Тестирование / tsure052
.pdfвариантов Unix/Linux, но в продуктах Microsoft она появилась впервые. С помощью этой технологии можно присоединить любой дисковый ресурс в любое место файловой системы. Например, можно присоединить жёсткий диск D:\ в любой из каталогов на диске C:\, например, в C:\users Теперь, зайдя в директорию C:\users, можно будет видеть содержимое корневого каталога диска D:\. Все изменения, которые будут произведены в этой директории, будут произведены на диске D:\. В окне Computer management -> Disk Management можно убрать букву, присвоенную этому диску (Change disk letter and path),
и пользователь даже не будет знать, что на компьютере установлено два диска. Смонтировать диск или раздел в директорию на NTFS разделе или диске, можно из меню Change disk letter and path, выбором пункта Add.. -> Mount in this Ntfs folder -> Browse… Управлять этой функцией можно и через командную строку, командой mountvol.
1.2.9.2.Dynamic Disk
Dynamic Disk - это физический диск, на котором могут быть созданы динамические разделы. Такой диск может быть доступен только из W2k. Динамические разделы могут быть следующих видов:
1.Простые (simple). Практически ни чем не отличаются от стандартных.
2.Составные (spanned). Состоят из нескольких динамических дисков, которые представлены как один диск. Данные пишутся и читаются последовательно.
3.Чередующие (stripped). Несколько динамических дисков, которые представленны как один диск. Данные пишутся и читаются одновременно на несколько дисков. Это, теоретически, должно обеспечивать вдвое большую скорость на дисковых операциях. На практике, прирост хотя и значительный, но меньше, чем в два раза. Этот режим рекомендуется использовать только в том случае, если уже имеются два диска. Однако системный раздел не может быть Stripped Volume. В этом случае разумнее приобрести аппаратный IDE-RAID контроллер, например, Promise FastTrack66, который обеспечивает возможность работы с RAID даже из-под ДОС; таким образом можно сделать системный раздел чередующимся.
4.Зеркальные (mirrored). Эти разделы состоят из двух физических дисков. Данные записываемые на один из дисков автоматически дублируются на другом. Это не даёт никаких преимуществ в плане скорости, но зато обеспечивает вдвое большую степень надёжности сохранности данных.
41
5.RAID5. Состоит из трёх, или более дисков. Представляет из себя stripped volume с контролём ошибок. То есть, данные пишутся на два диска, в два блока, а на третий диск, и в третий блок записывается ECC, код коррекции ошибок, с помощью которого, по информации любого из блоков можно востановить содержимое второго блока. Причём код ECC записыватеся попеременно, на каждый из входящих в массив дисков. Эта технология позволяет более экономно использовать дисковое пространство, чем mirrored volumes, но, работает медленее. Любой из этих разделов может быть отформатирован как под FAT32, так и под NTFS. Управление Dynamic
disk осуществляется через раздел Disk Management окна Computer Management.
Все эти разделы, кроме simple можно создавать только на динамических дисках. Обычный диск может быть сконвертирован в динамический, из окна Disk
Management, однако обратный процесс (сконвертировать динамический диск в простой) не всегда возможен. Например, если диск с самого начала создавался как динамический, то на нём отсуствует привычная таблица разделов, и чтобы создать её, его придётся заново разбивать и форматировать. Кроме этого, если удалить на динамическом диске несколько партиций, то свободное место не объединяется, и новая партиция, равная по размеру удаленным, будет состоят из нескольких мелких партиций, объединненных в volume set под одной буквой.
1.2.9.3.Active Directory
Active Directory - это новое средство управления пользователями и сетевыми ресурсами. Оно призвано облегчить жизнь администраторам больших сетей на базе W2k и вокруг него строится вся система управления сетью и её безопасности. Для установки
Active Directory необходимо иметь W2k Server. W2kPro может работать в среде Active Directory, но не может создавать её. В Active Directory поддерживается иерархичное пространство имен пользователей, групп и учетных записей машин.
