Internet Information Server (IIS) 4.0, IIS 5.0, SQL Server 7.0, SQL Server 2000, Microsoft Data Engine (MSDE), Exchange Server 5.5, Exchange Server 2000, Windows Media Player и Internet Explorer, начиная с версии 5.01.

Microsoft Baseline Security Analyzer (MBSA)

MBSA - это бесплатное графическое средство проверки безопасности, которое ищет на Windows-компьютерах типичные нарушения конфигураций безопасности и генерирует отчет о состоянии безопасности для каждого сканируемого компьютера. MBSA работает на компьютерах Windows Server 2003, Windows 2000 и Windows X P. Оно выполняет только сканирование нарушений в безопасности на компьютерах Windows Server 2003, Windows NT 4, Windows 2000 и Windows XP. MBSA сканирует характерные нарушения безопасности в Microsoft Windows, Microsoft IIS, Microsoft SQL Server, Microsoft Internet Explorer (IE) и Microsoft Office. MBSA также выполняет сканирование для выявления недостающих обновлений системы безопасности в Microsoft Windows, IIS, SQL Server, IE, Windows Media Player (WMP), Exchange Server и Exchange 2000 Server. Для проверки безопасности на определенной машине с помощью этого средства требуются административные привилегии.

Для MBSA, Mbsacli.exe и для старой утилиты HFNETCHK требуется XML-файл, непосредственно загружаемый с веб-сайта Microsoft и содержащий список самых последних оперативных исправлений, которые следует установить на данном компьютере. Если нет соединения с Интернет, то они используют локальный XML-файл, но он может оказаться устаревшим и оставить систему незащищенной. При запуске MBSA или Mbsacli.exe они всегда пытаются получить самую последнюю копию этого XML-файла.

Этот XML-файл (MSSECURE.XML) содержит имя и заголовок соответствующего бюллетеня безопасности, а также подробную информацию об оперативных исправлениях безопасности для данного продукта, включая следующие данные.

· Имена файлов в каждом пакете оперативных исправлений вместе с версиями этих файлов и контрольными суммами.

· Разделы реестра, к которым относятся эти оперативные исправления.

· Информация, указывающая, какие заплаты заменяют другие заплаты.

· Номер соответствующей статьи в Microsoft Knowledge Base.

Возможности сканирования MBSA

MBSA можно использовать как бесплатное очень ограниченное средство оценки уязвимости системы со следующими возможностями.

· Сканирование одного или нескольких компьютеров Windows Server 2003, Windows NT 4, Windows 2000 и Windows XP.

· Проверка на точки уязвимости операционной системы Windows.

· Проверка на точки уязвимости IIS.

· Проверка на точки уязвимости SQL Server. Проверка выполняется для каждого экземпляра SQL Server, найденного на проверяемом компьютере.

· Проверка на слабость паролей и типичные элементы уязвимости паролей. Проверяя пароли, MBSA может добавлять записи в журнал Security, если активизирован аудит. MBSA выполняет сброс любых обнаруженных политик блокировки учетных записей, чтобы не блокировать никаких пользовательских учетных записей во время проверки паролей, но эта проверка не выполняется на контроллерах домена.

· Проверка на отсутствующие обновления системы безопасности.

При сканировании системы безопасности MBSA сохраняет для каждого компьютера выходные отчеты в отдельных XML-файлах в папке %userprofile%\ SecurityScans. Их можно просматривать с помощью средства MBSA Scan reports (Отчеты о сканировании).

Внимание. Известной проблемой MBSA является то, что в случае применения оперативного исправления (hotfix), не относящегося к системе безопасности, после hotfix по системе безопасности MBSA, возможно, сообщит, что hotfix по безопасности отсутствует. Данный компьютер будет все же защищен, даже если MBSA сообщает, что это не так. Это будет устранено в следующем выпуске MBSA.

Еще один способ проверить наличие оперативных исправлений - это использование Regedit32 для просмотра раздела реестра HKLM\Software\Microsoft\Windows NT\Currentversion\hotfix. Для каждого установленного hotfix должен быть раздел, соответствующий статье из Microsoft Knowledge Base для этого hotfix. Но здесь, возможно, не будут представлены старые оперативные исправления и оперативные исправления для некоторых приложений.

Контрольный список

Ниже приводится контрольный список для поддержания системы безопасности Windows Server 2003.

· Поддерживайте антивирусное ПО на уровне последних изменений. Существуют тысячи вирусов, причем каждый день появляется в среднем по пять новых вирусов. Вирусы не только повреждают компьютер, но также могут сделать его уязвимым для атак хакеров.

· Подпишитесь на службу Microsoft Security Notification Service, чтобы получать уведомления о последних заплатах безопасности Microsoft: www.microsoft.com/ technet/security/bulletin/notifyasp .

· Разработайте систему управления заплатами. В организациях должен быть определен процесс тестирования и развертывания новых заплат безопасности вскоре после их выпуска.

· Регулярно просматривайте журналы. Ищите признаки проникновения.

· Просматривайте журналы Application, System, Security и IIS (если установлена IIS).

· Объясните администраторам, как выглядит атака.

· Реализуйте регулярный мониторинг сети, чтобы выявлять проникновение в сеть и действия хакеров.

· Регулярно запускайте сканирование с помощью MBSA на всех клиентских компьютерах и серверах Windows Server 2003, Windows NT 4, Windows 2000 и Windows XP

· Блокируйте свои веб-серверы с помощью таких средств, как IISlockdown/ URLSCAN. Вы можете найти их по адресам http://www.microsoft.com/windows2000/downloads/recommended/iislockdown/default.asp и http://www.microsoft.com/windows2000/downloads/recommended/urlscan/default.asp .

· Просматривайте рекомендации Microsoft для реализации защищенных конфигураций в вашей среде: www.microsoft.com/technet/security/tools/tools. Эти рекомендации могут оказаться очень полезны, даже если они не относятся непосредственно к Windows Server 2003.

· Просматривайте руководства по безопасности агентства NSA, где можно найти дополнительные идеи по защите вашей среды Windows: http://nsa2.www.conxion.com/win2k/index.html. Имейте в виду, что установка .inf-файлов NSA может нарушить работу ваших приложений.

· Используйте услуги сторонних организаций для регулярного аудита и оценок безопасности вашей сети и серверного окружения.

Тема 5. Безопасность MICROSOFT WINDOWS SERVER 2008

1. Преимущества Microsoft Windows Server 2008

Microsoft Windows Server 2008 — это серверная операционная система, созданная для компаний любого размера и обеспечивающая надежную,
гибкую и масштабируемую платформу для автоматизации различных бизнес-задач. Новые средства виртуализации, поддержка современных веб-
технологий и расширения в области безопасности, помогают сократить
время, требующееся на развертывание и сопровождение приложений,
снизить затраты на обслуживание и использовать платформу в качестве
основы для динамических центров обработки данных. Новые и расширенные компоненты операционной системы, такие как Internet Information
Server 7.0 (IIS7), Windows Server Manager и Windows PowerShell, позволяют упростить задачи управления серверами и облегчить конфигурацию
и сопровождение. Расширения, связанные с безопасностью и надежностью, такие как Network Access Protection и Read-Only Domain Controller
делают операционную систему более защищенной и позволяют использовать ее в качестве платформы для выполнения различных бизнес-задач.

При выборе серверной операционной системы всегда следует обращать
внимание на ключевые сценарии, для реализации которых она предназначена. В случае с новой серверной операционной системой Microsoft
Windows Server 2008, таких ключевых сценариев четыре: платформа для
веб-приложений, виртуализация, надежность и безопасность, а также платформа для решения бизнес-задач различных классов.

Ключевые сценарии использования Windows Server 2008

Платформа для выполнения бизнес-задач

Windows Server 2008 — это наиболее гибкая и надежная операционная система в семействе операционных систем Windows Server. Новые технологии и возможности, такие как Server Core, PowerShell, Windows Deploy-ment Services, расширенные сетевые и кластерные технологии позволяют говорить о Windows Server 2008 как о надежной и масштабируемой платформе для обеспечения реализации ключевых бизнес-сценариев и выполнения бизнес-приложений. Среди ключевых компонентов Windows Server 2008, обеспечивающих платформу для выполнения бизнес-задач, выделим следующие:

- Server Manager — унифицированный механизм управления сервером, построенный на основе Microsoft Management Console (MMC) и предоставляющий в распоряжение IТ-специалистов интегрированное решение для добавление, удаления и конфигурирования серверных ролей,
ролевых сервисов и дополнительных функций.

- Windows Deployment Services (WDS) представляет собой набор компонентов, совместно работающих под управлением Windows Server 2008
и обеспечивающих механизмы упрощенного и надежного сетевого
развертывания операционных систем семейства Windows на компьютерах без необходимости в ручной установке программного обеспечения на каждый отдельный компьютер.

- Windows PowerShell — оболочка, расширяющая функциональность командной строки и позволяющая выполнять пакетные программы и утилиты, написанные на скриптовом языке. Использование Windows Power-
Shell помогает IТ-специалистам автоматизировать наиболее частые задачи и получить более простой контроль над системой — как локальной, так и удаленной, развернутой, например, в филиале (branch office).

- Server Core — новая опция установки Windows Server 2008, включающая ограниченный набор ролей и соответствующих ролевых сервисов и обеспечивающая более надежную и защищенную серверную платформу, требующую минимальных затрат на обслуживание и установку обновлений.

- В состав Windows Server 2008 входит новая реализация стека протоколов TCP/IP, которая известна под названием «Next Generation TCP/IP Stack». Стек протоколов TCP/IP нового поколения представляет собой полностью переписанную функциональность TCP/IP, отвечающую современным требованиям к сетевым протоколам, коммуникационным механизмам и технологиям.

- Отказоустойчивые кластеры (Failover Cluster, ранее назывались Server Clusters) представляют собой группу независимых компьютеров, работающих вместе для обеспечения высокой доступности приложений и сервисов. Реализованные в Windows Server 2008 улучшения в кластерных технологиях призваны упростить создание кластерной инфраструктуры, сделать ее более защищенной и повысить стабильность решений на базе
отказоустойчивых кластеров.

Платформа для веб-приложений

Windows Server 2008 представляет собой мощную платформу для создания и выполнения веб-приложений и сервисов и позволяет компаниям
эффективно реализовывать различные веб-приложения. Выпуск Internet
Information Server 7.0 (IIS7) в составе Windows Server 2008 обеспечивает
улучшенное администрирование и диагностику, поддержку расширенных
средств разработки и снижение затрат на инфраструктуру. Полная модульная организация веб-сервера с возможностью создания собственных расширений решает ключевые бизнес-задачи, поддерживает хостинг приложений и обеспечивает совместимость с уже существующими решениями.

Технология совместной работы Microsoft Windows SharePoint Services
3.0 помогает организациям улучшить бизнес-процессы и увеличить продуктивность командной работы. Богатый набор функциональности и утилит обеспечивает сотрудников доступом к удаленным рабочим пространствам (workspaces) и документам для совместной работы непосредственно из веб-браузера, тем самым разрушая организационные и географические границы.

Windows Media Services — набор сервисов для доставки потоковой информации с упрощенными средствами администрирования, настройки и
повышенной масштабируемостью.

Виртуализация

Встроенные в Windows Server 2008 технологии виртуализации (Windows Server virtualization, Hyper-V) позволяют компаниям снизить затраты, увеличить утилизацию аппаратных средств, оптимизировать инфраструктуру и увеличить доступность серверов. Виртуализация в Windows Server использует 64-битную платформу на основе гипервизора, что позволяет увеличить надежность и масштабируемость. Виртуализация помогает организациям оптимизировать использование аппаратных ресурсов за счет консолидации серверов. Помимо этого, виртуализация использует такие компоненты платформы Windows Server 20.08, как отказоустойчивые кластеры для обеспечения высокой доступности и защиты доступа к сети —
Network Access Protection (NAP).

Гибкость работы мобильных сотрудников обеспечивается возможностью запуска приложений на удаленных компьютерах — это возможно благодаря поддержке в Windows Server 2008 таких технологий, как Terminal Services RemoteApp и Terminal Services Gateway.

Надежность и безопасность

Windows Server 2008 — самый защищенный сервер в семействе серверов Windows Server. Безопасная операционная система и расширения в области безопасности, включая Network Access Protection, Federated Rights
Management и Read-Only Domain Controller обеспечивают уровни защиты данных, ранее отсутствовавшие в системе. В состав Windows Server 2008
включены такие средства безопасности, как расширенное шифрование,
средства аудита и ряд других, помогающих организациям защитить от
хищения данные, используя средства Rights Management Services, а также
технологии BitLocker и механизмы Group Policy.

Ключевые преимущества и основные причины перехода на Windows Server 2008

Можно выделить ряд ключевых преимуществ Windows Server 2008 по сравнению с предыдущими версиями операционных систем семейства Windows Server.

К ним относятся:

Надежная серверная платформа, обеспечивающая безопасность, управляемость, совместимость, быстрое время отклика и поддержку широкого числа стандартов;

Платформа, поддерживающая быстрое создание и развертывание широкого спектра приложений;

Повышенная операционная эффективность и низкие затраты на под-
держание IТ-инфраструктуры;

Сетевые функции, управляемые политиками, улучшенные средства поддержки филиалов и расширенные механизмы для конечных пользователей;

Платформа для прикладных решений, поддерживающая гибкость, коммуницируемость и богатые интерфейсные возможности;

Платформа, предоставляющая более безопасную и надежную IТ-инфраструктуру, помогающую компаниям решать бизнес-задачи.

Windows PowerShell с более чем 120 стандартными утилитами и возможностью включения расширений

2. Средства обеспечения безопасности

Windows Server 2008 — наиболее защищенный из всех продуктов семейства Windows Server. Повышенная безопасность операционной системы
и новинки системы безопасности, включая систему защиты доступа к сети,
федеративные службы управления правами и контроллер домена только
для чтения, обеспечивают максимальный уровень защиты сети, данных и
всего бизнеса.

Windows Server 2008 позволяет защитить серверы, сети, данные и учетные записи пользователей от сбоев и вторжений.

Технология защиты доступа к сети позволяет изолировать компьютеры, которые не отвечают требованиям действующих политик безопасности, и обеспечивает для сети механизм ограничения доступа, устранения недостатков и непрерывной проверки соответствия.

Федеративные службы управления правами поддерживают постоянную
защиту конфиденциальных данных, помогают сократить риски, обеспечивают соблюдение регулятивных норм и формируют платформу для
комплексной защиты информации.

Контроллер домена только для чтения (RODC) позволяет развертывать
службы Active Directory с ограниченной репликацией полной базы данных
Active Directory для улучшения защиты на случай кражи или взлома сервера.

В операционной системе Windows Server 2008 существует много возможностей, благодаря которым повышается защищенность системы и
соответствие ее требованиям безопасности.

Ниже перечислены некоторые из ключевых нововведений.

- Принудительное соответствие клиентов требованиям безопасности.
Технология защиты доступа к сети (NAP) позволяет администраторам настроить клиентские компьютеры и обеспечить их соответствие определенным требованиям безопасности прежде, чем они смогут получить доступ к сети.

- Мониторинг центров сертификации. Инфраструктура PKI предприятия расширяет возможности по мониторингу и устранению неполадок во множественных центрах сертификации.

- Усовершенствования брандмауэра. В новом режиме повышенной безопасности брандмауэра Windows имеется ряд улучшений защиты.

- Шифрование и защита данных. Технология BitLocker позволяет зашифровать диск, чтобы защитить важные данные.

- Средства криптографии. Средства шифрования нового поколения обеспечивают гибкую платформу для разработки криптографии.

- Изоляция серверов и доменов. Ресурсы сервера и домена могут быть
изолированы для обеспечения доступа к ним только с авторизованных
компьютеров, прошедших проверку подлинности.

- Контроллер домена только для чтения (RODC). Контроллер домена
только для чтения — это новый способ установки контроллера домена, предназначенный для удаленных филиалов с низким уровнем защиты физического доступа к серверам.

Эти улучшения помогают администраторам повысить уровень безопасности в организации и упростить развертывание параметров защиты
и управление ими.

Рассмотрим эти механизмы более подробно. Начнем с технологии
Network Access Protection.

Защита доступа к сети

Технология NAP (Network Access Protection — защита доступа к сети) предотвращает доступ к сети с компьютеров, не отвечающих требованиям безопасности, и тем самым защищает сеть организации от компрометации.

