Все новости от 5 октября 1998 г. Обзор систем безопасности в Windows NT 5.0
Введение
Корпорации всегда стремились оградить конфиденциальные данные от чужих глаз и тратили на возведение информационных барьеров миллионы долларов. Но лишь теперь, с появлением принципиально новых распределенных технологий защиты, они смогут безбоязненно допускать посторонних в свои сети.
Возможность бороться с опасностями в каждой точке распределенных инфраструктур связана в первую очередь с такими системными механизмами, как Active Directory и Kerberos. Не менее важную роль в обеспечении защиты играет и ряд решений, впервые внедренных в Windows NT 5.0 на уровне поддержки приложений. Это такие компоненты, как цифровые сертификаты, поддержка микропроцессорных карт, средства управления защитой, а также специализированная файловая система EFS (Encrypted File System). Использование всех этих средств позволит компаниям открывать для уполномоченных внешних пользователей все свои документы, вплоть до самых секретных.
Кроме того, контролируемый и легко настраиваемый доступ к данным стимулирует компании к построению распределенных приложений, охватывающих поставщиков, деловых партнеров и клиентов. "При разработке архитектуры защиты в NT 5.0 мы стремились не только обезопасить ваш бизнес, но и создать для него лучшие условия", - подчеркнул, обращаясь к потенциальным заказчикам, ведущий менеджер по системам защиты NT Каран Канна (Karan Khanna). По его мнению, в наше время политика информационного "огораживания" компаний уже не приносит прежних плодов. Сегодня, наоборот, следует всячески расширять корпоративные системы и теснее работать с деловыми партнерами через экстрасети.
Появление NT 5.0 знаменует смену базовых технологий защиты. Microsoft планирует постепенно отказаться от нынешнего механизма NT LAN Manager (NTLM), разработанного еще в 1988 году, и заменить его на Kerberos версии 5.0. Kerberos - это протокол аутентификации с разделяемым ключом, позволяющий двум участникам сеанса работы по сети удостоверить подлинность сообщений. С этой целью Kerberos снабжает каждого пользователя уникальным ярлыком (ticket), играющим роль ключа при опознании. Источником ярлыков для Kerberos служит подсистема Key Distribution Center (KDC). Ярлык порождается на этапе регистрации каждого пользователя в сети NT и основан на защищенном хэшировании его пароля. При создании любого пароля неявно вызывается особая хэш-функция, генерирующая ярлык в виде набора зашифрованных алфавитно-цифровых и специальных символов. В дальнейшем ярлык хранится на клиентском ПК в специальном кэше.
В тот момент, когда пользователь пытается получить доступ к какой-либо программе или файлу, механизм Kerberos проверяет кэш на наличие действительного ярлыка. При неудаче следует запрос к KDC, который выдает искомый ярлык и отправляет его на машину пользователя. Там ярлык хранится до истечения срока действия. Каждый пользователь может быть зарегистрирован на любом из KDC в пределах корпоративной сети, поскольку все подобные центры, независимо от домена, связаны друг с другом доверительными отношениями.
В отличие от описанного механизма, NTLM использует для хранения учетных записей и прав доступа пользователей централизованную базу данных Security Accounts Manager (SAM), а это наносит ущерб производительности всей системы из-за частых запросов к базе данных, когда приложение или домен выясняют, какие права имеет пользователь на тот или иной ресурс. Kerberos помещает все сведения о правах доступа не только в KDC, но и непосредственно в Active Directory. Тем самым снимается зависимость процедуры входа в сеть от местоположения пользователя (еще одна проблема NT 4.0). Active Directory рассылает информацию о правах доступа по всей корпоративной системе, что дает возможность пользователям регистрироваться в сети NT с любого рабочего места.
Схема работы Kerberos
1. Клиент запрашивает ярлык у Kerberos.
2. Контроллер домена NT выдает ярлык клиенту.
3. Сервер приложений проверяет ярлык и присваивает полномочия клиенту.
NT в слаженной команде
Отказ Microsoft от NTLM и переход к стандартизированному механизму защиты знаменует собой существенное продвижение NT по пути всеобъемлющей интеграции с системами Unix. Теперь стало возможным устанавливать связи как между клиентами, так и между серверами. Вот как это происходит.
