При решении вопроса о том, когда нужно разворачивать
NTFS 5.0, следует учесть два основных момента. Во-первых, когда создается
контроллер доменов, в качестве файловой системы должна использоваться система
NTFS версии 5.0. Во-вторых, при обновлении или установке Windows 2000 в
системе, где используется система NTFS версии 4, файловая система в процессе
установки будет автоматически обновлена до NTFS 5.0. В то же время при
установке или обновлении Windows 2000 там, где в качестве файловой системы
используется FAT или FAT32, в процессе установки будет задан вопрос, следует ли
обновлять файловую систему.
При развертывании NTFS 5.0 в среде, где существенно
взаимодействие с системой Windows NT, следует учесть, что клиенты
Windows NT 4 с пакетом обновления 3 (и более ранними версиями) не
могут читать тома NTFS 5.0. Пакет обновления 4 для Windows NT дает
временное решение за счет включения в него файла NTFS.SYS, что в определенной
степени обеспечивает возможности для взаимодействия.
Система Windows 2000 поддерживает дисковые квоты для
томов, отформатированных с помощью NTFS 5.0. Пользователи с помощью
дисковых квот могут отслеживать и ограничивать использование места на диске. Когда
пользователь превышает пороги предупреждения и пределы квот, начинается
автоматическая регистрация событий. Для удаленного управления дисковыми квотами
всей системы могут также быть определены специальные политики.
Отслеживание квот происходит для каждого пользователя и
каждого тома, и пользователь отвечает только за те файлы, владельцем которых он
является. Например, каждому пользователю может быть отведен лимит места на
диске C равный 5 МБ. Квоты задаются на разных томах независимо. Квота на диске
C не влияет на квоту на диске D.
По соображениям безопасности, когда член группы
администраторов локального компьютера создает новый файл, владельцем файла будет
являться группа этого администратора. Например, если пользователь, являющийся
членом группы администраторов, создаст новый файл, владельцем файла будет вся
группа администраторов, а не этот конкретный пользователь. Поэтому для слежения
за дисковыми квотами по индивидуумам такие пользователи должны входить в
систему под отдельными именами, не входящими в группу администраторов.
Данные по квотам могут быть сохранены вместе с прочими
данными по тому в процессе создания резервной копии. При восстановлении файла с
резервной копии установленные квотой пределы не принимаются во внимание, если
выполняющий восстановление пользователь имеет права на создание резервных
копий.
Шифрование файловой системы (EFS – encrypting file
system) является дополнением к атрибутам файловой системы Windows NT
версии 5.0 (NTFS 5.0). Благодаря использованию этой новой версии файловой
системы, на томе Windows 2000 можно выполнять шифрование файла или всей
папки. EFS основано на шифровании открытым ключом и использует преимущества
интерфейса шифрования CryptoAPI (Cryptographic
Application Programming Interface), представляющего собой набор функций,
которые позволяют приложениям достаточно гибко шифровать данные или снабжать их
цифровой подписью, одновременно обеспечивая защиту данных закрытого ключа
пользователя. Каждый файл шифруется с помощью сгенерированного случайным
образом ключа, не зависящего от пары ключей (открытого и закрытого)
пользователя, благодаря чему обеспечивается защита этого ключа от попыток
взлома, основанных на различных формах криптоанализа. В шифровании файла может
быть использован любой алгоритм симметрического шифрования – процесса, с
помощью которого шифруется файл. В первом выпуске EFS в качестве алгоритма
шифрования будет использоваться стандарт шифрования данных DES (Data Encryption Standard). В последующих выпусках появится
возможность использовать альтернативные схемы шифрования, что повысит мощность
решения и возможность его настройки согласно потребностям организации.
Политика восстановления EFS реализована как часть общей
политики безопасности для системы. Она является либо частью политики
безопасности для доменов Windows 2000, либо частью локальной политики
безопасности для автономных рабочий станций и серверов. Будучи частью политики
безопасности домена она применяется ко всем компьютерам данного домена,
работающим под управлением Windows 2000. Интерфейс пользователя политики
EFS интегрирован как составная часть в интерфейсы политики доменов и локальной
политики. Этот интерфейс дает возможность агентам восстановления генерировать,
экспортировать, импортировать и создавать резервные копии ключей восстановления
посредством общего управления ключами. Интеграция политики восстановления с
системной политикой безопасности создает непротиворечивую модель обеспечения
безопасности. Обеспечением, репликацией и кэшированием политики EFS занимается
подсистема безопасности Windows 2000. В силу этого пользователи могут
применять шифрование файлов на временно автономных системах, таких как
переносной компьютер, точно так же, как могут подключаться к своим учетным
записям доменов с помощью своих кэшированных учетных данных.