Технология NAP используется для настройки и реализации требований
безопасности, которым должны соответствовать компьютеры пользователей. С ее помощью на компьютер, не отвечающий требованиям, устанавливаются необходимые обновления или переустанавливаются соответствующие компоненты, и только после этого он может получить доступ к сети
организации. С помощью технологии NAP администраторы могут настроить параметры политик соответствия требованиям безопасности. К таким
требованиям могут относиться требования установки на компьютер необходимого ПО, требования установки необходимых обновлений и требования к конфигурации компьютеров, которые подключаются к сети организации.

Служба NAP производит оценку соответствия компьютеров заданным
требованиям и ограничивает доступ к сети в случае, если компьютер и не отвечает. В приведении компьютера в соответствие требованиям безопасности для предоставления ему полноценного доступа к сети участвуют как серверные компоненты, так и компоненты клиентской системы. Если выявлено, что клиентский компьютер не отвечает требованиям безопасности, ему может быть отказано в доступе к сети, или на него могут быть немедленно установлены исправления, необходимые для приведения его в соответствие этим требованиям.

Для принуждения соответствия компьютеров требованиям безопасности в службе NAP используются возможности таких технологий доступа к сети, как протоколы IPSec и 802. IX, принудительное использование виртуальных частных сетей для маршрутизации и удаленного доступа и принудительное использование протокола DHCP.

Сценарии защиты доступа к сети (NAP)

Представляя собой наиболее гибкое для заказчиков решение, защита доступа к сети взаимодействует с ПО поставщика, которое либо содержит
агент System Health Agent (SHA) и средства оценки работоспособности
системы System Health Validators (SHV), либо распознает опубликованный
набор интерфейсов программирования. В качестве примеров решений
сторонних поставщиков, которые работают с защитой доступа к сети,
можно назвать антивирусную программу, виртуальную частную сеть или
сетевое оборудование.

Защита доступа к сети предоставляет решение для
следующих распространенных сценариев.

- Проверка работоспособности и состояния мобильных переносных
компьютеров с помощью защиты доступа к сети сетевые администраторы могут проверять состояние любого переносного компьютера, когда он повторно подключается к сети компании, без ущерба для его мобильности и
гибкости.

- Поддержание работоспособности настольных компьютеров.

- Благодаря дополнительному управляющему ПО можно создавать автоматические отчеты, выполнять автоматическое обновление компьютеров, не соответствующих требованиям, а в случае изменения администраторами политик работоспособности компьютеры могут автоматически получать последние обновления, которые предотвращают угрозы их работоспособности со стороны общедоступных ресурсов.

- Определение состояния переносных компьютеров, получающих доступ в сеть.

- Благодаря защите доступа к сети администраторы могут определить,
имеют ли посещающие ее переносные компьютеры полномочия на доступ,
и если нет, лимитировать их доступ к ограниченной сети, не требуя обновления или изменения конфигурации этих переносных компьютеров.

- Проверка соответствия требованиям и работоспособности неуправляемых домашних компьютеров

- С помощью защиты доступа к сети сетевые администраторы могут
проверять наличие необходимых программ, параметров реестра, файлов
или их сочетания всякий раз, когда домашний компьютер подключается
к сети через виртуальную частную сеть; также они могут лимитировать
подключение к ограниченной сети, пока не будут выполнены требования
к работоспособности системы.

Режим повышенной безопасности брандмауэра Windows

Встроенный в операционную систему Windows Server 2008 брандмауэр
Windows (управляемый брандмауэр) в режиме повышенной безопасности является индивидуальным брандмауэром с отслеживанием состояний
соединений, который может пропускать или блокировать сетевой трафик
в соответствии с заданными параметрами и запущенными приложениями. Такой режим работы позволяет защитить сеть от вредоносных программ и действий пользователей.

Одной из новых возможностей брандмауэра является перехват, как входящего, так и исходящего трафика. Сетевой администратор может, к примеру, настроить брандмауэр Windows таким образом, чтобы за некоторыми исключениями заблокировать исходящий трафик, отправляемый на определенные порты, например на наиболее распространенные порты,
используемые компьютерными вирусами, или заблокировать исходящий
трафик, отправляемый на определенные адреса и содержащий конфиденциальные или нежелательные данные. Это позволяет защитить компьютер от вирусов, распространяемых по сети, а также защищает сеть от вирусов, которые могут попытаться распространить себя с зараженной системы.

Так как количество настраиваемых параметров в брандмауэре Windows
увеличилось, для упрощения администрирования брандмауэра была добавлена оснастка управления брандмауэром Windows в режиме повышенной безопасности для консоли управления ММС. Эта новая оснастка упрощает удаленную настройку и управление брандмауэром Windows на клиентских рабочих станциях и серверах. Раньше для этого приходилось использовать подключение к удаленному рабочему столу.

В предыдущих версиях операционной системы Windows Server настройка брандмауэра Windows производилась отдельно от настройки параметров протокола IPsec. Так как и индивидуальный брандмауэр, и протокол IPsec могут блокировать или разрешать входящие соединения, правила протокола IPsec и исключения брандмауэра могут перекрываться или противоречить друг другу. В новом брандмауэре Windows в операционной системе Windows Server 2008 настройка обеих сетевых служб объединена общим графическим пользовательским интерфейсом и командами командной строки. Такая интеграция настройки брандмауэра и параметров протокола IPsec упрощает настройку этих служб и помогает предотвратить перекрывающиеся или противоречивые правила.

Шифрование диска BitLocker

Шифрование диска BitLocker является новой ключевой возможностью,
которая доступна в операционной системе Windows Server 2008, а также
в выпусках Windows Vista Enterprise и Windows Vista Ultimate. Эта возможность помогает защищать серверы, рабочие станции и мобильные компьютеры. С помощью технологии BitLocker шифруется содержимое диска. Злоумышленник не сможет получить доступ к зашифрованному содержимому, осуществив загрузку операционной системы с другого раздела, обойдя защиты файловой системы с помощью программных средств или подключив жесткий диск к другому компьютеру.

Защита данных с помощью шифрования BitLocker усиливается за счет
шифрования системного раздела и проверки целостности компонентов,
используемых на раннем этапе загрузки. Полностью шифруется системный раздел, включая файл подкачки и файл режима гибернации. Благодаря этому усиливается защищенность удаленных серверов в филиалах.
Шифрование BitLocker позволяет предотвратить утечку или раскрытие
данных с утерянного, украденного или неправильно утилизированного
компьютера. Эта технология шифрования также помогает организациям
исполнять государственные постановления и законы, например, закон
Сарбэйнса-Оксли и HIPAA, в которых требуется использование высоких
стандартов обеспечения безопасности и защиты данных.

Инфраструктура Enterprise PKI (PKIView)

В инфраструктуру открытого ключа (PKI) в операционной системе Windows Server 2008 и Windows Vista был внесен ряд усовершенствований. Была улучшена управляемость всеми аспектами инфраструктуры Windows PKI, переработаны службы отзыва сертификатов и уменьшена контактная зона процесса регистрации.

К усовершенствованиям инфраструктуры PKI относится следующее.

- Инфраструктура Enterprise PKI (PKIView). Средство PKIView, ранее являвшееся частью комплекта ресурсов для операционной системы
Windows Server 2003 и называвшееся PKI Health, теперь является оснасткой консоли ММС для операционной системы Windows Server 2008.
Оно используется для анализа состояния центров сертификации и
просмотра детальных сведений о сертификатах центров сертификации,
опубликованных в службе сертификации Active Directory.

- Протокол OCSP. Сетевой ответчик, работающий на основе протокола
OCSP (Online Certificate Status Protocol — протокол сетевого состояния
сертификата), может использоваться для управления информацией о
состоянии отзыва сертификатов и распространения этой информации
в случаях, когда использование традиционных списков отзыва сертификатов не подходит. Сетевые ответчики могут быть настроены на одном компьютере или в массиве сетевых ответчиков.

- Служба NDES. Служба NDES (Network Device Enrollment Service — служба подачи заявок на регистрацию сетевых устройств) в операционной
системе Windows Server 2008 — реализация корпорацией Microsoft
протокола SCEP (Simple Certificate Enrollment Protocol — простой протокол подачи заявки на сертификат). Этот протокол позволяет программам, работающим на маршрутизаторах, коммутаторах и других сетевых устройствах, и неспособным пройти проверку подлинности в сети
другим способом, отправить запрос на получение сертификата х509 от
центра сертификации.

- Веб-регистрация. По сравнению с предыдущей версией новый элемент управления веб-регистрацией более защищен, его легче программировать с помощью сценариев и обновлять.

- Параметры PKI в групповых политиках. Параметры сертификатов в
групповых политиках позволяют администраторам централизованно
управлять настройкой сертификатов для всех компьютеров в домене.

Служба CNG

Служба CNG (Cryptography Next Generation — новое поколение криптографии) предоставляет гибкую платформу для разработки шифрования и позволяет ИТ-специалистам создавать, обновлять и использовать собственные алгоритмы шифрования в таких приложениях и технологиях, как служба сертификации Active Directory, технологии SSL и IPsec. Служба CNG реализует алгоритмы шифрования, цифровых подписей, обмена ключами и хеширования, перечисленные в своде правил Suite В Агентства национальной безопасности США.

Служба CNG предоставляет набор интерфейсов API для выполнения
основных операций, таких как создание, сохранение и получение ключей
шифрования. Также поддерживается установка и использования дополнительных поставщиков шифрования. Благодаря платформе CNG разработчики и организации могут использовать собственные алгоритмы шифрования или реализации стандартных алгоритмов.

Поддерживается текущий набор алгоритмов CryptoAPI версии 1.0, а также алгоритмы шифрования на основе эллиптических кривых (ЕСС). Поддержка определенных алгоритмов ЕСС требуется для соответствия своду правил Suite В Агентства национальной безопасности США.

Контроллеры домена только для чтения

Контроллер RODC (Read-Only Domain Controller — контроллер домена
только для чтения) — это новый тип контроллера домена, который доступен в операционной системе Windows Server 2008 и предназначен для
установки в филиалах. Контроллер RODC позволяет уменьшить риск установки контроллера домена в удаленных филиалах или в других местах,
где невозможно гарантировать физическую защищенность сервера.

На таком контроллере домена хранятся все объекты и атрибуты службы каталогов Active Directory, которые хранятся на обычном контроллере домена, за исключением паролей учетных записей. Однако пользователи не могут сохранять изменения на контроллере RODC. Так как изменения не записываются непосредственно на контроллер RODC, и, следовательно, не могут возникнуть локально, контроллерам домена, которые поддерживают запись изменений и являются партнерами по репликации не нужно запрашивать изменения с контроллеров RODC. Разделение административных ролей позволяет делегировать любому пользователю домена права локального администратора контроллера RODC без необходимости предоставлять этому пользователю права в самом домене или на других контроллерах домена.

Изоляция серверов и доменов

В сети, построенной на основе операционной системы Microsoft Windows, администраторы могут логически изолировать серверные и доменные ресурсы для обеспечения доступа к ним только с авторизованных компьютеров, прошедших проверку подлинности. Например, внутри существующей физической сети можно создать логическую сеть, в которой у компьютеров будет общий набор требований для организации безопасных
взаимодействий. Каждый компьютер в этой логически изолированной
подсети должен предоставить учетные данные для прохождения проверки подлинности на других компьютерах этой изолированной подсети.

Изоляция предотвращает неавторизованный доступ компьютеров и
программ к ресурсам. Запросы от компьютеров, которые не являются частью изолированной подсети, игнорируются. Изоляция серверов и доменов помогает защитить определенные особо ценные серверы и данные, а
также защитить контролируемые компьютеры от доступа неконтролируемых или посторонних компьютеров и пользователей.

В сети может использоваться два типа изоляции.

- Изоляция серверов. Такой вариант изоляции подразумевает настройку политик IPsec на определенных серверах таким образом, чтобы принимались соединения только от компьютеров, прошедших проверку подлинности. Например, можно настроить сервер баз данных таким образом, чтобы он принимал соединения только от сервера веб-приложений.

- Изоляция доменов. Чтобы изолировать домен, администраторы могут воспользоваться членством компьютеров в домене Active Directory и
настроить эти компьютеры таким образом, чтобы они принимали только безопасные соединения, прошедшие проверку подлинности, и только
от компьютеров, которые тоже являются членами этого домена. Изолированная сеть в таком случае состоит только из компьютеров, являющихся членами домена. При изоляции доменов для защиты данных,
пересылаемых между всеми членами домена, включая все клиентские
компьютеры и серверы, используется политика IPsec.

Операционная система Windows Server 2008 позволяет организациям
воспользоваться такими беспрецедентными возможностями защиты на основе политик, как защита доступа к сети (NAP). Оценка и контроль состояния и защищенности взаимодействующих компьютеров значительно улучшит защищенность организации. Новые интерфейсы управления в операционной системе Windows Server 2008 упрощают процесс администрирования, настройки и поддержки множественных серверов организации и уменьшают затраты на поддержание сетевой безопасности предприятия.

Механизмы централизованного доступа к приложениям

Улучшения и нововведения в службах терминалов в операционной системе Windows Server 2008 выходят за рамки простого предоставления
удаленного доступа пользователей к приложениям. Благодаря возможности запускать на рабочем столе пользователя удаленные приложения рядом с локальными приложениями значительно улучшено взаимодействие
с пользователями. Также стал возможен централизованный доступ к приложениям через веб-клиент служб терминалов.

Ниже перечислены новые компоненты служб терминалов.

• Удаленные приложения служб терминалов. Благодаря удаленным приложениям служб терминалов пользователи могут запускать удаленные приложения на своем рабочем столе наряду с обычными локальными приложениями. Для работы этой возможности необходим клиент подключения к удаленному рабочему столу версии 6.0.

• Шлюз служб терминалов. Шлюз служб терминалов (TS Gateway) позволяет получить безопасный доступ к службам терминалов и общим рабочим столам из-за пределов межсетевого экрана предприятия без необходимости развертывания инфраструктуры виртуальной частной сети (VPN).

• Веб-клиент служб терминалов. Веб-клиент служб терминалов (TS Web Access) является решением для работы с удаленными приложениями, которое упрощает администраторам процесс публикации этих приложений, а пользователям — процесс поиска и запуска этих приложений.

• Единый вход. Технология единого входа улучшает взаимодействие с пользователями, избавляя их от необходимости многократно вводить свои учетные данные.

Рассмотрим механизмы централизованного доступа к приложениям
более подробно. Начнем со службы терминалов.

Службы терминалов

Службы терминалов в операционной системе Windows Server 2008 включают ряд новых ключевых функциональных возможностей, которые улучшают взаимодействие с пользователями.

Компоненты этой новой ключевой функциональности описаны ниже.

- Клиент подключения к удаленному рабочему столу версии 6.0. Для доступа к службам терминалов пользователям необходимо использовать
клиент подключения к удаленному рабочему столу версии 6.0. Он входит в состав операционных систем Windows Server 2008 и Windows Vista;
версия этого клиента для операционных систем Windows XP и Windows
Server 2003 доступна для бесплатной загрузки.

- Улучшения отображения подключения к удаленному рабочему столу.
Клиент подключений к удаленному рабочему столу версии 6.0 поддерживает работу с рабочими столами с высоким разрешением (до 4096
на 2048 точек) и отображение одного большого рабочего стола на
нескольких расположенных в ряд мониторах. Новая версия клиента
позволяет воспользоваться преимуществами новых мониторов высокого разрешения и современных форматов экрана (например, широкоформатных экранов с пропорциями 16 на 9 или 16 на 10), которые
не соответствуют прежнему стандарту с пропорциями 4 на 3.

- Функция Desktop Experience. Клиент подключения к удаленному рабочему столу версии 6.0 воспроизводит рабочий стол удаленного компьютера на компьютере пользователя. Если на сервере Windows Server 2008 установлена функция Desktop Experience, пользователь сможет воспользоваться такими возможностями операционной системы Windows Vista, как проигрыватель Windows Media, темы рабочего стола или работа с
фотоснимками через удаленное подключение. Функция Desktop Experience и параметры задания приоритета отображаемых данных улучшают взаимодействие конечного пользователя с сервером терминалов
Windows Server 2008. Параметры приоритета отображаемых данных
нужны, чтобы нажатия клавиш на клавиатуре и действия мыши без задержек взаимодействовали с экранными элементами даже в условиях
значительной нагрузки на канал передачи данных.