Во всех предыдущих версиях Windows NT информация об учетных записях хранилась в защищенных ветвях реестра на контроллерах домена. Доверительные отношения между доменами и сквозная аутентификация в двухуровневых иерархиях доменов позволяли довольно гибко управлять учетными записями и серверами ресурсов. Однако внутри каждого домена пространство имен было плоским и не имело никакой внутренней организации. Распределенные службы безопасности Win2К используют
42
Active Directory в качестве хранилища учетной информации. Active Directory значительно превосходит реестр по производительности и масттабируемости.
Рассмотрим преимущества интегрированного управления учетными записями службой каталогов Active Directory.
•Учетные записи пользователей, групп и машин могут быть организованы в виде контейнеров каталога, называемых организационными единицами OU. В домене допустимо произвольное число OU, организованных в виде древовидного пространства имен в соответствии со структурой организации пользователя. Также как и OU, учетные записи отдельных пользователей являются объектами каталога. При изменении сотрудниками места работы или должности учетные записи внутри дерева доменов могут быть легко перемещены, и, таким образом, приведены в соответствие с новым положением.
•Каталог Active Directory позволяет учитывать намного больше объектов пользователей, чем реестр. Размер одного домена уже не ограничен производительностью сервера, хранящего учетные записи. Дерево связанных между собой доменов Windows NT может поддерживать большие и сложные организационные структуры.
•Администрирование учетной информации расширено за счет графических средств управления Active Directory, а также за счет поддержки OLE DS в
языках сценариев. Общие задачи администрирования могут быть решены в виде сценариев, что позволяет автоматизировать их выполнение.
•Служба тиражирования каталогов дает возможность иметь несколько копий учетной информации, причем обновляться эта информация может в любой копии, а не только на выделенных первичных контроллерах домена. Протокол LDAP и синхронизация каталогов обеспечивают механизмы связи каталога Windows NT с другими каталогами на предприятии.
Хранение учетной информации в Active Directory означает, что пользователи и группы представлены там в виде объектов каталога. Права на чтение и запись могут быть предоставлены отдельным лицам, как по отношению ко всему объекту целиком, так и по отношению к отдельным его свойствам. Администраторы могут точно задавать, кто именно правомочен модифицировать информацию о пользователях, и какую именно. Например, оператору телефонной службы разрешается изменять информацию о
43
телефонных номерах пользователей, но при этом он не обладает привилегиями системного оператора или администратора.
Понятие групп упростилось, и место локальных и глобальных групп теперь занимают просто объекты гpynп. С их помощью можно управлять как доступом к ресурсам в масштабе всего домена, так и к локальным ресурсам контроллера домена.
Между Active Directory и службами безопасности Windows NT существуют фундаментальные отношения. В Active Directory хранятся правила безопасности домена, определяющие порядок использования системы (ограничения паролей, ограничения на доступ к системе и др.). Объекты каталога, относящиеся к безопасности, должны быть защищены от несанкционированного доступа. В Windows NT реализована объектная модель безопасности и контроля за доступом ко всем объектам в каталоге Active Directory. У каждого объекта есть свой уникальный дескриптор защиты, определяющий разрешения на чтение или обновление свойств объекта.
Для определения прав данного клиента считывать или модифицировать определенный объект в Active Directory служит имперсонация и верификация доступа Windows NT. Иными словами, при поступлении LDAP-запроса от клиента доступ к объектам каталога контролируется операционной системой, а не службой каталогов
Active Directory.
Модель безопасности Windows NT обеспечивает однородный и унифицированный механизм контроля за доступом к ресурсам домена на основе членства в группах. Компоненты безопасности Windows NT доверяют хранимой в каталоге информации о защите. Например, сервис аутентификации Windows NT хранит зашифрованные пароли пользователей в безопасной части каталога объектов пользователя. По умолчанию операционная система «считает», что правила безопасности защищены и не могут быть изменены кем-либо несанкционированно. Общая политика безопасности домена также хранится в каталоге Active Directory.
