Безопасность Active Directory

Система безопасности, построенная на основе Active Directory и Windows Server 2003, создана для защиты ценных сетевых ресурсов и решения многих задач безопас­ности, характерных для Windows NT 4.0. Windows Server 2003 расширяет эти возможности безопасности; эта система была создана для решения таких проблем, как уязвимости в работе информационного сервера Internet (Internet Information Server — IIS), которые использовались вирусами наподобие Code Red или Nimbda. На разработку безопасности Windows Server 2003 оказала влияние и инициатива Microsoft «безопасности по умолчанию» (secure by default), нацеленная в основном на безопасность ее продуктов. Короче говоря, Microsoft сейчас как никогда озабочена безопасностью своих продуктов и обязательно испытывает на безопасность все свои новые программные средства, прежде чем запускать их в эксплуатацию. Эта инициа­тива повлияла на разработку Windows Server 2003 и чувствуется в средствах обеспече­ния безопасности.

Kerberos

Kerberos был разработан в Массачусетском Технологическом институте как безо­пасный метод аутентификации пользователей без необходимости пересылки по сети пароля пользователя в зашифрованном или открытом виде. Возможность посылки пароля таким способом значительно уменьшает опасность кражи пароля, поскольку злонамеренные пользователи теперь не могут заполучить копию пароля, когда он проходит по сети, и провести атаку грубой силы для расшифровки информации. Фактические функциональные средства Kerberos довольно сложны, но кратко их можно описать так: компьютер посылает пакет с информацией клиенту, которому нужна аутентификация. Этот пакет содержит «загадку», правильный ответ на которую можно получить только из подлинного мандата пользователя. Пользователь прилагает к этой загадке «ответ» и отсылает ее назад на сервер. Если ответ сформирован с по­мощью правильного пароля, аутентификация пользователя считается успешной. Хотя эта форма аутентификации применяется в Windows Server 2003, она не является соб­ственной разработкой Microsoft и доступна в качестве стандарта Internet.

Информационный сервер Internet v6 по умолчанию отключен

Одним из объектов критики информационного сервера Internet компании Microsoft, да и вообще продуктов Microsoft, является недостаток средств безопасно­сти, встроенных в эти продукты — и присутствующих изначально, и подключаемых при выполнении стандартных операций. Компоненты IIS, особенно Index Server, ока­зались уязвимыми для вирусов и хакерских приемов наподобие применяемых печаль­но известными вирусами Code Red и Nimbda. По этой причине Microsoft по умолча­нию отключила в Windows Server 2003 компонент информационного сервера Internet

Дополнительные соображения по безопасности

Реализации Active Directory, по сути, имеют тот же уровень безопасности, что и среда Windows Server 2003, в которой они работают. Безопасность структуры Active Directory можно повысить, применив дополнительные меры предосторожности, та­кие как безопасный межсерверный обмен данными по протоколу IPSec, с помощью смарт-карт или других методов шифрования. Кроме того, безопасность пользователь­ской среды можно повысить, применяя групповые политики, с помощью которых можно изменить такие параметры, как ограничения на пароли пользователей, безо­пасность доменов и полномочия доступа при входной регистрации.

Аналогичные записи:
Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий

Вы должны быть авторизованы, чтобы разместить комментарий.