Единый вход

Единый вход позволяет пользователям с доменной учетной записью, выполнившим вход в сеанс служб терминалов с помощью пароля или смарт-карты, получать доступ ко всем удаленным серверам и приложениям без
повторных запросов учетных данных. Единый вход улучшает взаимодействие с пользователями, избавляя их от необходимости вводить учетные данные каждый раз при открытии сеанса удаленного доступа.

Удаленные приложения служб терминалов

Удаленные приложения служб терминалов — это новый способ представления удаленных приложений в операционной системе Windows Server 2008. Способ представления удаленных приложений дополняет существующий способ представления служб терминалов, при котором пользователю отображался весь удаленный рабочий стол с запущенными на нем удаленными приложениями.

В операционной системе Windows Server 2008 взаимодействие пользователя с удаленными приложениями существенно изменилось. Теперь не весь рабочий стол, а только окно удаленного приложения открывается на
рабочем столе пользователя, причем размер этого окна можно изменять
так же, как и размер любых других окон. Если у программы есть значок,
отображаемый в области уведомлений, то этот значок также появится в
области уведомлений на клиентском компьютере. Всплывающие окна также
передаются на локальный рабочий стол и открываются на нем, а локальные дисковые устройства и принтеры доступны из удаленного приложения. Многие пользователи даже не смогут отличить удаленное приложение от работающего рядом локального приложения.

Благодаря удаленным приложениям упрощается работа администраторов, которым нужно поддерживать приложение только в одном месте, вместо того, чтобы устанавливать и поддерживать приложение на всех рабочих станциях пользователей в организации. Также благодаря удаленным приложениям улучшается взаимодействие с пользователями за счет плавной
интеграции удаленных приложений с клиентскими рабочими столами.

Шлюз служб терминалов (TS Gateway)

Шлюз служб терминалов (TS Gateway) — это роль служб терминалов, с
помощью которой авторизованные удаленные пользователи могут подключаться к серверам терминалов и рабочим станциям в сети предприятия через Интернет. Эта служба позволяет предоставить удаленным или путешествующим работникам защищенный доступ к определенным серверам и рабочим станциям без необходимости использовать подключение к виртуальной частной сети (VPN).

Некоторые из ключевых преимуществ использования шлюза служб
терминалов перечислены ниже.

- Возможность защищенного подключения удаленных пользователей к
ресурсам сети предприятия через Интернет без необходимости использования сложных подключений к виртуальной частной сети (VPN).

- Использование защищенности и доступности протокола HTTPS для
доступа к службам терминалов без необходимости настройки на стороне клиента.

- Комплексная модель безопасности, благодаря которой администраторы могут контролировать доступ к определенным ресурсам в сети.

- Возможность подключения пользователей к серверам терминалов и
удаленным рабочим станциям через межсетевые экраны и преобразователи сетевых адресов (NAT).

- Более защищенная модель доступа, позволяющая ограничить доступ
пользователей только к определенным серверам и рабочим станциям,
а не ко всей сети предприятия, как это происходит в случае использования подключений к виртуальной частной сети (VPN).

Благодаря шлюзу служб терминалов организации могут легко предоставить защищенный доступ удаленным пользователям к серверам и рабочим станциям в сети организации без необходимости устанавливать и
настраивать подключение к виртуальной частной сети (VPN). Комплексная модель безопасности позволяет администраторам контролировать доступ к определенным ресурсам.

Веб-клиент служб терминалов

Веб-клиент служб терминалов (TS Web Access) — это роль служб терминалов, с помощью которой администраторы могут предоставить доступ пользователям к удаленным приложениям через веб-обозреватель без необходимости устанавливать дополнительное ПО. С помощью веб-клиента служб терминалов пользователи могут получить список доступных приложений через веб-узел. Когда пользователь запускает одно из удаленных приложений, для этого пользователя автоматически создается сеанс служб терминалов на сервере терминалов под управлением операционной системы
Windows Server 2008, на котором размещается это приложение. Для пользователя в веб-интерфейсе доступно централизованное меню, в котором отображаются все доступные удаленные приложения. Чтобы запустить удаленное приложение, достаточно выбрать нужную программу в меню.

Использование веб-клиента служб терминалов уменьшает трудозатраты по администрированию за счет централизованного доступа к удаленным приложениям. Приложения выполняются на сервере терминалов, а не на клиентских компьютерах, поэтому ИТ-персоналу необходимо поддерживать и обновлять эти приложения в единственном экземпляре.

Средства управления удаленными филиалами

Чтобы более плотно взаимодействовать со своими клиентами, организации перемещают сотрудников из центрального офиса в удаленные филиалы. По мере возрастания количества филиалов пропорционально возрастают и потребности в управлении и защите ИТ-инфраструктуры этих
удаленных офисов. Количество работников в удаленных филиалах быстро растет, и в корпорации Microsoft учитывают потребности организаций
в новых решениях для особых условий филиалов.

Так как в удаленных филиалах зачастую нет штатного ИТ-персонала,
возникают определенные особенности работы ИТ-специалистов с серверами в этих филиалах. Программное обеспечение, которое используется
на этих серверах, должно быть рассчитано на работу через каналы глобальной сети с низкой пропускной способностью, и при этом не занимать
эти каналы полностью, чтобы не замедлять работу приложений и передачу критически важных данных. Также в филиалах необходимо обеспечивать более надежную защиту, потому что физическую защищенность
серверов в филиалах не всегда можно гарантировать. Так как большинство ИТ-персонала находится за пределами филиалов, предпочтительными являются решения, позволяющие осуществлять централизованное управление, а также удаленное администрирование и развертывание.

Потребности и проблемы удаленных филиалов впервые были учтены
в операционной системе Windows Server 2003 R2. В Windows Server 2008
включено множество дополнительных усовершенствований, благодаря
которым у администраторов появляются новые возможности управления
филиалами, а также обеспечивается более сильная защищенность сетей
и данных удаленных филиалов и центрального офиса. Также новая система предоставляет ИТ-специалистам более гибкие возможности для удовлетворения специфичных потребностей организаций.

Ключевые преимущества для филиалов, предлагаемые в операционной
системе Windows Server 2008, можно разделить на три категории.

- Повышение эффективности развертывания и администрирования серверов в удаленных офисах.

- Уменьшение уязвимости удаленных офисов.

- Повышение эффективности использования пропускной способности
канала для соединений через глобальную сеть.

Предлагаемые корпорацией MicrosoftHOBbie возможности и усовершенствования решений для филиалов и Windows Server 2008 отвечают основным требованиям работы удаленных офисов. К таким возможностям операционной системы Windows Server 2008 относится упрощенный процесс
развертывания, эффективное управление ключевыми ролями сервера,
повышенная защита, а также архитектура системы, которая повышает
быстродействие и бесперебойность работы.

Механизмы обеспечения высокого уровня доступности

Обеспечение бесперебойной работы важнейших приложений является
ключевой задачей ИТ-отделов, поэтому многие усовершенствования в
Windows Server 2008 нацелены на высокий уровень доступности. Операционная система Windows Server 2008 сочетает в себе такие возможности, как отказоустойчивые кластеры, балансировка сетевой нагрузки, новые возможности для резервного копирования и восстановления. Сочетание этих возможностей обеспечивает организациям высокий уровень
доступности, благодаря чему критически важные приложения, службы и
данные доступны всем пользователям.

Отказоустойчивые кластеры

Отказоустойчивый кластер, ранее называвшийся кластером серверов, является группой компьютеров, которые функционируют совместно и повышают доступность приложений и служб. Серверы в кластере называются узлами. Помимо физической кабельной сети, они объединяются с помощью специального ПО. В случае отказа одного из узлов кластера происходит процесс переключения на другой узел, который заменяет вышедший из строя узел и обеспечивает минимальные перебои в предоставлении пользователям доступа к службам. Отказоустойчивые кластеры используются ИТ-специалистами для обеспечения высокого уровня доступности критически важных служб и приложений.

Усовершенствования отказоустойчивых кластеров в операционной системе Windows Server 2008 направлены на упрощение работы с кластерами, а также на повышение уровня защищенности и стабильности кластеров.

Новый мастер проверки в Windows Server 2008 позволяет убедиться, что система, устройства хранения и параметры сети подходят для работы
кластера. Этот мастер упрощает установку и настройку кластера.

Ниже приводится список проверок, которые осуществляются этим мастером.

- Проверки узла. Проверяется, одинаковые ли версии ОС и обновления ПО установлены на серверах.

- Проверки сети. Проверяется соответствие планируемой сети кластера определенным требованиям, например, требованию наличия как минимум двух раздельных подсетей для обеспечения избыточности сети.

- Проверки устройств хранения. Проверяется, что устройства хранения удовлетворяют определенным требованиям, и что у всех узлов кластера есть доступ ко всем общим дискам.

В Windows Server 2008 поддерживаются диски с таблицами разделов GPT (GUID Partition Table — таблица разделов с глобальными уникальными
идентификаторами) в хранилище кластера. GPT-диски поддерживают
разделы размером более двух терабайт и, в отличие от MBR-дисков, обладают встроенной избыточностью. Таблица разделов GPT обладает рядом
преимуществ перед таблицей разделов MBR, так как она поддерживает до
128 разделов на диске, тома размером до 18 экзабайт, уникальные идентификаторы разделов и дисков, а также позволяет создавать первичную и резервную таблицы разделов для обеспечения избыточности.

Для упрощения управления кластерами интерфейсы управления были
усовершенствованы, чтобы администраторы могли сфокусировать свое внимание на управлении приложениями и данными, а не кластером. Новый
интерфейс ориентирован на задачи и более понятен, а мастера помогают
администраторам совершать действия, ранее являвшиеся довольно сложными.

Отказоустойчивый кластер в операционной системе Windows Server
2008 обладает повышенной надежностью и улучшенной функциональностью по сравнению с предыдущими версиями кластеров серверов.

Ниже приведен список ключевых усовершенствований.

- Динамическое добавление дисковых ресурсов. Зависимости ресурсов
можно изменять, не переводя ресурсы в автономный режим, что позволяет администраторам увеличивать доступное дисковое пространство, не
прерывая работу использующих это пространство приложений.

- Улучшенная производительность и стабильность благодаря использованию хранилища данных. Когда отказоустойчивый кластер взаимодействует с сетями хранения данных (SAN) или с непосредственно подключенными устройствами хранения данных (DAS), используются команды, менее всего нарушающие работу этих устройств, благодаря чему
уменьшается количество сбросов шины SCSI. Диски никогда не находятся в незащищенном состоянии, благодаря чему уменьшается вероятность повреждения тома. Отказоустойчивые кластеры также поддерживают усовершенствованные методы обнаружения дисков и восстановления данных. Поддерживается подключение к устройствам хранения данных через интерфейс последовательного подключения SCSI (SAS), интерфейс ISCSI или через оптоволоконный канал.

- Упрощенное обслуживание дисков. Режим обслуживания значительно
усовершенствован. Он упрощает запуск средств проверки, исправления
ошибок, резервного копирования и восстановления дисков, а также
уменьшает воздействие этих операций на работу кластера.

Windows Server 2008 упрощается развертывание и управление кластерами, а также повышается производительность и надежность работы кластеров.

Балансировка сетевой нагрузки

С помощью балансировки сетевой нагрузки осуществляется распределение сетевой нагрузки клиентских и серверных приложений между несколькими серверами в кластере балансировки сетевой нагрузки. Эта функция важна для организаций, нуждающихся в распределении клиентских запросов между несколькими серверами. В частности, она полезна для масштабирования приложений без сведений о состоянии путем наращивания количества серверов по мере увеличения нагрузки. К таким приложениям можно отнести веб-приложения, работающие под управлением служб IIS. Балансировка сетевой нагрузки позволяет легко заменить вышедший из строя сервер, тем самым повышая надежность системы.

Ниже приведены усовершенствования балансировки сетевой нагрузки в Windows Server 2008.

- Поддержка протокола IPv6. Балансировка сетевой нагрузки полностью поддерживает сетевое взаимодействие по протоколу IPv6.

- Поддержка программного интерфейса NDIS версии 6.0. Сетевой драйвер балансировки сетевой нагрузки был полностью переработан для
поддержки облегченной модели фильтров программного интерфейса
NDIS версии 6.0, при этом сохранилась поддержка всех более ранних
версий программного интерфейса NDIS. Усовершенствования архитектуры этого программного интерфейса включают увеличение производительности и масштабируемости драйвера, а также упрощенная модель этого драйвера.

- Расширения интерфейса WMI. Расширения интерфейса WMI в пространстве имен MicrosoftNLB обеспечивают поддержку протокола IPv6 и
множественных выделенных IP-адресов.

- Классы в пространстве имен MicrosoftNLB. Помимо адресов IPv4 теперь поддерживаются адреса IPv6.

Класс MicrosoftNLB_NodeSetting. Поддерживаются множественные выделенные IP-адреса. Для этого они указываются в свойствах класса
DedicatedlPAddresses и DedicatedNetMasks.

- Расширенные возможности для работы с сервером ISA Server. Сервер
ISA Server может задать множественные выделенные IP-адреса для каждого узла балансировки сетевой нагрузки. Это нужно для случаев, когда клиенты работают и по протоколу IPv4, и по протоколу IPv6. Для
управления сетевым трафиком и клиенты IPv4, и клиенты IPv6 должны подключаться к определенному серверу ISA Server. Сервер ISA Server
также может оповещать узлы балансировки сетевой нагрузки о SYN-
атаках и случаях нехватки таймеров, которые обычно возникают при
перегрузке компьютера или при заражении его Интернет-вирусом.

- Поддержка множественных выделенных IP-адресов для каждого узла. Ранее каждому узлу балансировки сетевой нагрузки можно было выделить
только один IP-адрес. Теперь поддерживается выделение каждому узлу множественных IP-адресов, что позволяет размещать в одном кластере
несколько приложений, требующих наличия выделенных IP-адресов.
Перечисленные возможности обеспечивают поддержку новых отраслевых стандартов, увеличенную производительность, улучшенное взаимодействие, усиленную защищенность и расширенную гибкость развертывания и объединения приложений.

Архивация данных

Архивация данных — это третий ключевой компонент в Windows Server 2008, предназначенный для обеспечения высокой степени доступности
служб. Функция архивации данных позволяет осуществлять резервное
копирование и восстановление данных сервера, на котором установлена
эта возможность. В новой версии используется новая технология резервного копирования и восстановления, пришедшая на смену функциям архивирования данных предыдущих версий операционных систем Windows.

Архивирование данных позволяет эффективно и надежно защищать весь сервер, не беспокоясь о сложности технологий резервного копирования и восстановления. Простые мастера помогают настроить автоматическое расписание резервного копирования, создавать при необходимости резервные копии вручную, а также восстанавливать отдельные элементы или целые тома. Архивирование данных в Windows Server 2008 можно использовать для резервного копирования как отдельных томов, так и сервера целиком.

Для эффективного резервного копирования и восстановления операционной системы, файлов, папок и томов в функции архивирования данных используются служба теневого копирования томов и технология резервного копирования на уровне блоков. После первоначального создания полной резервной копии функция архивации данных автоматически осуществляет добавочное резервное копирование, сохраняя только
данные, измененные с момента осуществления предыдущего резервного
копирования. В отличие от предыдущих версий, теперь администраторам
не нужно заботиться о задании расписания сохранения полных и добавочных резервных копий.

Восстановление данных также было улучшено и упрощено в операционной системе Windows Server 2008. Теперь можно восстанавливать отдельные элементы из архива, в частности, отдельные файлы и папки. Для
этого необходимо выбрать архив для восстановления, а затем выбрать из
него отдельные элементы. Ранее, чтобы восстановить элемент из добавочной резервной копии, необходимо было вручную восстанавливать его из
нескольких архивов. Теперь достаточно лишь указать дату резервного
копирования необходимой версии файла.

В операционной системе Windows Server 2008 предлагаются решения для резервного копирования и восстановления данных, которые позволяют за- щитить данные и операционные системы на серверах в сети организации,
упрощая при этом администрирование резервного копирования критически важных данных и ускоряя восстановление данных. Эти решения дополняют набор решений для обеспечения высокого уровня доступности.

Утилита wbadmin

На смену утилите ntbackup в Windows Server 2008 появилась новая утилита — wbadmin, с помощью которой можно создавать резервные копии
томов и файлов и выполнять восстановление данных на основе резервных копий непосредственно из командной строки.