Архитектурой безопасности объектов Active Directory используются дескрипторы защиты Windows NT для контроля за доступом к объектам. Каждый объект в каталоге имеет уникальный дескриптор защиты. Входящий в дескриптор список контроля доступа ACL содержит строки, определяющие разрешение или запрет на определенные виды доступа для отдельных лиц или групп.
44
Контейнерные объекты в каталоге также поддерживают детализацию доступа, регламентируя, кто имеет право создавать дочерние объекты и какого типа. Например, правило доступа, определенное на уровне организационной единицы, может определять, кто имеет право создавать объекты типа User (пользователи) в этом контейнере. Другое правило в этой же OU может определять, кто имеет праао создавать объекты типа
Printer.
Новая реализация редактора списков контроля доступа представляет собой диалоговое окно, в котором легко просмотреть или изменить права доступа к объектам Active Directory; а также задать права доступа как к отдельным свойствам объектов Active Directory, так и к наборам свойств. Кроме того, редактор ACL позволяет организовывать наследование прав доступа к объектам-контейнерам.
Наследование прав доступа означает, что информация об управлении доступом, определенная в высших слоях контейнеров в каталоге, распространяется ниже — на вложенные контейнеры и объекты-листья. Существуют две модели наследования прав доступа: динамическая и статическая. При динамическом наследовании права определяются путем оценки разрешений на доступ, назначенных непосредственно для объекта, а также для всех родительских объектов в каталоге. Это позволяет эффективно управлять доступом к части дерева каталога, внося изменения в контейнер, влияющий на все вложенные контейнеры и объекты-листья. Обратная сторона такой гибкости — недостаточно высокая производительность из-за времени определения эффективных прав доступа при запросе пользователя. В Windows NT реализована статическая форма наследования прав доступа, иногда также называемая наследованием в момент создания. Информация об управлении доступом к контейнеру распространяется на все вложенные объекты контейнера. При создании нового объекта наследуемые права сливаются с правами доступа, назначаемыми по умолчанию. Любые изменения наследуемых прав доступа, выполняемые в дальнейшем на высших уровнях дерева, должны распространяться на все дочерние объекты. Новые наследуемые права доступа распространяются на объекты Active Directory в соответствии с тем, как эти новые права определены. Статическая модель наследования позволяет увеличить производительность.
В службу Active Directorу встроены средства идентификации пользователя. Для каждого объекта в сети можно централизировано выставлять права доступа, в
45
зависмости от групп и конкретных пользователей. Благодаря системе безопасности Kerberos, можно осуществлять защищённую связь даже по открытым сетям, таким как Интернет. При этом данные передаваемые по сети шифруются, а пароли не передаются и не хранятся на клиентских машинах. Система безопасности Kerberos в ОС от Microsoft используется впервые.
1.2.9.4.Протокол аутентификации Kerberos
Протокол аутентификации Kerberos определяет взаимодействие между клиентом и сетевым сервисом аутентификации, известным как KDC (Key Distribution Center). В Windows NT KDC используется как сервис аутентификации на всех контроллерах домена. Домен Windows NT эквивалентен области Kerberos, но к ней обращаются как к домену. Реализация протокола Kerberos в Windows NT основана на определении Kerberos в RFC1510, Клиент Kerberos реализован в виде ПФБ (поставщика функций безопасности) Windows NT, основанном на SSPI. Начальная аутентификация Kerberos интегрирована с процедурой WinLogon. Сервер Kerberos (KDC) интегрирован с существующими службами безопасности Windows NT, исполняемыми на контроллере домена. Для хранения информации о пользователях и группах он использует службу каталогов Active Directory. Протокол Kerberos усиливает существующие функции безопасности Windows NT и добавляет новые. Рассмотрим последние подробней.
•Повышенная скорость аутентификации при установлении начального соединения. Сервер приложений не должен обращаться к контроллеру домена для аутентификации клиента. Такая конфигурация повышает масштабируемость серверов приложений при обработке запросов на подключение от большого числа клиентов.