Посредством Kerberos KDC создает на одном из серверов NT базу данных, содержащую учетные записи для всех пользователей. В дальнейшем с ее помощью проводится аутентификация пользователей на любом из серверов, входящих в неоднородную сеть. Кроме того, серверы NT и Unix могут создавать между собой двунаправленные и транзитивные доверительные отношения. Проще говоря, если даже сервер А не знает данного пользователя, то он доверяет серверу В (это может быть машина как под NT, так и под Unix) в предположении, что аутентификация пользователя на В прошла успешно.
Как уже отмечалось, возможности взаимодействия Kerberos не ограничиваются межсерверной аутентификацией, но с таким же успехом позволяют серверам удостоверять подлинность клиентов Unix. Скажем, в какой-нибудь инвестиционной компании каждая из рабочих станций под Unix может подключаться к узлам сети под Windows NT и получать доступ к их каталогам и другим службам. Если же клиент Unix вновь регистрируется на сервере NT, то сервер сможет автоматически провести аутентификацию этого клиента, не заставляя пользователя повторно вводить пароль.
Совместное функционирование NT и других систем все же нельзя назвать абсолютно гладким. Если некий пользователь прошел (с помощью KDC) аутентификацию на сервере "чужой породы", то при обращениях к ресурсам из окружения NT собственная учетная информация, в том числе права доступа, будет ему известна лишь частично. В этом случае запускается обходной механизм Windows NT 5.0. Из пользовательского ярлыка извлекаются необходимые данные и формируется "пропуск" (token), обеспечивающий безопасный доступ к учетной записи данного пользователя. Затем этому пропуску автоматически ставится в соответствие профиль пользователя в Active Directory, из которого уже можно узнать искомые права доступа.
Ставя на Kerberos, Microsoft не забывает и о поддержке NTLM. Например, аутентификация клиентов NT 4.0 (точнее, пользователей, работающих с этими клиентами) мало чем отличается от аналогичной процедуры для клиентов NT 5.0. Работа с серверами NT 4.0, впрочем, должна строиться несколько иначе, что связано с характером доверительных отношений. Присущие серверам NT 5.0 транзитивность и двунаправленность в данном случае не поддерживаются. Так что, если тот или иной пользователь, "признанный" сервером A, хочет зайти на сервер B или запросить информацию из его домена, то KDC на сервере B должен знать такого пользователя напрямую. В противном случае в доступе будет отказано, пусть даже B доверяет A.
Сертификаты - не только для справок
Почти столь же существенную роль, что и Kerberos, в обеспечении безопасности NT 5.0 играет Active Directory. Он лежит в основе многих функций защиты - от управления правами доступа до выдачи цифровых сертификатов.
Руководители Microsoft считают, что в скором времени цифровые сертификаты станут основным средством аутентификации. Сертификаты стандарта X.509v3 являются, в сущности, цифровыми идентификаторами пользователя, которые могут входить в состав той или иной последовательности запуска либо храниться в браузере. Сертификат содержит информацию о пользователе, а также парный ключ (секретный+открытый), которым можно обмениваться с механизмом сертификации в Active Directory с целью подтверждения личности пользователя. Фактически, данная технология обеспечивает нам дополнительный способ аутентификации пользователей, не зависящий от того, находятся они внутри брандмауэра или вне его.
В состав Active Directory в NT 5.0 входит Certificate Server 2.0, задача которого - выдавать цифровые идентификаторы. Их значения, а также информация о каждом из пользователей поступают на хранение в Active Directory. В дальнейшем администраторы могут устанавливать соответствие между тем или иным сертификатом и учетной записью пользователя в каталоге, что обеспечивает его аутентификацию при удаленном подключении (например, через веб или посредством службы RAS).