В Windows Server 2008 для восстановления данных, сохранешплх с
помощью утилиты ntbackup, следует использовать специальную версию
этой утилиты, которую можно загрузить по адресу: http://go.microsoft.com/
fwlink/?LinkId=82917 Эта утилита служит только для восстановления данных и не поддерживает создание резервных копий.

Новинки в службах каталогов

В Windows Server 2008 имеется ряд усовершенствований службы каталогов Active Directory, упрощающих управление службой каталогов и предоставляющих администраторам более гибкие возможности для удовлетворения потребностей удаленных филиалов.

Ниже перечислены некоторые из ключевых усовершенствований.

- Обновленный мастер установки службы каталогов Active Directory (AD DS).

- Изменения в консоли ММС, используемой для управления службой каталогов Active Directory.

- Новые варианты установки контроллеров домена.

- Обновленный мастер установки, упрощающий установку службы каталогов Active Directory.

- Улучшенный интерфейс и расширенные возможности управления службой каталогов Active Directory.

- Усовершенствованные средства для поиска контроллеров домена в
организации.

В новом мастере установки взаимосвязанная функциональность теперь
сгруппирована, что позволяет ускорить процесс развертывания и сэкономить время. Возможности автоматической установки операционной системы Windows Server 2008 позволяют еще больше упростить процесс за счет установки системы без участия пользователя. Эта возможность также позволяет установить службу каталогов Active Directory на операционной системе, установленной в варианте основных компонентов сервера.
Чтобы убедиться в правильной работе только что установленного DNS-сервера, осуществляется автоматическая конфигурация параметров DNS-клиента, серверов пересылки и корневых ссылок на основании параметров, заданных при установке.

Все эти усовершенствования интерфейса службы каталогов Active Directory, предлагаемые в Windows Server 2008, позволяют оптимизировать
процесс первоначального развертывания, благодаря чему уменьшается
время, затрачиваемое на администрирование, и упрощается управление
серверами в удаленных офисах.

Контроллеры домена только для чтения

Одной из наиболее значимых новых функций для доменных служб Active Directory (AD DS) в Windows Server 2008 является контроллер домена только для чтения (RODC). RODC позволяет без труда развертывать контроллеры домена, содержащие реплику базы данных домена только для чтения. Такая возможность очень хорошо подходит для тех мест, где нельзя гарантировать физическую безопасность контроллера домена, где подключение к сети отрицательно сказывается на производительности и где на контроллере домена должны выполняться другие приложения, обслуживаемые администратором сервера (который в идеале не входит в состав группы администраторов домена). Все эти сценарии характерны для многих филиалов.

RODC содержит те же объекты и атрибуты, что и контроллер домена с
поддержкой записи. Тем не менее локально инициированные изменения
вносятся не в саму реплику RODC, а в контроллер домена с поддержкой
записи и только потом реплицируются назад, на контроллер RODC. Это
не позволяет изменениям, произведенным в филиалах, засорять и повреждать лес Active Directory в ходе репликации.

Кроме того, администратор может настроить на контроллере RODC
хранение (кэширование) учетных данных пользователей. Когда пользователь впервые пытается пройти проверку подлинности на контроллере RODC,
тот пересылает запрос контроллеру домена с поддержкой записи. Если
проверка подлинности завершается успешно, RODC запрашивает копию
учетных данных. Возможность репликации и кэширования учетных данных
на контроллере RODC определяется действующей политикой репликации
паролей. Если кэширование выполнено, при последующих попытках пользователя войти в систему его запросы обрабатываются непосредственно контроллером RODC (пока в ходе репликации не будет получено уведомление об изменении учетных данных). Кэширование учетных данных способно увеличить продуктивность пользователей за счет смягчения негативного эффекта задержек в глобальной сети или проблем с подключением, которые нередко возникают в филиалах. Кроме того, службы AD DS ведут список всех учетных данных, хранящихся на RODC; при возникновении проблем с безопасностью контроллера RODC администратор может принудительно сбросить пароли всех имеющихся на нем учетных записей.

Контроллеры RODC позволяют делегировать право на установку и управление не имеющему прав администратора персоналу филиала. Сотрудники филиала могут выполнять установку путем подключения сервера к ранее созданной администратором учетной записи RODC. Это устраняет необходимость использовать промежуточный узел для контроллеров домена в филиале или посылать в филиал установочный носитель и администратора.

Службы федерации Active Directory

Службы федерации Active Directory (AD FS) — это серверная роль в операционной системе Windows Server 2008. С помощью AD FS можно создать расширяемое, интернет-масштабируемое и безопасное решение для управления идентификацией пользователей и правами доступа, способное
функционировать на нескольких платформах, включая среды как Windows,
так и других операционных систем. Службы AD FS включают функцию
импорта и экспорта политик, которая помогает настраивать доверительные отношения между федеративными партнерами. Добавлен поставщик
контроля членства, позволяющий пользователям федеративного партнера проходить ролевую проверку подлинности при подключении к службам Windows SharePoint Services (WSS) и службам управления правами
(RMS). А администраторы могут теперь с помощью групповой политики
ограничивать развертывание служб федерации. Кроме того, поддерживаются разные параметры проверки отзыва сертификатов.

Аудит службы каталогов

Новая субкатегория политики аудита «Изменения службы каталогов» предоставляет в распоряжение администраторов возможности для ведения
точного аудита. Политика аудита «Изменения службы каталогов» сохраняет старые и новые значения объектов службы каталогов и их атрибутов. Администраторы смогут видеть, кто и когда произвел изменение, какие объекты и атрибуты подверглись изменению, а также какими были
исходное и новое значения. Данные аудита службы каталогов заносятся в
журнал событий Windows; для их консолидации и обработки применяется Microsoft Operations Manager и средства сторонних разработчиков. За
счет подробной регистрации упрощается отслеживание изменений службы
каталогов и улучшается соблюдение регулятивных норм.

Основные компоненты роли сервера

Установка основных компонентов сервера Windows Server 2008 поддерживается для ролей AD DS и AD IDS (службы Active Directory облегченного доступа к каталогам). Основные компоненты сервера — это новый вариант установки операционной системы, позволяющий создавать среду, требующую меньше обслуживания и идеально подходящую для конкретных служб на основе ролей. Наряду с сокращением потребности в управлении и обслуживании сокращается и количество уязвимостей в установке Windows Server 2008.

Перезапускаемые службы AD DS

Службы домена Active Directory в Windows Server 2008 можно останавливать и запускать из оснасток консоли управления (ММС) и из командной строки. Службы AD DS на основе служб упрощают управление за счет сокращения времени, необходимого для выполнения операций в автономном режиме, таких как автономная дефрагментация и принудительное восстановление. Кроме того, улучшается доступность других служб, которые запущены на контроллере домена, поскольку они остаются активны даже во время обслуживания AD DS. Все клиенты, привязанные к остановленному контроллеру домена, просто обращаются к другому контроллеру с помощью функции обнаружения.

Средство просмотра снимков AD DS

Отображая информацию об объектах в периодически создаваемых снимках AD DS, средство просмотра помогает идентифицировать непреднамеренно удаленные объекты. Просматривать эти снимки можно на контроллере домена без необходимости его запуска в режиме восстановления службы каталогов. Путем сравнения состояния объектов в разных снимках можно без труда выбрать подходящую архивную копию AD DS для восстановления удаленных объектов.

Детальная политика паролей и блокировки учетных записей

Детальные политики паролей позволяют определять несколько политик
паролей и применять различные ограничения для паролей и политики
блокировки учетных записей для отдельных групп пользователей в пределах одного домена.

Установка с носителя

Параметр «Установить с носителя» (IFM) может быть использован для установки дополнительного контроллера домена в существующем домене
и сокращения трафика репликации в процессе установки.

Службы развертывания Windows

Службы развертывания Microsoft Windows позволяют быстро развертывать в удаленном режиме операционные системы Windows (например, Windows Vista и Windows Server 2008). Благодаря этому можно устанавливать Windows по сети на компьютерах без операционной системы, причем наличие установочного носителя и физическое присутствие человека на удаленном компьютере не требуется. Службы развертывания Windows были ранее доступны как обновление для Windows Server 2003, а их усовершенствованная версия была включена в состав Windows Server 2008.

Новые возможности служб развертывания Windows в Windows Server 2008

- Повышенная производительность протокола TFTP;

- Средства диагностики;

- Многоадресное развертывание.

Повышенная производительность протокола TFTP

Службы развертывания Windows используют протокол TFTP для пересылки сетевого загрузчика и загрузочных образов среды предустановки Windows (WinPE). В Windows Server 2008 протокол TFTP включает настраиваемый механизм кадрирования, который сокращает количество пакетов, отправляемых клиентскими сетевыми загрузчиками, что в свою очередь приводит к повышению производительности.

Средства диагностики

Теперь службы развертывания Windows регистрируют подробные данные о своих клиентах. Полученные журналы публикуются в Crimson (интегрированном компоненте ведения журналов в Windows Server 2008). Их можно экспортировать для обработки в Microsoft Office InfoPath или другое средство извлечения данных.

Многоадресное развертывание

Этот метод позволяет развертывать операционные системы Windows на
множестве компьютеров одновременно, обеспечивая при этом сохранение пропускной способности сети. Службы развертывания Windows поддерживают два метода многоадресного развертывания:

- ScheduledCast — развертывание на основе задач;

- AutoCast — всегда доступное развертывание.

ScheduledCast контролирует время начала развертывания. Только клиенты, подключившиеся до наступления этого момента, могут участвовать
в развертывании по этому методу.

Метод AutoCast позволяет клиентам подключаться к многоадресному
потоку в любое время и комбинирует их в целях сохранения пропускной
способности. Процесс AutoCast, будучи однажды настроен на образ операционной системы, остается активным до тех пор, пока не будет остановлен вручную. Однако образ пересылается по сети только тогда, когда
его запросит клиент.

И ScheduledCast, и AutoCast отображают данные о том, какие клиенты
подключены и какая часть образа ими уже получена.

Новинки в сетевых функциях

Среди многочисленных новых и улучшенных возможностей Microsoft
Windows Server 2008 наиболее важную роль играют изменения, связанные
с работой в сети. Эти обновления представляют самый большой набор
изменений со времени выпуска Windows Server в 1990-х годах. Они помогают ИТ-администраторам обеспечивать большую безопасность, надежность и масштабируемость работы в сети.

Центральное место среди этих улучшений принадлежит «стеку TCP/IP
следующего поколения», который представляет собой важное обновление
функциональных возможностей Windows TCP/IP, соответствующих служб
и интерфейсов прикладного программирования. Стек TCP/IP следующего поколения представляет полнофункциональную архитектуру, отвечающую потребностям подключения и производительности различных современных сетевых сред и технологий. В то же время расширяемость
нового стека TCP/IP обеспечивает гибкость при адаптации новых сетевых
стандартов и удовлетворении потребностей заказчиков в будущем.

К изменениям и улучшениям сетевых протоколов и базовых компонентов в Windows Server 2008 относятся следующие:

- новая двойная архитектура IP стека TCP/IP для универсальной поддержки IPv4 и IPv6;

- интеллектуальные алгоритмы автоматической настройки и оптимиза-
ции сети;

- безопасность сетевых узлов и улучшения IPsec;

- интегрированная поддержка аппаратной разгрузки сети и технологий
ускорения;

- упрощенное управление и сетевая диагностика;

- набор интерфейсов прикладного программирования, обеспечивающих
разнообразные возможности расширения.

Администраторы Windows Server получат следующие преимущества
благодаря использованию этих сетевых инноваций и улучшений.

Расширенная сквозная инфраструктура безопасности

Для того чтобы помочь администраторам противостоять постоянно растущему количеству сетевых угроз, Windows Server 2008 включает целый
ряд улучшений безопасности сетевых узлов. Как часть общей стратегии
многоуровневой защиты, эти функции составляют основу нескольких
ключевых решений в области сетевой безопасности на основе политик,
таких как: изоляция сервера и домена (EN), защита доступа к сети (NAP)
(EN), а также безопасная беспроводная ЛВС (EN):

- Улучшенный межсетевой экран Windows поддерживает фильтрацию
входящих и исходящих пакетов, а также интегрированную функциональность IPsec.

- Упрощенная конфигурация политики IPsec с расширенными методами проверки подлинности, полная поддержка IPv4 и IPv6, а также интеграция с защитой доступа к сети.

- Новые параметры групповой политики для управления безопасностью
проводного и беспроводного подключения.

- Разнообразные интерфейсы прикладного программирования для проверки сетевых пакетов и более безопасные приложения на базе Windows
Sockets.

Повышенная производительность и надежность

Благодаря обновленным интеллектуальным алгоритмам, Windows Server 2008 автоматически настраивает параметры сетевого подключения для максимального повышения пропускной способности и производительности. Это приводит к ускоренной передаче данных, лучшему использованию пропускной способности сети и повышенной надежности подключения. Windows Server 2008 динамически настраивает подключение с учетом конкретных условий, включая следующие.

- Доступная полоса пропускания и время ожидания — Средство автоматической настройки TCP Receive Window Auto-Tuning динамически настраивает размер принимающего буфера TCP, используемого для хранения входящих данных, с целью повышения пропускной способности, особенно по ссылкам с высокой пропускной способностью и продолжительным временем ожидания.

- Перегрузка сети — Для лучшего использования пропускной способности сети средство Compound TCP (CTCP) значительно увеличивает количество отправляемых одновременно данных с помощью наблюдения
за продуктом, вызывающим снижение производительности, вариантами задержки и потерей пакетов.

- Среды с высоким уровнем потери пакетов — Поддержка нескольких алгоритмов оптимизации сети на основе стандартов, таких как быстрое восстановление TCP, параметр TCP Selective Acknowledge (SACK) и
Forward RTO-Recovery, обеспечивает повышенную надежность и быстрое восстановление в средах с высоким уровнем потери пакетов, таких как беспроводные сети.

- Сбои при маршрутизации пути — Улучшенные механизмы обнаружения и повышения отказоустойчивости неработающих шлюзов и перегруженных маршрутизаторов повышает скорость восстановления и гибкость маршрутизации.

Большая масштабируемость

Для того чтобы сохранить высокий темп удовлетворения требований,
предъявляемых ИТ-инфраструктуре, необходима возможность масштабирования сетевых ресурсов. Windows Server 2008 обеспечивает расширенное масштабирование сети благодаря улучшенной поддержке многогигабитных сетей, технологиям повышения быстродействия и разгрузки сети, управлению полосой пропускания на основе политик и использованию интернет-протоколов следующего поколения.

- Разгрузка обработки сетевых пакетов с помощью специализированных сетевых адаптеров, в которых применяется TCP Offload Engine (TOE) и другие технологии ускорения работы в сети, включая поддержку Gigabit IPsec Task Offload.

- Динамическое балансирование входящих сетевых подключений с помощью масштабирования на получающей стороне для распределения
трафика по нескольким процессорам или ядрам для увеличения производительности сервера.

- Оптимизация и расстановка приоритетов использования полосы пропускания с помощью политик качества службы (QoS) на уровне узлов,
управляемых с помощью Active Directory.

- Включение новых сценариев и способов подключения за счет всесторонней поддержки IPv6, включая технологии перехода, такие как протокол ISATAP.

В целом новые и обновленные функции для работы в сети в Windows
Server 2008 создают основу для более защищенной, надежной и масштабируемой платформы, удовлетворяющей потребности подключения сегодняшнего и завтрашнего дня.

Новые механизмы управления печатью

Чем больше организация, тем больше в ней сетевых принтеров, и тем
больше времени требуется ИТ-персоналу для установки принтеров и управления ими, что приводит к увеличению эксплуатационных затрат. В
Windows Server 2008 имеется консоль управления печатью, которая является оснасткой для консоли управления ММС и позволяет администраторам из одной консоли осуществлять управление, мониторинг и устранение неполадок в работе всех принтеров организации, даже расположенных удаленно.

Консоль управления печатью предоставляет доступ к актуальным сведениям о состоянии всех принтеров и серверов печати. Также служба управления печатью помогает обнаружить принтеры, находящиеся в состоянии ошибки, и может автоматически отправлять уведомления по электронной почте или выполнять сценарии, если необходимо обратить внимание на тот или иной принтер или сервер печати. Если принтер предоставляет дополнительные данные через веб-интерфейс, доступ к этим
данным можно также получить через консоль управления печатью. Это
позволяет даже в случае удаленного расположения принтера получать такие
сведения, как количество тонера или бумаги. Помимо этого, служба управления печатью может автоматически осуществлять поиск и установку сетевых принтеров в локальной подсети локальных серверов печати.