•Делегирование аутентификации в многоярусных архитектурах клиент-сервер.
При подключении клиента к серверу, последний олицетворяет клиента в этой системе. Но если серверу для завершения транзакции нужно выполнить сетевое подключение к другому серверу, протокол Kerberos позволяет делегировать аутентификацию первого сервера и подключиться ко второму от имени клиента. При этом второй сервер также выполняет имперсонацию клиента.
•Транзитивные доверительные отношения для междудоменной аутентификации. Пользователь может быть аутентифицирован в любом месте дерева доменов, так как сервисы аутентификации (KDC) в каждом домене доверяют
46
билетам, выданным другими KDC в дереве. Транзитивное доверие упрощает управление доменами в больших сетях с несколькими доменами.
Протокол Kerberos полностью интегрирован с системой безопасности и контроля доступа Windows NT. Начальная регистрация в Windows NT обеспечивается процедурой WinLogon, использующей ПФБ Kerberos для получения начального билета TGT. Другие компоненты системы, например, Redirector, применяют интерфейс SSPI к ПФБ Kerberos для получения сеансового билета для удаленного доступа к файлам сервера SMB.
Впротоколе Kerberos версии 5 для сеансовых билетов определено шифруемое поле. Оно предназначено для данных авторизации, однако использование этого поля определяется конкретными приложениями, В Windows NT поле данных авторизации служит для хранения идентификатора безопасности Security ID. Поставщик функций безопасности Kerberos на серверной стороне использует поле авторизации для создания маркера защищенного доступа (security access token), представляющего пользователя в этой системе. Сервер, следуя модели безопасности Windows NT, использует этот маркер для доступа к локальным ресурсам, защищенным списками контроля доступа.
Делегирование аутентификации поддерживается в протоколе Kerberos версии 5 путем использования в сеансовых билетах флагов proxy и forwarding. Сервер Windows NT применяет делегирование для получения сеансового билета на доступ от имени клиента к другому серверу.
ВWindows NT также реализованы расширения протокола Kerberos, поддерживающие дополнительно к аутентификации с совместно используемым секретным ключом аутентификацию, основанную на парах открытого (закрытого) ключа. Поддержка открытых ключей позволяет клиентам запрашивать начальный ключ TGT с помощью закрытого ключа, в то время как KDC проверяет запрос с помощью открытого ключа, полученного из сертификата Х.509 (хранится в пользовательском объекте в каталоге Active Directory), Сертификат пользователя может быть выдан как сторонним уполномоченным сертификации (Certification Authority), так и Microsoft Certificate Server, входящим в Windows NT. После начальной аутентификации закрытым ключом используются стандартные протоколы Kerberos для получения сеансовых билетов на доступ к сетевым службам. Поддержка протоколом Kerberos открытых ключей — основа аутентификации сети с помощью смарт-карт. Пользователи Windows 2000 могут их применять для входа в систему.
47
1.2.9.5.Distributed File System (DFS)
Distributed File System – один из инструментов Active Directory. Он позволяет создавать сетевые ресурсы, в которые могут входить множество файловых систем на различных машинах. Для пользователя Active Directory это абсолютно прозрачно, и не имеет никакого значения, где и на каких машинах физически расположены те файлы, с которыми он работает для него они все лежат в одном месте. Кроме этого, при использовании DFS и Active Directory упрощается управление такими ресурсами. Оно централизовано, можно просто и безболезнено добавлять новые ресурсы или удалять старые, менять физическое месторасположение файлов, входящих в DFS и т.д.
1.2.9.6.Сервер сертификатов Microsoft Certificate Server
Сервер сертификатов Microsoft Certificate Server предоставляет упрощенный, без обращения к внешним УС (уполномоченным сертификации), процесс выдачи сертификатов. С его помощью достигается полный контроль над правилами выдачи, управления и отзыва сертификатов, а также над форматом и содержанием самих сертификатов. Регистрация всех транзакций позволяет администратору отслеживать запросы на выдачу сертификатов и управлять ими.