Служебная программа командной строки EfsRecvr. Эта
служебная программа позволяет агентам восстановления запрашивать ключи
восстановления и восстанавливать зашифрованные файлы с помощью любого из этих
ключей.
Примеры
·
Для восстановления каталога «Мои документы» агент восстановления
может ввести такую команду:
C:\>efsrecvr
/s:“Мои документы” *.*
Команда
efsrecvr может иметь следующие параметры:
EFSRECVR [/S[:каталог]] [/I]
[/Q] [имя_файла [...]]
/S – при наличии этого
ключа выполняется восстановление файлов в указанном каталоге и всех
подкаталогах. По умолчанию "каталог" – это текущий
каталог.
/I – при наличии этого
ключа восстановление продолжается даже после обнаружения ошибок. По
умолчанию служебная программа EFSRECVR после обнаружения ошибки
останавливается.
/Q – при наличии этого
ключа сообщаются только самые существенные данные, включая список идентификаторов
ключей восстановления, чтобы помочь агенту загрузить нужные ключи.
Имя_файла указывает шаблон
имени, файл или каталог.
Восстановление шифрования
Использование EFS требует, чтобы политика восстановления
данных была установлена на уровне домена (или локально, если соответствующий
компьютер не является членом домена) перед тем, как можно будет воспользоваться
EFS. Политика восстановления устанавливается администраторами домена (или
лицами, которым делегированы полномочия, – такие лица называются агентами
восстановления), управляющими ключами восстановления для всех машин данного
домена.
Если пользователь утратит закрытый ключ, то файл,
защищенный таким ключом, может быть восстановлен путем экспорта файла и
пересылки его по электронной почте одному из агентов восстановления. Этот агент
восстановления импортирует файл на безопасную машину, содержащую закрытые ключи
восстановления, и с помощью используемой для восстановления программы командной
строки расшифрует этот файл. После этого агент возвратит пользователю обычный
текст. Для среды, где домены отсутствуют (малые предприятия, домашние
компьютеры), восстановление может быть выполнено на том же самом автономном
компьютере.
В настоящее время конечные пользователи сопоставляют свои
хранилища данных известным им именам устройств. Часто таким именем может
являться имя известного им сервера или общего ресурса. Приложив небольшие
дополнительные усилия, их можно сопоставить буквенному имени диска. Все это в
среде большого масштаба не работает – пользователь просто не сможет
вспомнить, куда ему нужно обратиться.
Распределенная файловая система позволяет клиентам
абстрагироваться от физической памяти. Вся эта память в данной системе
объединяется в единое пространство имен. Содержание его может находиться на
серверах NT, NetWare, NFS и т.д. Такое абстрагирование в сочетании с
использованием возможностей службы каталогов Active Directory
облегчает конечным пользователям запоминание сведений о том, где хранятся их
файлы. То имя домена, которое они используют для входа в систему, может быть
использовано как пространство имен для чтения и записи файлов, и эти файлы
могут находиться в разных местах – в целях повышения быстродействия
системы, обеспечения репликации для повышения отказоустойчивости и балансировки
нагрузки; кроме того, это имя может использоваться для привязки к
соответствующему каталогу в целях построения запросов, обеспечения безопасности
и, разумеется, для администрирования.
Распределенная файловая система (Microsoft) реализует
единое пространство имен для самых разных ресурсов файловой системы
предприятия. Система DFS (Distributed File System – распределенная
файловая система) организована в виде логической древовидной структуры,
независимой от физических ресурсов. Топология дерева DFS автоматически
публикуется в каталоге службы каталогов Active Directory,
что обеспечивает устойчивость корня DFS к сбоям.