Консоль управления печатью позволяет экономить значительное количество времени при установке принтеров на клиентские компьютеры или при управлении и отслеживании состояния принтеров. Вместо ручной
установки и настройки подключения к принтерам на компьютерах пользователей можно воспользоваться возможностями групповых политик для автоматического добавления этих подключений в папку «Принтеры и
факсы» на этих компьютерах. Это очень эффективный и экономичный
способ добавления принтеров для большого количества пользователей,
которым требуется доступ к одному и тому же принтеру, например для
пользователей из одного отдела, а также для пользователей в филиалах.

Возможности автоматизации и централизованный интерфейс консоли управления печатью позволяют устанавливать принтеры, открывать
общий доступ к ним и управлять принтерами, упрощая администрирование и уменьшая время, затрачиваемое ИТ-персоналом на развертывание
принтеров.

Тема 6. Сервер аутентификации KERBEROS

Введение

Идентификация и проверка подлинности пользователей (аутентификация) — это основное средство защиты информационных систем от одной из главных угроз — постороннего вмешательства. Если у злоумышленника нет средств для нелегального доступа, возможности информационного нападения существенно уменьшаются.

Под идентификацией мы будем понимать процедуру, посредством которой пользователь или компьютерный процесс сообщает сведения о себе (называет себя). Проверка подлинности, или аутентификация — это процедура проверки достоверности предъявленных данных.

Современные информационные системы представляют собой совокупность разнородных (реализованных на различных аппаратно-программных платформах), территориально разнесенных компонентов. Как правило, большинству пользователей требуется доступ ко многим сервисам, предоставляемым системами. В то же время ни им, ни системным администраторам не хочется размножать регистрационную информацию и особым образом входить в каждый сервер.

В соответствии с технологией клиент/сервер, выход заключается в создании специального сервера проверки подлинности, услугами которого будут пользоваться другие серверы и клиенты информационной системы. На сегодняшний день на роль фактического стандарта сервера аутентификации имеется только один реальный претендент — Kerberos, продукт, разработанный в середине 1980-х годов в Массачусетском технологическом институте и претерпевший с тех пор ряд принципиальных изменений. Клиентские компоненты Kerberos присутствуют в большинстве современных операционных систем; в такие системы, как Solaris, Kerberos проник весьма глубоко, а концерн OSF сделал Kerberos частью своей распределенной компьютерной среды (DCE).

Выделение особого сервера аутентификации позволяет реализовывать собственные прикладные системы со своей системой понятий, но со стандартной процедурой проверки подлинности, что существенно облегчает управление правами доступа пользователей. Kerberos (точнее, его версия, реализованная в MIT) является свободно распространяемым программным продуктом, доступным в исходных текстах (кроме, быть может, криптографических компонентов). Таким образом, в руках разработчиков прикладных систем и лиц, отвечающих за информационную безопасность, оказывается не "черный", а "прозрачный ящик", функционирующий понятным и проверяемым образом и доступный для "подгонки" с учетом нужд конкретной организации.

Теоретический материал

От чего защищает и от чего не защищает Kerberos

Kerberos предоставляет средства проверки подлинности субъектов, работающих в открытой (незащищенной) сети, то есть сети, не исключающей возможности перехвата, модификации и пополнения пересылаемой информации. Kerberos не полагается на средства аутентификации, реализованные в операционных системах сетевых компьютеров, на подлинность сетевых адресов, на физическую защищенность сетевых компьютеров (кроме тех, на которых работает сервер Kerberos).

С точки зрения реализации Kerberos — это один или несколько серверов проверки подлинности, функционирующих на физически защищенных компьютерах. Серверы поддерживают базу данных субъектов и их секретных ключей. В данном документе не рассматривается протокол администрирования, позволяющий безопасным образом изменять базу данных субъектов, а также протокол репликации этой базы.

Kerberos не защищает от:

· атак на доступность. Отражение подобных атак (как и реакция на "нормальные" отказы) возлагается на пользователей и администраторов.

· кражи секретных ключей. Субъекты должны сами заботиться о секретности своих ключей.

· угадывания паролей. Плохо выбранный пароль может не устоять против подбора с помощью словаря, вычисления по паролю секретного ключа с последующей попыткой расшифровать полученную от Kerberos информацию. Соответствующим образом измененная программа ввода пользовательского пароля ("троянский конь") позволит злоумышленнику узнать пароли многих пользователей. Таким образом, Kerberos все же предполагает некоторый уровень защищенности обслуживаемых компьютеров.

· повторного использования идентификаторов субъектов. В принципе возможна ситуация, когда новый субъект Kerberos получит тот же идентификатор, что был у ранее выбывшего субъекта. Возможно, что этот идентификатор остался в списках управления доступом какой-либо системы в сети. В таком случае новый субъект унаследует права доступа выбывшего.

· рассогласования часов на компьютерах. Kerberos полагается на приблизительную согласованность часов сетевых компьютеров. Подобное предположение упрощает обнаружение воспроизведения (дублирования) информации. Допустимая погрешность часов может устанавливаться индивидуально для каждого сервера. Если синхронизация часов выполняется сетевыми средствами, соответствующий протокол должен сам заботиться о безопасности.

Неформальное изложение возможностей Kerberos

Система Kerberos предназначена для решения следующей задачи. Имеется открытая (незащищенная) сеть, в узлах которой сосредоточены субъекты — пользователи, а также клиентские и серверные программные системы. Каждый субъект обладает секретным ключом. Чтобы субъект C мог доказать свою подлинность субъекту S (без этого S не станет обслуживать C), он должен не только назвать себя, но и продемонстрировать знание своего секретного ключа. C не может просто послать S свой секретный ключ, во-первых, потому, что сеть открыта (доступна для пассивного и активного прослушивания), а, во-вторых, потому, что S не знает (и не должен) знать секретный ключ C. Требуется менее прямолинейный способ демонстрации знания секретного ключа.

Система Kerberos представляет собой надежную третью сторону (то есть сторону, которой доверяют все), владеющую секретными ключами обслуживаемых субъектов и помогающую им в попарной проверке подлинности.

Чтобы с помощью Kerberos получить доступ к S (обычно это сервер), C (как правило — клиент) посылает Kerberos'у запрос, содержащий сведения о нем (клиенте) и о запрашиваемой услуге. В ответ Kerberos возвращает две порции информации: так называемый билет, зашифрованный секретным ключом сервера, и копию части информации из билета, зашифрованную секретным ключом клиента. Клиент должен расшифровать вторую порцию данных и переслать ее вместе с билетом серверу. Сервер, расшифровав билет, может сравнить его (билета) содержимое с дополнительной информацией, присланной клиентом. Совпадение свидетельствует о том, что клиент смог расшифровать предназначенные ему данные (ведь содержимое билета никому, кроме сервера и Kerberos, недоступно), то есть продемонстрировал знание своего секретного ключа. Значит, клиент — именно тот субъект, за кого себя выдает. Подчеркнем, что секретные ключи в процессе проверки подлинности не передавались по сети (даже в зашифрованном виде) — они только использовались для шифрования. Как организован первоначальный обмен ключами между Kerberos и субъектами и как субъекты хранят свои секретные ключи — вопрос отдельный.

Проиллюстрируем описанную процедуру Рис. 10.

Рис. 10. Проверка сервером S подлинности клиента C (вариант 1).

Здесь: c и s — сведения (например, имя), соответственно, о клиенте и сервере, d1 и d2 — дополнительная (по отношению к билету) информация. Tc.s — билет для клиента C на обслуживание у сервера S, Kc и Ks — секретные ключи клиента и сервера, {info}K — информация info, зашифрованная ключом K.

Изложенный вариант 1 — крайне упрощенная версия реальной процедуры проверки подлинности. Прежде всего, необходимо уточнить структуру пересылаемых запросов и возвращаемых ответов. И билет, и вторая порция информации, предоставляемая со стороны Kerberos, содержат случайный ключ, пригодный для шифрования сообщений, пересылаемых между клиентом и сервером. Этот ключ называется сеансовым и представляет собой общую секретную информацию, разделяемую C и S. Появление подобной общей информации и возможность организации конфиденциального взаимодействия — важный побочный продукт аутентификации средствами Kerberos.

Билет, который выдает Kerberos, имеет ограниченный срок годности. Естественно распространить этот срок и на сеансовый ключ. Когда срок годности истекает, необходимо проведение повторной проверки подлинности. Продолжительность стандартного срока годности зависит от политики безопасности, проводимой организацией. Типичный срок годности — 8 часов.

Вполне вероятно, что клиент C захочет убедиться в подлинности обслуживающего его сервера S. Чтобы это было возможным, клиент шифрует дополнительную информацию, передаваемую серверу, с помощью сеансового ключа. Сервер может узнать сеансовый ключ, только расшифровав билет. Если это случится и сервер вернет клиенту свидетельство того, что он сумел прочитать дополнительную информацию, C вправе считать подлинность сервера S установленной.

Далее, необходимо защитить информацию, пересылаемую по сети, от воспроизведения. Если этого не сделать, злоумышленник сможет послать серверу дубликаты билета и дополнительной информации и успешно выдать себя за "второго C". Стандартный способ защиты от воспроизведения — включение в нее временных штампов и/или так называемых одноразовых номеров, позволяющих удостовериться в "свежести" сообщений и в их неповторяемости (и, более того, в целостности последовательности сообщений). Одноразовые номера позволяют также ассоциировать ответы с предыдущими запросами.

Отобразим упомянутые уточнения на новом рисунке (Рис. 11).

Рис. 11. Взаимная проверка клиентом C и сервером S подлинности другдруга (вариант 2).

Здесь: timeexp — срок годности билета, n — одноразовый номер, Kc.s — сеансовый ключ, ts — временной штамп, ck — контрольная сумма.

Отдельного пояснения заслуживает обозначение s1 в первом запросе. Вообще говоря, клиенту нужен не конкретный сервер, а определенный сервис, о чем он и просит Kerberos. В ответ клиент получает адрес сервера, способного оказать запрашиваемую услугу.

Порции информации в сообщениях 3 и 4, шифруемые сеансовыми ключами, называют аутентификаторами. Они позволяют убедиться в подлинности предъявившего их субъекта. В дальнейшем аутентификатор клиента мы будем обозначать Ac, аутентификатор сервера — As.

Вариант 2 гораздо практичнее варианта 1, однако и он нуждается в уточнении. Естественно предположить, что клиенту понадобятся услуги нескольких серверов. Соответственно, чтобы доказать свою подлинность, клиенту придется несколько раз повторять диалог с Kerberos и использовать свой секретный ключ. К сожалению, долго держать наготове секретный ключ опасно — его могут украсть. Чтобы справиться с указанной проблемой, сервер Kerberos "раздваивается" на сервер начальной аутентификации (AS — Authentication Server) и сервер выдачи билетов (TGS — Ticket Granting Server). Клиент запрашивает у AS по схеме, изображенной на Рис. 2 , билет к TGS ("билет на получение билетов", "билет на билеты" — TGT, Ticket-Granting Ticket). TGT содержит сеансовый ключ для засекречивания общения между клиентом и сервером выдачи билетов. Билеты к другим серверам клиент получает у TGS на основании "билета на билеты".

В результате схема получения доступа к серверу приобретает вид, изображенный на Рис. 12.

Рис.12. Взаимная проверка клиентом C и сервером S подлинности друг друга (вариант 3).

Здесь: Ac — аутентификатор клиента.

Таким образом, секретный ключ нужен клиенту только на короткое время для получения "билета на билеты". В дальнейшем используется сеансовый ключ, разделяемый клиентом и сервером выдачи билетов. Компрометация сеансового ключа, имеющего ограниченный срок годности, — вещь существенно менее опасная, чем раскрытие секретного ключа.

Любопытно отметить, что AS, вопреки своему названию, не проверяет подлинности обратившихся к нему субъектов. Билет на билеты может получить кто угодно, в том числе и злоумышленник, но воспользоваться этим билетом он сможет, только если знает секретный ключ субъекта, от имени которого он выступает. Отметим также, что если для программных субъектов (клиентов и серверов) способ хранения секретного ключа не определен, то для пользователей специфицируется алгоритм преобразования пароля в ключ. Иными словами, пользователю достаточно помнить только свой пароль.

Каждый сервер Kerberos обслуживает определенную область управления. До сих пор мы рассматривали случай, когда клиент и сервер находились в пределах одной области и взаимодействовали посредством локального Kerberos. Теперь обратимся к ситуации, когда клиент и сервер зарегистрированы в разных областях.

Чтобы субъекты из разных областей управления могли общаться друг с другом, между областями должно быть заключено соглашение, а серверы Kerberos должны обменяться секретными ключами. (Ключи могут быть разными для различных общающихся пар серверов Kerberos.) Поскольку между областями управления Kerberos существуют стандартные иерархические отношения, каждой области достаточно заключить соглашение и обменяться ключами с родителем и всеми потомками. В принципе возможно заключение соглашения между двумя произвольными областями, субъекты которых активно общаются друг с другом. Рис. 13 иллюстрирует отношения между областями управления.

Рис.13. Отношения между областями управления Kerberos.

При наличии договорных отношений локальный сервер выдачи билетов может выдать билет к удаленному TGS, который, в свою очередь, выдаст билет к удаленному серверу. Последовательность обмена сообщениями для этого случая показана на Рис. 14.

Рис. 14. Взаимная проверка клиентом C и удаленным сервером S-rem подлинности друг друга (вариант 4).

В более общем случае клиенту придется пройти через несколько промежуточных серверов выдачи билетов. Впрочем, поскольку глубина вложенности областей управления обычно невелика (3 — 4), не должен быть длинным и путь до удаленного сервера.

Такова идейная основа механизма аутентификации, принятого в Kerberos. Следует отметить, что, помимо изложенных, сервер Kerberos предоставляет много дополнительных возможностей. Так, на самом деле время жизни билета задается как пара (начальное время, конечное время). В результате можно получать билеты "на потом", например, для пакетных заданий, выполняющихся ночью. Далее, имеется механизм билетов с правом передачи, что позволяет серверам выполнять определенные действия от имени обратившихся к ним клиентов (скажем, серверу печати осуществлять доступ к файлам пользователя). Есть и другие средства, на которых, однако, мы сейчас останавливаться не будем.

На реализацию и использование Kerberos можно смотреть с разных точек зрения. Пользователь видит Kerberos как набор команд (например, kinit — начало Kerberos-сеанса, kdestroy - разрушение Kerberos-билетов и окончание сеанса, klist — выдача текущего списка билетов, kpasswd — смена Kerberos-пароля и т.п.) или не видит его вообще, если соответствующие вызовы встроены в утилиты и команды операционной системы, такие как login, logout, passwd.

Для программиста Kerberos представляет собой набор библиотек, весьма разумно структурированных, так что можно легко заменять разные компоненты, например, криптографические. Две функции основной библиотеки — krb_mk_req и krb_rd_req, позволяют, соответственно, построить аутентификационный запрос к серверу и обработать его. При этом прикладной программист избавляется от рутинных аспектов общения с Kerberos. "Керберизация" приложений, то есть встраивание в них средств проверки подлинности, в значительной степени сводится к добавлению вызовов упомянутых функций, что, естественно, не слишком сложно.

С точки зрения системного администратора Kerberos — это набор административных средств конфигурирования, регистрации субъектов, работы с базой данных секретных ключей.

В последующих разделах Kerberos рассматривается более формально. Основой изложения является официальный документ сообщества Internet — RFC 1510 "The Kerberos Network Authentication Service (V5)".

Флаги, используемые в билетах

Каждый Kerberos-билет содержит набор флагов. Большинство из них запрашивается клиентом перед получением билета. Некоторые флаги автоматические устанавливает и сбрасывает сам Kerberos. Рассмотрение флагов и способов их использования позволяет в полном объеме продемонстрировать аутентификационные возможности сервера Kerberos.

Напомним, что клиент получает билеты, зашифрованные секретными ключами серверов (это может быть сервер выдачи "билетов на билеты" или один из прикладных серверов). Тем самым клиент лишен возможности изменять содержимое билетов. В частности, он не может устанавливать и сбрасывать флаги — эту роль целиком берет на себя Kerberos.

Начальные билеты

Флаг INITIAL указывает на то, что билет выдан сервером начальной аутентификации (AS). Серверы приложений, которым нужно знать секретный ключ пользователя (пример — программа изменения пароля), могут принимать билеты только с установленным флагом INITIAL как свидетельство недавнего использования именно секретного, а не сеансового, ключа.