Certificate Server исполняется в виде сервиса Windows NT и обрабатывает все запросы сертификатов, случаи их выдачи, а также все списки отзыва. Статус каждой операции с сертификатами отслеживается с помощью очереди транзакций. По завершении операции информация о ней заносится в журнал транзакций для последующей проверки администратором.
На рисунке показаны компоненты сервера сертификатов: исполнительная часть, очереди и журнал находятся в одном сервисе Windows NT; входной и выходной модули, а также модуль правил и административные утилиты исполняются в раздельных процессах; стрелочки отражают последовательность обращений.
48
Рис. 4 Структура сервера сертификатов
1.Клиент и входной модуль. Запрос сертификата поступает от любого, поддерживающего цифровые сертификаты, клиентского приложения. Это может быть, например, программа просмотра страниц Web, почтовый клиент или клиент электронного магазина. Точку входа Certificate Server — так называемый входной модуль
—можно настроить на прием запросов во многих стандартных форматах. Входные модули исполняют две основные функции: распознают протокол или транспортный механизм, используемый запрашивающим приложением, а также устанавливают соединение с сервером сертификатов для передачи запросов. Если надо обеспечить столь специфические потребности, что это не под силу поставляемым входным модулям, можно написать свой собственный модуль, используя интерфейс СОМ,
предоставляемый Certificate Server.
2.Модуль очередей и правил. Входной модуль передает запрос в исполнительную часть сервера сертификатов, где происходит ввод запроса в очередь, а далее — передача в модуль правил. Именно там на основе содержащейся в запросе дополнительной информации определяется возможность выдачи запрошенного сертификата. Так же, как и входной модуль, модуль правил является полностью настраиваемым.
В процессе принятия решения о выдаче сертификата, модуль правил может обратиться к внешним базам данных, таким как каталог Active Directory, или унаследованная база данных, или кредитная информация от стороннего источника,
49
чтобы проверить предоставленную информацию. Также он может посылать администраторам предупреждения о необходимости выдачи им разрешения.
После этого информация упаковывается в запрос так, как указано администратором. Модуль правил может быть настроен на вставку любых расширений сертификатов, затребованных клиентским приложением (например, данные для оценки покупательных возможностей клиента).
3.Создание сертификата и регистрация в журнале. Когда модуль правил возвращает запрос на предоставление сертификата назад в исполнительный модуль, обновляются очередь, шифрование и цифровая подпись сертификата, а также запись транзакции. В журнал заносятся не только все запросы, но и то, были ли они удовлетворены или отвергнуты. Там же с целью последующего аудита хранятся все выданные сертификаты и списки отзыва сертификатов.
4.Выходной модуль. Certificate Server передает сертификат в выходной модуль, который упаковывает его в соответствующий транспортный механизм или протокол. Так, сертификат может быть передан по почте, по сети или помещен в службе каталогов, например, Active Directory. Подобно входному модулю, выходной также полностью настраиваем. Более того, в одном сервере допустимы несколько выходных модулей, и один и тот же сертификат может быть не только отправлен клиенту, но и помещен, например, в репозитарий сертификатов для последующего использования (в том числе для проверки информации в пользовательском сертификате).
5.Административные инструменты. Для конфигурирования, мониторинга и управления операциями на сервере в состав Certificate Server включен ряд административных инструментов. Они позволяют модифицировать правила, добавлять новые входной и выходной модули, просматривать очередь. Просматривая очередь, администратор может либо отвергнуть запрос о сертификате либо, наоборот, инициировать его незамедлительную выдачу.
1.2.9.7.Encrypted File System (EFS)
Encrypted File System (EFS, Файловая система с шифрованием) позволяет прозрачно для пользователей и приложений выполнять шифрование данных на диске при помощи технологии общих ключей.
50