- •Авторизация
- •Группы безопасности
- •Политика групп
- •Шифрование
- •2. Корпоративная безопасность
- •3. Управляемый доступ к сети
- •Управление сетевой проверкой подлинности
- •4. Упрощенное совместное использование ресурсов
- •5. Ограничение на учетные записи с пустыми паролями
- •Шифрованная файловая система
- •Архитектура efs
- •Как работает efs
- •Конфигурирование efs
- •Что разрешается шифровать
- •Шифрование базы данных автономных файлов
- •Удаленные операции efs на общих файлах и Web-папках
- •6. Службы сертификации
- •Хранилища сертификатов с открытыми ключами
- •Хранение закрытых ключей
- •Автоматический запрос сертификата пользователя
- •Запросы в ожидании и обновление сертификатов
- •7. Управление реквизитами
- •Интерфейс пользователя для ввода реквизитов
- •Хранилище реквизитов пользователя
- •Связка ключей
- •8. Быстрое переключение пользователей
- •9. Личная конфиденциальность
- •10. Доступ к Интернету - Internet Connection Firewall
- •Групповая политика в icf
- •Как работает межсетевой экран
- •Параметры групповой политики, относящиеся к безопасности
- •9. Политика ограничения используемых приложений
- •11. Протокол ipSec
- •Зачем нужен ipSec
- •Криптографические механизмы защиты
- •IpSec в работе
- •12. Поддержка смарт-карт
- •Pin вместо пароля
- •Стандарты смарт-карт
- •Вход в систему с использованием смарт-карты
- •Применение смарт-карт для администрирования
- •Аутентификатор
- •Служба центра распространения ключей Kerberos
11. Протокол ipSec
Безопасность IP-сетей - почти стандартное требование в нынешнем деловом мире с Интернетом, интрасетями, отделениями и удаленным доступом. Поскольку конфиденциальная информация постоянно пересылается по сети, сетевые администраторы и другие специалисты службы поддержки должны обеспечить защиту этого трафика от: изменения данных при пересылке; перехвата, просмотра и копирования; несанкционированного олицетворения (или маскарадинга) определенных ролей; перехвата и повторного использования для получения доступа к конфиденциальным ресурсам (для этого обычно применяется зашифрованный пароль). Службы безопасности призваны обеспечить целостность, конфиденциальность и проверку подлинности данных, а также защиту от их повторного использования для получения доступа.
Зачем нужен ipSec
Протокол IP не имеет стандартного механизма безопасности, и IP-пакеты легко перехватывать, просматривать, изменять, пересылать повторно и фальсифицировать. Без защиты и открытые, и частные сети подвержены несанкционированному доступу. Внутренние атаки - это обычно результат слабой или вообще отсутствующей защиты интрасети. Риски внешних атак обусловлены подключением к Интернету и экстрасетям. Одно лишь основанное на паролях управление доступом пользователей не обеспечивает безопасности данных, пересылаемых по сети. Вот почему сообщество Internet Engineering Task Force (IETF) разработало IPSec - протокол сетевого уровня для проверки подлинности, целостности и конфиденциальности данных, а также защиту от повторов. Поддержка IPSec встроена в Windows 2000 и Windows XP Professional. Таким образом, эти системы - хорошая основа для создания защищенных интрасетей и связи через Интернет. В них применяются стандартные отраслевые алгоритмы шифрования и всеобъемлющий подход к управлению системой безопасности для защиты всего обмена по протоколу TCP/IP на обеих сторонах брандмауэра организации. В результате стратегия сквозной безопасности Windows 2000 и Windows XP Professional защищает и от внешних, и от внутренних атак. IP-безопасность располагается ниже транспортного уровня, сокращая усилия сетевых администраторов, которым обычно приходится обеспечивать защиту последовательно для каждого приложения. Развертывание протокола IPSec в Windows XP Professional и Windows 2000 позволяет обеспечить высокий уровень безопасности всей сети, при этом приложения на серверах и клиентах, поддерживающих IPSec, защищаются автоматически.
Криптографические механизмы защиты
Для предупреждения нападений в IPSec служат криптографические механизмы. Они защищают информацию путем хеширования и шифрования. Для защиты информации используются алгоритм и ключ. Алгоритм - это последовательность математических действий для преобразования информации, а ключ - секретный код или число, необходимый для чтения, изменения или проверки защищенных данных. Уровень безопасности для данного сеанса в IPSec определяется политикой. Политика обычно назначается в распределенных системах через контроллеры домена с Windows 2000 или создается и хранится локально в реестре компьютера с Windows XP Professional.