Два дополнительных флага, PRE-AUTHENT и HW-AUTHENT, могут нести дополнительную информацию о начальной аутентификации, независимо от того, кто выдал данный билет — AS или TGS.

Негодные билеты

Флаг INVALID свидетельствует о том, что билет негоден. Серверы приложений должны отвергать билеты с этим флагом. Обычно флагом INVALID помечаются предварительные билеты, предназначенные для использования в будущем. Чтобы предварительный билет стал годным, его нужно зарегистрировать, направив в TGS запрос с опцией VALIDATE. Регистрация пройдет успешно только после наступления начального времени годности билета. Процедура регистрации позволяет выявлять (и отвергать) украденные предварительные билеты.

Обновляемые билеты

Билеты с длительным сроком годности удобны, но небезопасны, поскольку кража содержащейся в них информации открывает злоумышленнику доступ к соответствующим серверам также на длительное время. С другой стороны, использование краткосрочных билетов заставляет постоянно обращаться к секретному ключу, что представляет еще большую опасность.

Обновляемые билеты позволяют смягчить последствия кражи информации. Они имеют два срока годности — промежуточный и окончательный. Клиент должен периодически, до окончания промежуточного срока, представлять обновляемый билет в TGS с опцией RENEW. В ответ TGS возвращает новый билет с другим сеансовым ключом и более поздним промежуточным сроком годности. Все остальные поля переносятся из старого билета без изменений. Подобная периодическая перерегистрация в принципе позволяет TGS выявлять украденные билеты и отвергать их. В результате потенциальное время жизни нелегальных билетов уменьшается.

Обычно флаг RENEWABLE интерпретируется только TGS, однако некоторые особенно осторожные серверы могут отвергать билеты с этим флагом.

Флаг RENEWABLE устанавливается в билете лишь по явному запросу клиента к серверу начальной аутентификации (AS).

Предварительные билеты

Иногда нужны билеты, которые будут использоваться спустя довольно долгое время после выдачи. Например, от момента порождения пакетного задания до начала выполнения может проходить несколько часов. Поскольку держать годные билеты в пакетной очереди рискованно, Kerberos предлагает механизм предварительных билетов, получаемых в момент порождения задания, но "дремлющих" до момента активации и перерегистрации в TGS.

Флаг MAY-POSTDATE обычно интерпретируется только TGS в "билетах на билеты" и устанавливается лишь по явному запросу клиента к серверу начальной аутентификации (AS). По "билету на билеты" с флагом MAY-POSTDATE TGS выдает билет (к серверу) с флагом POSTDATED. Сервер может проверить, как давно был выдан предварительный билет и, возможно, отказать клиенту в обслуживании. Более того, билет с флагом POSTDATED первоначально содержит и флаг INVALID, так что клиент перед использованием должен перерегистрировать билет в TGS.

Доверенности

Когда возникает необходимость позволить серверу выполнить некоторые действия от имени клиента (например, получить доступ к файлам для их печати), можно воспользоваться имеющимся в Kerberos механизмом доверенностей.

Флаг PROXIABLE, установленный в "билете на билеты" (это происходит по умолчанию), дает право TGS выдать новый билет (но не "билет на билеты") с другим сетевым адресом. В новом билете устанавливается флаг PROXY. Клиент может передать серверу новый билет в качестве доверенности.

Чтобы затруднить использование украденных удостоверений, Kerberos-билеты обычно разрешается использовать только субъектам с сетевыми адресами, явно указанными в билете. В принципе сетевые адреса в билете можно не указывать, но это не рекомендуется. Вот почему клиент должен передать серверу доверенность — билет с его (сервера) сетевым адресом.

Билеты с правом передачи

Билеты с правом передачи позволяют развить механизм доверенностей и передавать серверу права на совершение любых действий от имени клиента. Подобное сильнодействующее средство полезно, например, когда пользователь, войдя в удаленную систему, хочет, чтобы проверка подлинности проходила так же, как и в случае локального входа.

Флаг FORWARDABLE трактуется почти так же, как PROXIABLE, однако дает право на получение новых "билетов на билеты" с другими сетевыми адресами и устанавливается лишь по явному запросу пользователя к серверу начальной аутентификации (AS) при получении первоначального "билета на билеты".

В принципе пользователь может получить новый "билет на билеты" с другими сетевыми адресами и без флага FORWARDABLE, обратившись непосредственно к AS, но тогда ему придется вводить свой пароль.

Флаг FORWARDED устанавливается в новом билете по явному запросу пользователя, когда он представляет TGS билет с флагом FORWARDABLE, задает опцию FORWARDED и указывает новый список сетевых адресов. Флаг FORWARDED наследуется при выдаче новых билетов.

Форматы данных в системе Kerberos

Опишем форматы двух важнейших объектов системы Kerberos - билета и аутентификатора. Описание дается в нотации ASN.1. Понимание этих форматов позволит лучше прочувствовать тонкости механизма аутентификации. Рис.15 содержит описание структуры билета, а Рис. 16 - описание шифруемой (секретным ключом сервера) части билета.

Листинг 1

EncTicketPart ::= [APPLICATION 3] SEQUENCE { flags [0] TicketFlags, key [1] EncryptionKey, crealm [2] Realm, cname [3] PrincipalName, transited [4] TransitedEncoding, authtime [5] KerberosTime, starttime [6] KerberosTime OPTIONAL, endtime [7] KerberosTime, renew-till [8] KerberosTime OPTIONAL, caddr [9] HostAddresses OPTIONAL, authorization-data [10] AuthorizationData OPTIONAL }

Рис. 15. Описание структуры билета

Листинг 2

Authenticator ::= [APPLICATION 2] SEQUENCE { authenticator-vno [0] INTEGER, crealm [1] Realm, cname [2] PrincipalName, cksum [3] Checksum OPTIONAL, cusec [4] INTEGER, ctime [5] KerberosTime, subkey [6] EncryptionKey OPTIONAL, seq-number [7] INTEGER OPTIONAL, authorization-data [8] AuthorizationData OPTIONAL }

Рис. 16. Описание шифруемой части билета

Поясним смысл компонентов билета.

tkt-vno. номер версии формата билета. Данный документ описывает версию 5.

realm. область управления, выдавшая билет, и, одновременно, область, содержащая сервер.

sname. имя сервера, к которому выдан данный билет.

enc-part. зашифрованная часть билета.

flags. битовая шкала флагов.

key. сеансовый ключ, выданный Kerberos для связи между клиентом и сервером.

crealm. область управления, в которой зарегистрирован клиент, и, одновременно, область, в которой происходила начальная проверка подлинности.

cname. имя клиента.

transited. список промежуточных областей управления, участвовавших в аутентификации клиента.

authtime. время выдачи первоначального билета, "наследником"

starttime. время, отмечающее начало срока годности билета. Если данное поле не задано, используется значение authtime.

endtime. время, отмечающее окончание срока годности билета. В принципе конкретные серверы могут накладывать свои, более жесткие, ограничения на время жизни билета.

renew-till. время, после которого даже обновляемый билет становится негодным.

caddr. список сетевых адресов, откуда билет может быть использован. Если список пуст, билет можно использовать откуда угодно. Данный список затрудняет использование злоумышленником украденного билета.

authorization-data. авторизационная информация, передаваемая владельцем билета серверу приложений. Предполагается, что это поле содержит имена обслуживаемых объектов и права доступа к ним. Поле authorization-data позволяет выдать доверенность на совершение определенных действий. Например, клиент, желающий напечатать файл, может передать серверу печати доверенность на чтение файла. Содержательная трактовка поля авторизации находится вне компетенции Kerberos; последний лишь переносит туда информацию, содержащуюся в запросе клиента на билет к серверу приложений.

Аутентификатор — это запись, посылаемая серверу вместе с билетом, удостоверяющая знание клиентом ключа шифрования, содержащегося в билете, помогающая серверу обнаружить воспроизведение (дублирование) информации и позволяющая выбрать "настоящий сеансовый ключ" для обслуживания конкретного сеанса связи между клиентом и сервером. Аутентификатор шифруется сеансовым ключом, копия которого находится в билете (Рис. 17).

Листинг 3

Рис. 17. Аутентификатор

Комментарии к листингу:

authenticator-vno. номер версии формата аутентификатора (5).

crealm и cname. то же, что и для билета.

cksum. контрольная сумма прикладных данных, передаваемых серверу.

cusec. микросекундная часть временного штампа клиента.

ctime. основная часть временного штампа клиента.

subkey. выбранный клиентом ключ для защиты конкретного сеанса связи. Если это поле не задано, будет использоваться сеансовый ключ.

seq-number. начальный номер последовательности сообщений. Механизм номеров используется для контроля целостности последовательности и, в частности, для защиты от дублирования. Начальный номер рекомендуется выбирать случайным образом, а последующие номера не использовать дважды даже в разных сеансах.

authorization-data. то же, что и для билета (позволяет уточнить информацию, переданную в билете).

Типы пересылаемых сообщений

Обмен с сервером начальной аутентификации

Таблица 12.

Обмен с сервером начальной аутентификации

Общение с сервером начальной аутентификации обычно инициируется клиентом, желающим получить удостоверение к определенному серверу, но не имеющим пока других удостоверений. Для шифровки и расшифровки используется секретный ключ клиента. Как правило, данный обмен происходит при входе в систему, для получения удостоверения к серверу выдачи билетов. Кроме того, общение с сервером начальной аутентификации используется для получения удостоверения к серверам, требующим знания именно секретного ключа (пример - сервер смены пароля).

В своем запросе (KRB_AS_REQ) клиент посылает открытым текстом свое имя и имя сервера, к которому он хочет получить удостоверение. Ответ, KRB_AS_REP, содержит билет, который клиент должен будет представить серверу, и сеансовый ключ для совместного использования клиентом и сервером. Билет шифруется секретным ключом сервера, сеансовый ключ и дополнительная информация — секретным ключом клиента. Сообщение KRB_AS_ REP содержит данные, позволяющие связать его с предыдущим запросом (KRB_AS_REQ) и обнаружить дублирование сообщений. В случае какой-либо ошибки возвращается сообщение KRB_ERROR, которое не шифруется.

Сервер аутентификации не делает попыток убедиться в подлинности обратившегося к нему субъекта. Просто он возвращает информацию, воспользоваться которой может лишь тот, кто знает секретный ключ субъекта.

Обмен с сервером выдачи билетов

Таблица 13.

Обмен с сервером выдачи билетов

Обмен между клиентом и сервером выдачи билетов инициируется клиентом, когда тот хочет получить удостоверение к определенному серверу (возможно, зарегистрированному в удаленной области управления), обновить или зарегистрировать существующий билет или получить билет с доверенностью. В первом случае клиент должен располагать предварительно полученным от сервера начальной аутентификации билетом к TGS. Формат сообщений при обмене с сервером выдачи билетов почти тот же, что и для сервера начальной аутентификации. Основное отличие состоит в том, что для шифровки и расшифровки используется сеансовый ключ.

Запрос (KRB_TGS_REQ) состоит из информации, подтверждающей подлинность клиента, и заявки на удостоверение. Ответ (KRB_TGS_REP) содержит запрашиваемое удостоверение, зашифрованное сеансовым ключом, и данные, позволяющие обнаружить дублирование сообщений и связать ответ с запросом.

Аутентификационный обмен клиент/сервер

Таблица 14.

Аутентификационный обмен клиент/сервер

Данный обмен используется сетевыми приложениями для взаимной проверки подлинности. Клиент должен располагать предварительно полученным удостоверением к серверу. Клиент передает серверу билет, аутентификатор зашифрованный сеансовым ключом) и некоторую дополнительную учетную информацию. Сервер в ответ (если этот ответ требуется) возвращает только аутентификатор, зашифрованный тем же сеансовым ключом.

Защищенные сообщения

Сообщения типа KRB_SAFE могут использоваться партнерами по общению, желающими контролировать целостность передаваемой информации. Контроль целостности достигается за счет включения в сообщение криптографической контрольной суммы. Используется последний субсеансовый или сеансовый ключ.

Конфиденциальные сообщения

Сообщения типа KRB_PRIV могут использоваться партнерами по общению, желающими защитить данные от нелегального прочтения и контролировать их целостность. Цель достигается криптографическими методами.

Пересылка удостоверений

Сообщения типа KRB_CRED используются для пересылки удостоверений с одного хоста на другой. В сообщение входят билет и зашифрованные данные, содержащие сеансовый ключ и другую ассоциированную с билетом информацию.

База данных Kerberos

Сервер Kerberos должен иметь доступ к базе данных, содержащей идентификаторы и секретные ключи субъектов. Записи в этой базе должны содержать по крайней мере информацию, показанную в Таб. 15.

Таблица 15.

Обязательные поля базы данных Kerberos

Секретные ключи субъектов могут шифроваться "мастер-ключом" Kerberos.

Когда секретный ключ сервера изменяется нормальным образом (то есть не в результате компрометации старого ключа), старый ключ следует сохранять до тех пор, пока остаются годными билеты, выданные с его помощью. Таким образом, возможна ситуация, когда один субъект имеет несколько активных ключей. Информация, шифруемая секретным ключом, всегда помечается версией примененного ключа, иначе правильная расшифровка может стать невозможной.

Субъекту с несколькими активными ключами соответствует несколько записей в базе данных Kerberos. При выдаче билетов и в процессе начальной аутентификации всегда используется самый свежий ключ (с максимальным номером версии).

В реализации Kerberos в рамках проекта Афина записи базы данных содержали дополнительные поля, показанные в Таб. 16.

Таблица 16.

Дополнительные поля базы данных Kerberos

Битовая шкала атрибутов может задавать характеристики билетов, допустимые для данного субъекта, или влиять на процесс преобразования пароля в секретный ключ.

Если политика безопасности, проводимая организацией, требует более детальной отчетности, в записи базы данных Kerberos могут быть включены поля, помогающие отследить все операции с билетами. Правда, при этом следует учитывать необходимость частых изменений базы, что может быть нежелательным и по соображениям эффективности, и по соображениям безопасности. Также возможно, но нежелательно использование внешней по отношению к Kerberos базы данных (например, службы имен сетевой операционной системы).

Предлагаемые направления развития системы Kerberos

Популярность системы Kerberos довольно быстро растет, а вместе с ней растет и число предложений, направленных на развитие Kerberos. Эти предложения можно разбить на две основные группы:

· стандартизация программного интерфейса (как часть процесса выработки более общего прикладного программного интерфейса безопасности, затрагивающего не только аутентификацию);

· стандартизация использования в процедуре начальной аутентификации одноразовых паролей и/или асимметричных методов шифрования.

Можно надеяться, что доступность системы Kerberos и гласность процедуры стандартизации сделают аутентификационный сервис еще более надежным и гибким.

Глоссарий

Авторизация. процесс определения правомочности использования клиентом определенной услуги, перечня доступных объектов, а также разрешенных видов доступа.

Аутентификатор. запись, содержащая информацию, про которую можно доказать, что она была недавно сгенерирована с использованием сеансового ключа, известного только клиенту и серверу.

Аутентификационный заголовок. запись, содержащая билет и удостоверение. Эта запись будет представлена серверу в процессе проверки подлинности.

Аутентификационный маршрут. последовательность промежуточных областей управления, пересекаемых в процессе проверки подлинности субъектов из разных областей.

Аутентификация (проверка подлинности). проверка того, что субъект является тем, за кого он себя выдает.

Билет. запись, помогающая клиенту доказать серверу свою подлинность. Билет содержит сведения о клиенте, сеансовый ключ, временной штамп и другую информацию. На билете ставится печать с помощью секретного ключа сервера. Билет действителен только вместе со свежим аутентификатором.

Билет на билеты (Ticket-Granting Ticket, TGT). билет к серверу выдачи билетов (Ticket-Granting Server, TGS), позволяющий получать билеты к другим серверам.

Доверенность. документ, дающий предъявителю право на доступ к определенным объектам или услугам. В системе Kerberos это может быть билет, использование которого ограничено содержимым поля авторизации. К билету должен прилагаться сеансовый ключ.

Идентификатор субъекта. имя, используемое для уникальной идентификации субъекта.

Клиент. процесс, использующий сетевые сервисы от имени пользователя. Отметим, что в некоторых случаях сервер сам может являться клиентом некоторого другого сервера (например, сервер печати может пользоваться услугами файлового сервера).