Одно из важнейших преимуществ цифровых сертификатов - возможность частично открывать информационную систему организации для посторонних посетителей, получающих доступ через Интернет. По существу, сертификаты обеспечивают механизм защищенной регистрации и аутентификации пользователей NT 5.0 в тех случаях, когда формирование и рассылка ярлыков Kerberos затруднительны или неосуществимы. Представим себе, к примеру, что компания А раздала своим поставщикам и партнерам цифровые сертификаты, привязанные к нужной учетной информации в Active Directory своей сети NT 5.0. В дальнейшем пользователи могут заходить на веб-сайт компании А с помощью обычного браузера. Когда же такой пользователь достигает "запретной зоны" (конфиденциальной части сети), то браузер не требует у него ввода пароля, а автоматически отсылает имеющийся сертификат. Описанный механизм безо всяких изменений можно использовать и в масштабе корпоративной интрасети. Новые возможности для администраторов
Active Directory, безусловно, придется по душе администраторам сетей NT, поскольку он обеспечивает гибкий и эффективный контроль за "кругозором" пользователей - доступностью для них тех или иных сетевых ресурсов.
Гибкость связана с тем, что вместо плоской структуры доменов NT 4.0 в Active Directory вводится понятие организационных единиц (organization unit, OU). Разбиение какого-либо каталога на OU может точно отражать структурную схему компании, за чем следят администраторы. Объектная ориентированность Active Directory выражается в том, что все OU, пользователи, серверы и устройства входят в каталоги в качестве объектов. Это облегчает внесение изменений, если пользователь, к примеру, переходит из одного отдела в другой. Как уже отмечалось, внедрение Active Directory благоприятно сказывается и на производительности. Заложенный в службу каталогов механизм SQL Server позволяет администраторам осуществлять структурированный поиск правил доступа, конкретных объектов и их атрибутов, а не исследовать базу данных на плоских файлах целиком.
Еще одна особенность каталога в NT 5.0 - его децентрализация. Учетные записи пользователей доступны для администраторов на любом контроллере домена, в то время как в NT 4.0 это можно было делать только в рамках первичного контроллера (PDC). Фактически, в новой версии Microsoft отказывается от понятия первичных и дублирующих контроллеров доменов и рассматривает каждый контроллер в качестве основного.
Все контроллеры синхронизируются автоматически, так что при изменении OU в одном из доменов новая конфигурация сразу начинает действовать во всей сети. Домены Active Directory могут вступать друг с другом в доверительные отношения, используя заложенную в Kerberos возможность транзитивного расширения. Другими словами, пользователи, личность которых подтверждена в какой-то одной части корпоративной сети, могут получить доступ к остальным ее сегментам в силу того, что каждый контроллер домена доверяет своему "коллеге".
Все существенные для администрирования черты Active Directory Microsoft обещает раскрыть в семействе API-интерфейсов ADSI (Active Directory Services Interface). Это даст возможность пользователям составлять собственные сценарии работы, а сторонним производителям - выпускать вспомогательный инструментарий, интегрированный с Active Directory.
Защита в NT 5.0: основные нововведения |
Компонент
|
Практическая польза
|
Active Directory |
Модульная архитектура и иерархическая структура каталога позволяют менеджеру отдела работать с правами доступа для своих пользователей. Играет роль центрального хранилища для всех настроек системы безопасности и прав доступа, а также руководит подсистемой цифровых сертификатов. |
Certificate Server |
Основной пункт управления цифровыми сертификатами в корпоративной сети, включая их генерацию и раздачу. Сертификаты служат для аутентификации собственных сотрудников и допущенных внешних посетителей, когда они запрашивают доступ к файлам и сетевым ресурсам. |
Kerberos |
Важное дополнение к механизму защиты NT. Ускоряет доступ пользователей к системным ресурсам, устраняя необходимость в повторной аутентификации при переходах между доменами. Обеспечивает получение доступа сразу ко всем разрешенным ресурсам корпорации. |
Security Configuration Editor |
Адресованный менеджерам ИТ инструментарий для управления системой защиты. Включает набор шаблонов, позволяющих быстро сформировать стандартные параметры настройки и развернуть их в рамках одного отдела или даже всей компании. |
Поддержка микропроцессорных карт |
Вводит в обиход корпоративных сетей аппаратные пропуска - дополнительный вид защиты, идеальный для аутентификации удаленных и мобильных пользователей. |
Мощное средство управления
Хотя сторонние разработчики теперь вправе выпускать собственные средства управления NT 5.0 (на эту уступку Microsoft пошла впервые), подготовлен также и фирменный продукт Security Configuration Editor (SCE). Этот редактор оформлен как подключаемый модуль (plug-in) Microsoft Management Console (MMC) и служит основным средством для настройки системы безопасности. С единой консоли администратор может просматривать, анализировать и редактировать все, что связано с защитой в сети: права, параметры, стратегии.
