Маркер Безопасности (sid)

В состав маркера безопасности SID входит:

- идентификатор домена,

- идентификатор компьютера,

- идентификатор пользователя.

Каждая составляющая формируется операционной системой случайным образом. у администратора идентификатор пользователя = 500. у учётной запись Guest идентификатор пользователя = 501. Это не очень хорошо в смысле надёжности.

Вход в систему

Протокол аутентификации Kerberos является основным механизмом аутентификации, используемым в среде WS2003.

Проблема аутентификации пользователя заключается в необходимости проверки того факта, что он является тем за кого себя выдаёт.

В процессе аутентификации участвует три стороны:

- клиент, запрашивающий соединение и предоставляющий сведения о своих полномочиях;

- сервер, предоставляющий доступ к ресурсу и проверяющий полномочия клиента;

- сервер, хранящий информацию о секретах всех клиентов (Центр распространения ключей);

Аутентификация ведётся следующим образом:

- клиент посылает запрос серверу аутентификации на информацию, однозначно идентифицирующую некоторый нужный клиенту сервер;

- сервер передаёт требуемую информацию, зашифрованную с помощью известного пользователю ключа. Переданная информация состоит из билета сервера и временного ключа, предназначенного для шифрования (ключ сеанса);

- клиент пересылает серверу билет, содержащий идентификатор клиента и ключ сеанса, зашифрованные с помощью ключа, известного серверу;

- теперь ключ сеанса известен и клиенту, и серверу. Он может быть использован для аутентификации клиента, а также для аутентификации сервера.

Модель распределённой безопасности в ws2003:

Модель распределённой безопасности в WS2003 основана на трёх основных концепциях:

- каждая рабочая станция имеет прямой доверенный путь к контроллеру домена, членом которого является данная машина. Доверенный путь устанавливается службой NetLogon с помощью аутентифицированного соединения RPC с контроллером домена. Защищённый канал устанавливается и с другими доменами с помощью междоменных доверительных отношений. Этот канал используется для проверки информации безопасности, включая SID пользователей и групп;

- перед выполнением запрошенных клиентом операций сетевые службы имперсонализируют контекст безопасности этого клиента. Имперсонализация основана на маркере адреса безопасности, созданном локальным администратором безопасности. Он представляет собой авторизацию клиента на сервере;

- Ядро WS2003 поддерживает объектно-ориентированное управление доступом, сравнивая SID в маркере доступа с правами доступа, определенными в списке управления доступом данного объекта. Каждый объект WS2003 имеют собственные списки управления доступом.

Разделяемые ресурсы

\\имя_компьютера\ADMIN$ - для присоединения к каталогу, в котором находится ОС

буква_диска$ - присоединение к корневому каталогу диска

IPC$ - для организации связей

NetLogon – для сервера при входе в систему

prints$ - совместно используемые принтеры

Repl$ - для факсов

FAT для локального пользователя открывает полный доступ ко всем ресурсам.

Контроллер домена контролирует доступ к разделяемым ресурсам. Для доступа к разделяемым ресурсам на томе FAT рекомендуется назначать требуемые полномочия, на NTFS – максимально допустимые полномочия. На томе NTFS дополнительные ограничения устанавливаются обычным образом к любой папке. Таким образом разгружается контроллер домена.