Обычный текст. исходные данные для функции шифрования или результат функции расшифровки. Расшифровка преобразует шифрованный текст в обычный.

Печать. средство, позволяющее так зашифровать запись, содержащую несколько полей, что замена отдельных полей невозможна без знания ключа шифрования (иначе подмена будет обнаружена).

Сеансовый ключ. временный ключ шифрования, используемый двумя субъектами. Время жизни такого ключа ограничено одним сеансом работы в системе.

Секретный ключ. ключ шифрования, разделяемый субъектом и KDC и используемый длительное время. В случае, когда субъектом является пользователь, секретный ключ вычисляется по паролю.

Сервер. субъект, предоставляющий ресурсы сетевым клиентам.

Сервис (услуга). ресурс, предоставляемый сетевым клиентам. Зачастую может поддерживаться несколькими серверами (например, сервис удаленных файлов).

Субсеансовый ключ. временный ключ шифрования, используемый двумя субъектами. Обмен субсеансовыми ключами защищается посредством сеансовых ключей. Время жизни субсеансового ключа ограничено одним сеансом общения между субъектами.

Субъект. пользователь, клиент или сервер, имеющий уникальное имя и участвующий в сетевом общении.

Удостоверение. совокупность билета и секретного сеансового ключа, необходимого для успешного использования билета в процессе проверки подлинности.

Центр распределения билетов (Key Distribution Center, KDC). сетевой сервис, предоставляющий билеты и временные сеансовые ключи, или конкретный сервер, оказывающий данную услугу, или хост, на котором функционирует этот сервер. KDC обслуживает запросы и на начальный билет (соответствующий компонент иногда называют сервером начальной аутентификации — Authentication Server, AS), и на билеты к конкретным серверам (этот компонент именуют сервером выдачи билетов — Ticket-Granting Server, TGS).

Цербер (Kerberos). не только мифологический трехголовый пес, охранявший подземное царство, но и название сервиса проверки подлинности для проекта Афина (Массачусетский технологический институт), протокол, используемый этим сервисом, а также программная реализация сервиса аутентификации.

Шифрованный текст. результат функции шифрования. Шифрование преобразует обычный текст в шифрованный.

Приложение 2.

Николас Петрели Windows и Linux: что безопаснее?

Тема 7. Безопасность операционной системы Unix

1. Основы информационной безопасности

Поскольку ОС UNIX с самого своего рождения задумывалась как многопользовательская операционная система, в ней всегда была актуальна проблема разделения доступа различных пользователей к файлам файловой системы. Схема безопасности, примененная в ОС UNIX, проста и удобна и одновременно достаточно мощна, что стала фактическим стандартом современных многопользовательских операционных систем.

Информационная безопасность – меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе. Основой информационной безопасности любой организации является политика безопасности.

2. Политика безопасности

Политика безопасности – это набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. Это активный компонент защиты, который включает в себя анализ возможных угроз и выбор мер противойдействия.

Важным элементом политики безопасности является управление доступом: ограничение или исключение несканкционированного доступа к информации и программным средствам. При этом используются два основных понятия: объект и субъект системы. Объектом системы мы будем называть любой её идентифицируемый ресурс (например, файл или устройство). Доступом к объекту системы – некоторую заданную в ней операцию над этим объектом (скажем, чтение или запись). Действительным субъектом системы назовем любую сущность, способную выполнять действия над объектами (имеющую к ним доступ). Действительному субъекту системы соответствует некоторая абстракция, на основании которой принимается решение о предоставлении доступа к объекту или об отказе в доступе. Такая абстракция называется номинальным субъектом. Например, студент МГТУ – действительный субъект, его пропуск в МГТУ – номинальный. Другим примером может служить злоумышленник, прокравшийся в секретную лабораторию с украденной картой доступа – он является действительным субъектом, а карта – номинальным.

Объект и субъект безопасности

Рис. 18. Объект и субъект безопасности

Политика безопасности должна быть полной, непротиворечивой и рассматривать все возможности доступа субъектов системы к её объектам. Только соблюдение всех трех принципов гарантирует, что нарушить установленные правила (например, получить несанкционированный доступ к объекту) системными средствами невозможно. Если же предполагаемый злоумышленник воспользовался каким-нибудь внесистемным средством и смог получить статус номинального субъекта, к которому он не имеет отношения (например, подглядел чужой пароль и работает под чужим именем), никаких гарантий быть не может.

Полнота политики безопасности означает, что в ней должны быть отражены все существующие ограничения доступа. Непротиворечивость заключается в том, что решение об отказе или предоставлении доступа конкретного субъекта к конкретному объекту не должно зависеть от того, какими путями система к нему приходит. Третье требование, называемое также отсутствием недокументированных возможностей, должно гарантировать нам, что доступ не может быть осуществлен иначе как описанным в политике безопасности способом.

Политика безопасности включает в себя технические, организационные и правовые аспекты, в рамках этих лекций рассматривается только технический аспект.

3. Управление доступом

Существует несколько схем управления доступом, называемых моделями доступа. Рассмотрим самые известные из них:

Мандатная модель доступа

Объектам и субъектам системы ставится в соответствие метка безопасности или мандат (например, гриф секретности). При этом метка безопасности субъекта описывает его благонадёжность, а метка безопасность объекта – степень закрытости информации. Доступ к объекту разрешён только субъектам с соответствующей или более сильной меткой.

Недостатком такой схемы можно считать слишком грубое деление прав, необходимость введения категорий доступа и т.п.. Также для данной модели доступа очень важно разработать механизм понижения секретности теряющих важность документов.

Списки доступа (Accecc Control Lists, ACL)

Все субъекты и объекты системы объединяются в таблицу, в строках которой находятся субъекты (активные сущности), а в столбцах – объекты (пассивные сущности), элементы же такой таблицы содержат перечисление прав, которыми субъект обладает в отношении данного объекта. Такая схема называется субъект-объектная модель.

Недостатками можно считать огромный размер таблицы и сложность администрирования в случае большого числа объектов и субъектов в системе.

Произвольное управление доступом

Каждому объекту сопоставляется один субъект – владелец объекта. Владелец может по своему усмотрению давать другим субъектам или отнимать у них права на доступ к объекту. Если объект имеет несколько хозяев, они могут быть объединены общим субъектом – группой. Такая схема позволяет значительно сократить размер таблицы прав субъектов по отношению к объектам. Эта схема также называется субъект-субъектная модель.

Недостатком этой схемы является значительное облегчение управления доступом, что не позволяет простроить сложные отношения между субъектами и объектами.

4. Аутентификация и авторизация

Авторизация – это процесс определения того, имеет или не имеет некоторый субъект доступ к некоторому объекту. Авторизация может быть:

статической

вопрос о доступе к объекту решается один раз, когда права задаются или изменяются, при этом пользователю ставится в соответствие некоторый номинальный субъект системы;

динамической

принятие решения о доступе производится при каждом обращении к объекту, часто это носит характер ограничения возможностей пользователя по объёму памяти и дискового пространства, времени работы и т.п..

Процессу авторизации всегда должен предшествовать процесс аутентификации. Аутентификация – это механизм сопоставления работающего пользователя системы некоторому номинальному субъекту. Как правило, при этом пользователю необходимо ввести пароль или предоставить секретный ключ.

5. Концепции безопасности UNIX

В операционной системе UNIX используется достаточно постая модель доступа, основанная на субъект-субъектной модели. В современных версиях UNIX помимо общей схемы можно использовать списки доступа. При этом реализуется статическая авторизация множественного доступа к объекту.

6. Пользователи и группы

В UNIX роль номинального субъекта безопасности играет пользователь. Каждому пользователю выдается (обычно – одно) входное имя (login). Каждому входному имени соответствует единственное число, идентификатор пользователя (User IDentifier, UID). Это число и есть ярлык субъекта, которым система пользуется для определения прав доступа.

Каждый пользователь входит в одну или более групп. Группа – это образование, которое имеет собственный идентификатор группы (Group IDentifier, GID), объединяет нескольких пользователей системы, а стало быть, соответствует понятию множественный субъект. Значит, GID – это ярлык множественного субъекта, каковых у действительного субъекта может быть более одного. Таким образом, одному UID соответствует список GID.

Роль действительного (работающего с объектами) субъекта играет процесс. Каждый процесс снабжен единственным UID: это идентификатор запустившего процесс пользователя. Любой процесс, порожденный некоторым процессом, наследует его UID. Таким образом, все процессы, запускаемые по желанию пользователя, будут иметь его идентификатор. UID учитываются, например, когда один процесс посылает другому сигнал. В общем случае разрешается посылать сигналы «своим» процессам (тем, что имеют такой же UID).

7. Права доступа

Роль объекта в UNIX играют многие реальные объекты, в частности представленные в файловой системе: файлы, каталоги, устройства, каналы и т. п.. Каждый файл снабжён UID – идентификатором пользователя-владельца. Вдобавок у файла есть единственный GID, определяющий группу, которой он принадлежит.

На уровне файловой системы в UNIX определяется три вида доступа: чтение (read, r), запись (write, w) и использование (execution, x). Право на чтение из файла дает доступ к содержащейся в нем информации, а право записи – возможность ее изменять. При каждом файле имеется список того, что с ним может делать владелец (если совпадает UID процесса и файла), член группы владельцев (если совпадает GID) и кто угодно (если ничего не совпадает). Такой список для каждого объекта системы занимает всего несколько байт.

Базовые права доступа в UNIX

Рис. 19. Базовые права доступа в UNIX

Флаг использования трактуется по-разному в зависимости от типа файла. В случает простого файла он задаёт возможность исполнения файла, т.е. запуска программы, содержащейся в этом файле. Для директории – это возможность доступа к файлам в этой директории (точнее говоря, к атрибутам этих файлов – имени, правам доступа и т.п..).

Рассмотрим последовательность проверки прав на примере (см. Рисунок 3, «Последовательнось проверки прав доступа в UNIX»). Пусть файл имеет следующие атрибуты:

file.txt alice:users rw- r-- ---

Т.е. файл принадлежит пользователю «alice», группе «users» и имеет права на чтение и запись для владельца и только чтение для группы.

Пусть файл пытается прочитать пользователь «bob». Он не является владельцем, однако он является членом группы «users». Значит, он имеет права на чтение этого файла.

Последовательнось проверки прав доступа в UNIX

Рис. 20. Последовательность проверки прав доступа в UNIX

Разделяемые каталоги

Права записи в директорию трактуются как возможность создания и удаления файлов, а также изменение атрибутов файлов (например, переименование). При этом субъекту не обязательно иметь права на запись в эти удаляемые файлы.

Таким образом, из своего каталога пользователь может удалить любой файл. А если запись в каталог разрешена всем, то любой пользователь сможет удалить в нём любой файл. Для избежания этой проблемы был добавлен ещё один бит в права доступа каталога: бит навязчивости (sticky, t-бит). При его установке пользователь, имеющий доступ на запись в этот каталог, может изменять только собственные файлы.

8. Подмена идентификатора субъекта

В UNIX существует механизм, позволяющий пользователям запускать процессы от имени других пользователей. Это может быть полезным, если одному пользователю необходимо на время предоставлять права другого (например, суперпользователя).

Для разрешение подмены идентификатора пользователя применяется бит подмены идентификатора пользователя (set user id, suid-бит, s). Этот бит применяется совместно с битом исполнения (x) для обычных файлов. При установке этого бита на исполняемый файл процесс запускается от имени владельца, а не от имени запускаеющего пользователя (см. Рисунок 21, «Подмена идентификатора пользователя»).

Подмена идентификатора пользователя

Рис. 21. Подмена идентификатора пользователя

Подмена идентификатора пользователя является потенциальной угрозой безопасности сиситемы и должена использоваться осторожно.

9. Недостатки базовой модели доступа и её расширения

Ограниченность системы прав UNIX приводит к тому, что, к примеру, невозможно создать такое положение вещей, когда одна группа пользователей могла бы только читать из файла, другая – только запускать его, а всем остальным файл вообще не был бы доступен. Другое дело, что такое положение вещей встречается нечасто.

Со временем в различных версиях UNIX стали появляться расширения прав доступа, позволяющие устанавливать права на отдельные объекты системы. Поначалу это были так называемые флаги – дополнительные атрибуты файла, не позволяющие, например, переименовывать его или удалять из него информацию при записи (можно только дописывать). Флаги не устраняют главного недостатка, зато их легко организовать без изменения файловой системы: каждый флаг занимает ровно один бит.

Многие современные файловые системы UNIX поддерживают также списки доступа (ACL), с помощью которых можно для каждого объекта задавать права всех субъектов на доступ к нему.

На практике флаги или управление доступом использовать приходится нечасто. В большинстве случаев такая необходимость возникает в виде исключения – например, для временного уменьшения прав или для временного предоставления доступа (легко сделать с помощью ACL), а также при работе с очень важными файлами.

10. Суперпользователь

Пользователь root (он же суперпользователь) имеет нулевые UID и GID и играет роль доверенного субъекта UNIX. Это значит, что он не подчиняется законам, которые управляют правами доступа, и может по своему усмотрению эти права изменять. Большинство настроек системы доступны для записи только суперпользователю.

В UNIX существует уровень доступа ядра и уровень доступа системы. Суперпользователь работает на уровне доступа ядра, так что является по сути продолжением самой системы.

Многие команды должны исполняться только от имени суперпользователя, так как в них производится взяимодействие с частями ядра, отвечающими за взаимодействие с аппаратурой, права доступа и т.п.. Если же такие команды разрешается запускать простым пользователям, применяется рассмотренный выше механизм подмены идентификатора пользователя.

Системное администрирование в UNIX производится от имени пользователя root. При работе от этого имени следует быть очень осторожным: выполнение неверной команды может привести к краху системы и уничтожению информации. Поэтому даже администраторы никогда не работают в сеансе суперпользователя всё время, а переходят в режим суперпользователя только тогда, когда это действительно необходимо (например, с помощью команды su).

11. Аутентификация пользователей

В UNIX сеанс работы пользователя начинается с его аутентификации и заканчивается его выходом из системы. При входе в систему выполняется следующая последовательность действий (см. Рисунок 22, «Процесс входа в систему»):

1. процесс getty ожидает реакции пользователя на одной из терминальных линий, в случае активности пользователя выводит приглашение;

2. после ввода имени пользователя запускается программа login, которая проверяет подлинность пользователя. Стандартным механизмом является проверка пароля, заданного для данного пользователя;

3. убедившись, что пароль введён правильно, login запускает командный интерпретатор с установленными UID и GID данного пользователя. Таким образом, права доступа любой программы (действительного субъекта), запущенной пользователем в этом сеансе работы, будут определяться правами номинального субъекта UID+GID.

Процесс входа в систему

Рис. 22. Процесс входа в систему

При работе по сети роль getty исполняет сетевой демон, например ssh.

В некоторых современных UNIX-системах существуют расширения систем авторизации и аутентификации. Например, в Linux-системах этот механизм называется подключаемые модули аутентификации (Pluggable Authentication Modules, PAM). Эти средства выходят за рамки данных лекций.

12. Настройка системы безопасности

База данных пользователей системы

Все данные о пользователях UNIX хранит в файле /etc/passwd в текстовом виде. Каждому пользователю соответствует одна строка, поля которой разделяются двоеточиями:

входное имя:x:UID:GID:полное имя:домашний каталог:стартовый shell

Пример 1. Пример файла /etc/passwd

root:x:0:0:root:/root:/bin/bash

bin:x:1:1:bin:/bin:/bin/false

daemon:x:2:2:daemon:/sbin:/bin/false

adm:x:3:4:adm:/var/adm:/bin/false

...

Каждый пользователь явно связан с одной из групп – это основная группа пользователя. Это сделано для того, чтобы каждый пользователь состоял хотя бы в одной группе. Все новые файлы, создаваемые этим пользователем, в качестве группы владельцев будут иметь его основную группу.

Из примера видно, что некоторые пользователи имеют «неправильные» командные оболочки, работа в которых невозможна. Это сделано специально для того, чтобы исключить возможность входа таких пользователей в систему.

Пароли на вход в систему пользователей в UNIX не хранятся в открытом виде, хранятся только их хэши (набор байт, получаемый из пароля с помощью односторонней функции). Даже если злоумышленник получит значение этого хэша, ему придется подбирать пароль, применяя данную одностороннюю функцию к различным словам и сравнивая со значением хэша. Часто хэши хранятся в спациальном файле (например, /etc/shadow), доступ к которому разрешен только системе, так что перебор вообще не возможен.