Microsoft постаралась упростить типовые задачи: к редактору прилагается набор стандартных шаблонов, каждый из которых можно дополнительно настраивать. Так, имеются шаблоны для формирования стратегий защиты, задания системных параметров, управления различными классами объектов Active Directory, описания пользователей с определенными правами доступа и привилегиями. Шаблон для управления объектами каталогов, к примеру, позволяет контролировать права доступа к объектам, а также определять их владельцев.
Помимо создания шаблонов, администраторы могут с помощью SCE проводить аудит системы безопасности. Делается это так: когда аудит включен, SCE запрашивает систему на предмет настройки каждой машины - клиента или сервера. Настроечные параметры затем сравниваются со значениями, приведенными в соответствующих шаблонах. При их совпадении система считается защищенной. Если же какие-либо настройки не согласуются с критериями шаблонов, то вся информация об этом заносится в базу данных, становясь доступной для просмотра.
Еще одно достоинство Security Configuration Editor - возможность устанавливать предпочтения по доступу тех или иных пользователей, а также настраивать систему на использование различных сетевых транспортных служб, включая TCP/IP, NetBIOS и CIFS (Common Internet File Sharing).
"NT 5.0, наконец-то, сделает возможным построение однодоменных защищенных систем, а управление ими упростится", - прогнозирует Майк Нэк (Mike Nacke), системный администратор компании Cinergy. Он надеется, что новая ОС избавит его от рутинных контролирующих функций, оставив возможность проводить аудит системы безопасности. Это эффективный способ выявить противоречия и нестыковки в реализации различных аспектов защиты в масштабах всей компании.
При всем при том, для многих фирм основным преимуществом NT 5.0 окажется однократный ввод пароля. Администраторы могут так сконфигурировать сеть и приложения, что при утреннем входе в систему пользователи не только зарегистрируются в своем домене NT, но и сразу получат "прописку" во всех необходимых приложениях. На самом деле, Microsoft параллельно с NT 5.0 готовит новые версии приложений BackOffice с поддержкой единых паролей. Привлекательные новые функции будут встроены не только в собственные продукты Microsoft наподобие Exchange или SQL Server, но и во все другие приложения, совместимые с BackOffice, такие, как Notes и SAP. "Пользователям и администраторам станет работать куда проще: вместо пяти паролей - один. Давно бы так", - радуется Нэк.
Посетители могут быть спокойны
Одна из задач Microsoft - улучшить защиту удаленных пользователей. В этом смысле полезен Kerberos, использование которого повышает эффективность работы брандмауэра, а также ускоряет удаленную аутентификацию. Дело в том, что механизм Kerberos - составная часть всех серверов NT, и в процессе работы он кэширует каждый пользовательский ярлык после его успешной аутентификации. Это позволяет обойтись без повторного запуска соответствующих служб в тех случаях, когда запрашивается ярлык. Сравните это с технологией NTLM, когда при каждом запросе на обслуживание или установление соединения сервер должен узнавать полномочия пользователя и получать их подтверждение у контроллера домена.
Помимо поддержки мобильных пользователей, в NT 5.0 имеется встроенная служба удаленной аутентификации RAS (Remote Authentication Services), а также возможность создавать виртуальные частные туннели, что обеспечивает безопасную связь с удаленными офисами и отдельными пользователями. С этой целью в NT 5.0 введена поддержка таких протоколов защиты, как PPTP (Point-to-Point Tunneling Protocol), RADIUS (Remote Access Dial-up User Service) и SSL (Secure Sockets Layer). В PPTP поддерживается также его новая версия L2TP (Layer 2 Tunneling Protocol), стандартизированная решением IETF.