Аналогичным образом информация о группах хранится в файле /etc/group. Каждой строке файла соответствует информация о группе: её имя, числовой идентификатор и список пользователей, входящих в эту группу.

Изменение информации о пользователях, также как и добавление новых пользователей, может производиться простым редактированием этого файла, однако более корректным способом является использование специальных утилит, которые рассматриваются далее.

Изменение базы данных пользователей

Для добавления и удаления пользователей и групп существует набор команд: useradd, userdel, groupadd, groupdel. Эти команды доступны только суперпользователю и имеют единственный обязательный параметр: имя пользователя или группы.

С помощью команд usermod и groupmod можно изменять информацию в базах данных пользователей и групп. Эти команды также может выполнять только администратор системы.

Команда passwd позволяет простым пользователям изменять свой системный пароль, а суперпользователю – изменять пароль любого из пользователей системы.

Изменение прав доступа

Для изменения владельца файла или группы владельцев используются команды chown и chgrp. Из соображений безопасности спользовать эти команды может только суперпользователь.

Пользователь может изменять права доступа к своим файлам с помощью команды chmod.

Ограничения сеанса пользователя

В UNIX существует ряд динамических ограничений, накладываемых на процесс аутентификации пользователя и запущенные им программы. Ограничения можно разделить на следующие группы:

ограничения входа в систему

Вход пользователя в систему может быть ограничен видом терминала, удалённым адресом (в случае сетевого входа в систему), временем работы. Для задания этих ограничений в некоторых UNIX-системах используется файл /etc/login.access

ограничения запускаемых процессов

Процессы пользователей могут быть ограничены по одному из следующих параметром: объём используемой памяти, число одновременно открытых файлов, число запускаемых процессов и т.п.. Для задания этих ограничений в некоторых UNIX-системах используется файл /etc/limits.

ограничения использования диска

Дисковые квоты позволяют ограничить объём используемого пространства жёсткого диска для каждого из пользователей системы. Для настройки данного ограничения необходима утилита quote, а также поддержка в выбранной файловой системе.

Ограничения действуют на протяжении всего сеанса работы пользователя.

Резюме

Основой информационной безопасности любого предприятия является политика безопасности, которая включает в себя технические, организационные и правовые аспекты.

Основными элементами политики безопасности являются субъект, объект и отношения между ними. Выделяют ряд моделей доступа, среди которых маркерный доступ, списки пользователя (субъект-объектный доступ) и произвольное управление доступом (субъект-субъектный доступ).

В операционной системе UNIX субъектом является процесс пользователя, а объектом файл. Права группируются по владельцу объекта, группе владельцев и остальным и состоят из базовых прав: чтение, запись и исполнение, а также дополнительных прав (подмены субъекта и разделяемости каталога).

Аутентификация пользователя при входе в систему состоит в проверке пароля, соответствующего имени пользователя.

Информация о пользователях системы хранится в специальном файле /etc/passwd. Существует набор системных команд по изменению базы данных пользователей и групп.

В UNIX можно устанавливать динамические ограничения на сеанс пользователя.

Дополнительные материалы

1. Скотт Манн, Эленн Митчелл, Митчелл Крелл Безопасность Linux. – М.: Вильямс, 2003. – 624 с.: ил.

2. Курячий Г.В. Операционная система UNIX. – М.: Интуит.Ру, 2004. – 292 с.: ил.

Вопросы

1. Чем отличаются номинальный и действительный субект? Как они соотносятся с объектом безопасности? Что представляют собой субъект и объект безопасности в UNIX?

2. Что такое политика безопасности? Какие требования выдвигаются по отношению к ней?

3. Какие существуют наиболее распространённые схемы доступа? В чём заключаются основные отличия между ними? Какая схема доступа используется в UNIX?

4. Какие существуют права доступа в UNIX? Какие из них являются специфичными для простах файлов, а какие для директорий?

5. Что такое подмена идентификатора субъекта? Как такое право устанавливается и где применяется?

6. Из чего состоит процесс аутентификации пользователя в UNIX?

7. Каким образом хранится информация обо всех пользователях системы?

Тема 8. MAC OS X – БЕЗОПАСНОСТЬ

Компьютер Mac неуязвим для вирусов, атакующих PC. А встроенные функции безопасности обеспечивают защиту от других видов вредоносного ПО, не мешая вам постоянными сообщениями и отчётами системы безопасности.

1. Защита от вирусов и вредоносного ПО

Без лишних усилий с вашей стороны Mac OS X обеспечивает многослойную систему защиты от вирусов и других вредоносных программ. Например, система обеспечивает защиту ваших программ от хакеров с помощью метода под названием «песочница», который ограничивает возможные действия вредоносных программ на вашем Mac, их доступ к вашим файлам и запуск ими других программ. Среди других автоматических функций безопасности — случайное перемещение системных библиотек, не позволяющее вредоносным командам достичь своей цели, а также функция отключения выполнения, защищающая от атак память Mac.

64-разрядные приложения Snow Leopard более устойчивы к атакам хакеров и вредоносного ПО, чем 32-разрядные версии: в них встроены более совершенные технологии выявления вредоносного кода.

Дверной замок

2. Всегда на страже

Безобидные на вид файлы, загружаемые из Интернета, могут содержать вредоносные программы. Именно поэтому файлы, загружаемые через Safari, Mail и iChat, проверяются на предмет наличия в них опасных программ. При обнаружении угрозы Mac OS X уведомляет о ней, а затем предупреждает при первом открытии приложения. Вы сами решаете, открыть приложение или отказаться от этого. Mac OS X может также использовать цифровые подписи, чтобы установить, было ли приложение изменено с момента своего создания.

3. Автоматическое обновление

При возникновении угрозы безопасности Apple реагирует моментально, позволяя автоматически загрузить и установить одним нажатием программные обновления для обеспечения безопасности. Для упреждающей идентификации и быстрого устранения уязвимостей операционной системы компания Apple сотрудничает с сообществом аварийного реагирования, в том числе с форумом FIRST, объединяющим группы реагирования на нарушения информационной безопасности, а также с группой защиты FreeBSD. Кроме того, Apple тесно взаимодействует с такими организациями как CERT/CC (Координационный центр группы компьютерной «скорой помощи»).

4. Легкая настройка

В Mac OS X можно легко настраивать и использовать функции защиты. Например, для настройки безопасного обмена файлами нужно выполнить всего лишь несколько действий в Системных настройках. FileVault позволяет шифровать все файлы в вашей домашней папке — для этого достаточно сделать пару нажатий мышью и выбрать пароль. Межсетевой экран предварительно настроен на блокировку сетевых вторжений, но вы можете легко внести любые изменения в настройки.

5. Установите родительский контроль

Все родители хотят быть уверены, что работа на компьютере приносит их детям только пользу. Mac OS X присмотрит за ними, когда вы не можете сделать это сами. Настроив функции Родительского контроля, вы сможете контролировать, сколько времени дети проводят за компьютером, на какие сайты они заходят и с кем общаются.

6. Не попадитесь на удочку

Фишинг — это форма мошенничества, при которой злоумышленники пытаются заполучить ценную информацию, например, имена пользователей, пароли и данные кредитных карт. Для этого они создают поддельные веб-сайты, которые выглядят как реальные сайты компаний. Технология защиты от фишинга в Safari предотвращает подобное мошенничество, выявляя ложные веб-сайты. При посещении подозрительного сайта Safari блокирует эту страницу и выдаёт предупреждение.

Диалоговое окно с сообщением: «Внимание! Вероятный сайт фишинга».

7. Безопасные путешествия по Сети

Mac OS X позволяет безопасно работать в Сети — проверяете ли вы свой банковский счёт, отправляете конфиденциальное сообщение или обмениваетесь файлами с друзьями и коллегами. Например, функция Ассистент пароля позволяет заблокировать доступ похитителям личных данных, а встроенные технологии шифрования защищают личную информацию и обеспечивают безопасное общение.

Диалоговое окно «Ассистент пароля»

8. Безопасность, которая не надоедает

Вашей работе в Mac OS X не будут мешать постоянные сообщения и отчёты системы безопасности. Каждый Mac поставляется в защищённой конфигурации, поэтому вам не нужно вникать в сложные настройки. Просто включите свой Mac и начните работу. Когда потребуется ваше участие, он даст вам знать. А если потребуется изменить конфигурацию защиты, просто откройте Системные настройки и внесите необходимые поправки.

Диалоговое окно «Ассистент пароля»

9. Совет по безопасности

Каждый новый Mac имеет встроенные технологии, обеспечивающие защиту от вредоносных программ и внешних угроз. Однако, поскольку ни одна система не защищена от всех угроз на 100%, антивирусная программа может обеспечить дополнительную защиту.

Вот несколько способов обеспечить максимальную безопасность вашей информации:

· Загружайте файлы только с проверенных, известных вам сайтов.

· Используйте FileVault для шифрования самых ценных документов.

· Контролируйте доступ к своему Mac, блокируя экран при бездействии.

Безопасно удаляйте устаревшие ценные файлы с помощью команды «Очистить Корзину необратимо».

Список использованных источников

1.	Ахо В., Хопкрофт Д., Ульман Д. Структуры данных и алгоритмы М.: Вильямс, 2001
2.	Баурн С. Операционная система UNIX М.: Мир. 1986
3.	Березин А.С., Петренко С.А. Безопасность корпоративной информационной системы глазами бизнеса// Экспресс-электроника. - № 9. - 2002. - С. 84-87.
4.	Васильков А.В., Васильков И.А. Безопасность и управление доступом в информационных системах. 2009 г. 368 с.
5.	Беляков М.И., Рабовер Ю.И., Фридман А.Л. Мобильная операционная система М.:, Радио и связь, 1991
6.	Блэк У. Интернет: протоколы безопасности. Учебный курс Спб.: Издательский дом Питер, 2001
7.	Дейтел Г. Введение в операционные системы М.: Мир, 1987
8.	Основы Windows NT и NTFS М.: Русская редакция. 1996
9.	Олифер В.Г., Олифер Н.А. Сетевые операционные системы Спб.: Издательский дом Питер, 2001
10.	Столлингс В. Операционные системы. -М.: Вильямс, 2001
11.	Таненбаум Э. Современные операционные системы СПб.: Издательский дом Питер, 2002
12.	Робачевский А. Операционная система UNIX Спб.: BHV, 1999
	Нормативные акты
13.	Федеральный закон "О техническом регулировании" от 27.12.2002 N 184-ФЗ.
14.	Федеральный закон от 10.07.2002 N 86-ФЗ (ред. от 19.07.2009) "О Центральном банке Российской Федерации (Банке России)"
15.	Федеральный закон от 02.12.1990 N 395-1 (ред. от 28.04.2009) "О банках и банковской деятельности"
16.	Закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»
17.	Правило (стандарт) аудиторской деятельности "аудит в условиях компьютерной обработки данных" (одобрено комиссией по аудиторской деятельности при Президенте РФ 22.01.1998 протокол № 2)
18.	Стандарт Банка России СТО БР ИББС-1.0-2006 Обеспечение информационной безопасности организаций Банковской системы Российской Федерации. Принят Распоряжением Центрального банка РФ 26 января 2006 г. № Р-27
19.	Постановление Государственного комитета Российской Федерации по стандартизации и метрологии (Госстандарт России) от 30 января 2004 г. N 4 г. Москва «О национальных стандартах Российской Федерации «
20.	Technical Report CMU/SEI-93-TR-024, ESC-TR-93-177, Capability Maturity Model for Software, Version 1.1, February 1993.
21.	Control Objectives for Information and related Technology (COBIT) 3rd Edition, July 2000.
22.	Supervisory Memorandum — 1001, Rating Systems for Commercial Banks, Trust Departments, Foreign Bank Agencies, and Electronic Data Processing Operations Supervised by the Department of Banking, Texas Department of Banking, December 31, 1998 (rev).
23.	Technical Report CMU/SEI-93-TR-024, ESC-TR-93-177, Capability Maturity Model for Software, Version 1.1, February 1993.
24.	Supervisory Memorandum — 1001, Rating Systems for Commercial Banks, Trust Departments, Foreign Bank Agencies, and Electronic Data Processing Operations Supervised by the Department of Banking, Texas Department of Banking, December 31, 1998 (rev).
25.	Technical Report CMU/SEI-93-TR-024, ESC-TR-93-177, Capability Maturity Model for Software, Version 1.1, February 1993.
	Интернет ресурс
26.	http://www.port-22.ru
27.	http://www.fstec.ru/
28.	http://domarev.kiev.ua/book-02/gloss.htm
29.	http://apkit.ru/
30.	http://aspe.hhs.gov/admnsimp/pl104191.htm
31.	http://bezpeka.ladimir.kiev.ua/index.php
32.	http://bos.dn.ua/
33.	http://dic.academic.ru/
34.	http://edocs.al.ru/secure/content.html
35.	http://en.wikipedia.org/wiki/GLBA
36.	http://internet-future.narod.ru/
37.	http://it-professional.ru/
38.	http://nalog.consultant.ru/doc18152
39.	http://ru.wikipedia.org
40.	http://sb.adverman.com/
41.	http://synopsis.kubsu.ru/informatic/
42.	http://uks.dol.ru/
43.	http://ww-4.narod.ru/warfare/warfare.htm
44.	http://www.abbyy.ru/
45.	http://www.abiss.ru/news/256/
46.	http://www.aicpa.org/assurance/systrust/index.htm
47.	http://www.bdm.ru/arhiv/2006/03/62-63.htm
48.	http://www.biztalk.org/
49.	http://www.bytemag.ru/articles/detail.php?ID=8773&phrase_id=451
50.	http://www.cfm.ru/
51.	http://www.citforum.ru/
52.	http://www.cognitive.ru/
53.	http://www.commerce.net/
54.	http://www.consultant.ru/
55.	http://www.consultant.ru/popular/techreg/
56.	http://www.cos.ru/
57.	http://www.coso.org/
58.	http://www.deloitte.com/dtt/cda/doc/content/SOXComplianceChallenges0506_rus.pdf
59.	http://www.documentum.ru
60.	http://www.ean.ru/
61.	http://www.editrans.ru/
62.	http://www.efrat.ru/
63.	http://www.fstec.ru/_razd/_ispo.htm
64.	http://www.garant.spb.ru
65.	http://www.gost.ru/
66.	http://www.infobroker.ru/
67.	http://www.intuit.ru/department/security/secbasics/
68.	http://www.isaca-russia.ru/
69.	http://www.kodeks.net
70.	http://www.lanit.ru
71.	http://www.lc.ru/
72.	http://www.lotus.ru
73.	http://www.mdi.ru/
74.	http://www.microsoft.com/dynamics/nav/product/navision_sox.mspx
75.	http://www.opsi.gov.uk/acts/acts1990/ukpga_19900018_en_1
76.	http://www.pcaobus.org/
77.	http://www.pcweek.ru/
78.	http://www.rb.ru/inform/15277.html
79.	http://www.rbc.ru/
80.	http://www.rg.ru/2004/03/06/standart-dok.html
81.	http://www.rnivc.kis.ru/
82.	http://www.soft4u.ru/goods/symantec/symantec_esm.html
83.	http://www.srcc.msu.su
84.	http://www.ukas.com/
85.	http://www.unece.org/trade/untdid/welcome.htm
86.	www.bizon.ru
87.	www.bsi-global.com
88.	www.cnews.ru
89.	www.compulenta.ru
90.	www.dials.ru
91.	www.dist-cons.ru/modules/security/main.htm
92.	www.drweb.com/
93.	www.hackzone.ru
94.	www.infowatch.ru
95.	www.isecurity.ru
96.	www.isn.ru/
97.	www.it.ru
98.	www.itmane.ru/
99.	www.jetinfo.ru/
100.	www.kaspersky.ru/
101.	www.magazin.ru
102.	www.microsoft.com/rus/msdnaa/curricula/
103.	www.oborot.ru
104.	www.olap.ru
105.	www.osp.ru
106.	www.oxpaha.ru
107.	www.refer.ru
108.	www.russianlaw.net
109.	www.sbcinfo.ru
110.	www.sec.ru
111.	www.studfiles.ru/dir/cat32/subj1175.html
112.	www.subscribe.ru
113.	www.tops.ru
114.	www.tops.ru
115.	www.topsbi.ru
116.	www.viruslist.com
117.	www.wtu.ru/structure/kaf/infor_mened/kurs/ib_int.php