Среди множества новых протоколов, возможно, наиболее значимый для компаний - IPSec (IP Security Protocol). С его помощью корпоративные интрасети могут быть доведены до торговых партнеров, что поможет наладить безопасное деловое общение без обычных проблем, связанных с совместимостью протоколов защиты.
IPSec играет также роль "прикрытия" для различных методов шифрования, начиная от цифровых сертификатов и обмена открытыми ключами и кончая построением защищенных туннелей. В отличие от протокола SSL, относящегося к прикладному уровню, IPSec работает на том же уровне, что и сам IP, - сетевом, не столь заметном конечным пользователям.
В концепцию виртуальных частных сетей (VPN) на базе NT 5.0 хорошо укладывается и поддержка на системном уровне технологии микропроцессорных карт. Для большинства считывателей таких карт в ОС встраиваются соответствующие драйверы, так что скоро любой пользователь сможет подключить к своей системе внешний считыватель и предъявить для входа в сеть аппаратный пропуск, содержащий нужные цифровые сертификаты.
Вопрос взаимного доверия |
В Windows NT 4.0 доверительные отношения между доменами должны описываться явно и могут быть только однонаправленными. Тем самым, для того, чтобы домены A, B и C взаимно доверяли друг другу, требуется установить между ними шесть однонаправленных доверительных отношений. Другими словами, один домен может доверять другому лишь тогда, когда со вторым доменом имеется прямое доверительное отношение.
Напротив, в Windows NT 5.0 доверительные отношения могут устанавливаться неявно и быть двунаправленными. В результате добиться нужного эффекта в приведенном примере можно, построив всего два явных отношения: между доменами A и B, и между доменами B и C. A и C станут доверять друг другу автоматически.
|
А как с физической защитой?
В NT 5.0 существенно расширены средства защиты на уровне файловой системы - стало возможным шифровать файлы на жестком диске. Новая технология Encrypted File System (EFS) основана на схеме открытых ключей и реализована как интегрированная системная служба, работающая скрыто от прикладных программ. Поэтому соответствующие процедуры прозрачны для конечных пользователей.
Зачем нужно шифрование на уровне файловой системы? Ответ прост: этого потребовала сама жизнь. Слишком часто бреши в системе безопасности возникают, когда портативный компьютер банально теряют или крадут. Хотя технология выборочного шифрования файлов отнюдь не нова и хорошо отработана, пользователи обычно избегают ее, считая процедуры обременительными. "Шифрование должно просто стать одной из базовых функций системы и осуществляться автоматически, чтобы пользователям не приходилось задумываться насчет этого", - считает Тим Шанк, менеджер по безопасности из крупной финансовой фирмы в Нью-Йорке. Именно так и устроена EFS. Входя по умолчанию в состав файловой системы NT 5.0, этот компонент работает автоматически в фоновом режиме, так что пользователям лишь изредка придется взаимодействовать с ним.
EFS основана на внедренной в NT 5.0 архитектуре CryptoAPI. Каждый файл или каталог она зашифровывает с помощью секретного 56-разрядного ключа, получаемого случайным образом и отличающегося от открытого ключа пользователя.
Первоначально зашифрованные посредством EFS файлы можно будет использовать только на той машине, где они находятся, - коллективный доступ не предусмотрен. Однако Microsoft планирует на будущее такую возможность. По словам представителей компании, разработка EFS, помимо прочего, имела целью снять одно существенное препятствие на пути ко всеобщему шифрованию. Что будет, если пользователь уволится из фирмы, унеся с собой ключи ко всем кодированным данным на служебном ПК? На этот случай Microsoft ввела в EFS первую в своем роде систему восстановления данных и ключей, в которой для дешифрования файлов применяются специализированные агенты.
Кроме того, NT 5.0 включает (в качестве компонента средств разработки Win32 SDK) API-интерфейс SSPI (Security Support Provider Interface), основанный на предложенном IETF общем стандарте защиты GSSAPI (Generic Security Server Application Programming Interface).
Используя SSPI, разработчики смогут создавать защищенные приложения, от которых не требуется тесная привязка к "родным" протоколам защиты NT. SSPI обобщает протокольный интерфейс, что позволяет закладывать в программы возможность последующей смены протокола. Аналогичные возможности обеспечивает CryptoAPI, позволяя разработчикам приложений безболезненно заменять в них криптографические механизмы. Данный API-интерфейс реализует технологию второго ключа и облегчает независимым производителям ПО и аппаратуры встраивание своих защитных систем в NT, включая и согласование интерфейса.
В NT 5.0 введен еще один API-интерфейс, Extensible Authentication Protocol (EAP). В настоящее время он имеет статус проекта IETF. Если говорить кратко, назначение EAP - дать возможность пользователям микропроцессорных карт заносить в их память ключи для протокола PPTP и службы RAS, обеспечивающих удаленный доступ.
Краткий глоссарий |
Цифровые метки (Digital tokens). Виртуальный пропуск, свидетельствующий об успешном опознании и действующий до конца сеанса. Тем самым пользователь избавляется от повторных проверок.
Неявное доверительное отношение (Implicit trust). Отношение двух доменов, автоматически порождаемое на основе явных отношений, связывающих другие домены. Например, в NT 5.0, если домены A и B, а также B и C попарно доверяют друг другу, то домен A автоматически станет доверять C, причем без вмешательства администратора.
Центр выдачи ключей (Key Distribution Center, KDC). Служба аутентификации, входящая в состав одного из контроллеров домена NT 5.0. В ответ на клиентские запросы KDC выдает ярлыки по протоколу Kerberos; впоследствии они используются клиентом для установления связи с серверами.
Цифровой сертификат стандарта X.509. Удостоверение личности в цифровом формате, виртуальный эквивалент паспорта.
Микропроцессорные карты. Устройства размера кредитной карточки, на которых можно хранить данные для регистрации в сети и другую относящуюся к данному пользователю информацию.
|
Что же в итоге?
Хотя платформу NT часто критикуют за слабое внимание к вопросам безопасности, обоснованность многих упреков эксперты ставят под сомнение. Отдавая должное усилиям Microsoft, они указывают, что выпуск NT 5.0 значительно улучшит защищенность этой архитектуры. Адаптированность новой версии к распределенной среде, наличие развитых средств управления и цифровых сертификатов - все это позволяет корпоративным менеджерам ИТ и руководителям служб безопасности строить гибкие и вместе с тем управляемые сети. Тезис Microsoft о "цифровой нервной системе" не остался лишь броской фразой, на которые компания так щедра. Именно в этом направлении совершенствуются средства защиты данных в NT 5.0, давая пользователям основу для построения распределенных приложений со встроенной защитой.
Мощный потенциал безопасности, заложенный в новую ОС, помогут реализовать сторонние разработчики ПО и поставщики информационных систем. На что же им направить свои усилия? По мнению Канны, спросом будут пользоваться продукты, помогающие подготовить сеть к работе, а также системы, включающие инфраструктуру с открытыми ключами.
В свою очередь, компании-производители оборудования, такие, как Attalla (подразделение корпорации Tandem), уже сейчас работают над аппаратными акселераторами для NT 5.0. Эти устройства возьмут на себя такие трудоемкие в вычислительном смысле задачи, как выдача цифровых сертификатов и отработка протокола IPSec.
В целом, считает Канна, сторонние разработчики получили широкие возможности по выпуску продуктов, способных отслеживать события в системе и в реальном времени выявлять попытки вмешательства.
"Когда все это заработает, вы не узнаете свою сеть - такой защищенной она станет", - говорит он. Но даже при таких мерах эксперты по безопасности не советуют администраторам расслабляться: угроза атак хакеров на корпоративные хранилища данных по-прежнему реальна.
"Множество 'вольных стрелков' готовятся к охоте на вашу систему", - напоминает компаниям Брюс Мерфи (Bruce Murphy), ведущий дела о безопасности в юридической фирме Coopers & Lybrand. "Выстраивание защиты в любой ОС требует немалого труда, и Windows NT здесь не исключение". В продолжение темы:
|