Тома, которые пользователи добавляют к корню DFS,
являются листьями или узлами ветвей, представляющими общие сетевые каталоги. Общие
сетевые ресурсы могут быть распределены в пределах одного или нескольких
деревьев DFS. Используя стандартные средства безопасности Windows 2000,
такие как групповые права доступа, можно ограничить доступ к томам DFS. Дерево
DFS является единым пространством имен системы DNS (Domain Name System –
система имен доменов): имена DNS для томов DFS сопоставляются с хост-сервером
(или серверами) для корня DFS. Служба Active Directory
является посредником для ссылок на тома между различными хост-серверами дерева
DFS.
Дерево DFS предоставляет пользователям единообразный и
прозрачный доступ к соответствующим сетевым ресурсам. Все существующие
подкаталоги в ресурсе, к которому производится обращение, публикуются в DFS
вместе с родительским каталогом, как было с подкаталогами C++ и Java в
предыдущем примере.
Модуль клиента DFS встроен в протокол SMB (Server Message
Block – блок сообщений сервера), который автоматически устанавливается с
системами Windows 2000 Server и Windows 2000 Professional.
Как
работает DFS
Структура, или топология, дерева DFS публикуется в
службе Active Directory, которая служит в качестве центрального «арбитра»
топологий для всех деревьев DFS. Кроме того, служба Active Directory строит реплики топологий DFS для всех деревьев DFS на каждом сервере
корня DFS. Таким образом распределяется нагрузка между всеми
участвующими в работе серверами и реализуется защищенность от сбоев корня DFS. Распределение
данных о топологии DFS оптимизирует доступ пользователей к томам DFS. В
случае отказа одного из участвующих в работе серверов топология DFS
восстанавливается и синхронизируется со службой Active Directory после возврата сервера в строй.
Во всех
остальных отношениях служба каталогов работает одинаково для DFS и для стандартной
файловой системы Windows 2000. Например, корень DFS после его создания
может быть опубликован в службе Active Directory как
объект-том. Для доступа к этому тому после этого можно использовать любое
средство просмотра каталогов.
Публикация в дереве DFS
Дерево DFS может быть
расширено добавлением логических томов к корню DFS или к любому узлу ветвей DFS
в дереве. Новый добавленный том DFS может указывать на
отдельный каталог, не имеющий дочерних, на родительский каталог, на том
Windows 2000 или на целое дерево DFS (образуя поддерево). Пользователь
с достаточными правами доступа может также обратиться к любым локальным
дочерним каталогам, существующим или добавленным к указываемому ресурсу.
Чтобы
добавить том DFS не как оконечный лист, а как узел ветвей, который может иметь
дочерние тома DFS, указываемый том или каталог должны находиться на сервере с
работающей службой DFS, работающем под управлением Windows 2000. Это
необходимо для поддержки ссылок DFS на дочерние тома.
Безопасность
Помимо создания необходимых
прав администратора, служба DFS никаких дополнительных мер безопасности не
реализует. Какие лица могут добавлять новый том DFS,
определяется стандартными правами доступа, назначенными корню DFS или тому, к
которому добавляется новый том.
Права доступа
не соотносятся со структурой дерева DFS. Например, если пользователи имеют
соответствующие права доступа к нужному им ресурсу, они могут обратиться к нему
в дочернем томе DFS, даже если не имеют прав доступа к родительскому тому. Однако
в этом случае они не будут иметь права доступа к файлам этого дочернего тома
DFS.
Реплики
Корни или
тома DFS могут ссылаться на реплицированный набор общих ресурсов. Назначением
альтернативных, реплицированных ресурсов корню или тому DFS можно обеспечить
пользователям непрерываемый доступ к необходимым им файлам. Когда пользователь
запрашивает подключение к DFS, используя имя DNS, служба DFS передает все
реплики соответствующему клиенту DFS. Этот клиент DFS выбирает ближайшую
реплику на основе топологии сайта, полученной от службы Active
Directory. Таким образом, если какая-либо реплика оказывается
недоступной, клиент не должен запрашивать у сервера DFS другую. Если
пользователь запрашивает подключение к DFS, используя имя UNC (Universal Naming
Conventions), Active Directory не обслуживает это
подключение и запрос передается непосредственно указанному серверу.
Назначение
какой-либо реплики корню DFS обновляет топологию DFS службы Active
Directory альтернативными ссылками на дерево. Когда пользователь
указывает имя DNS, чтобы запросить подключение к корню DFS, служба DFS передает
клиенту все реплики для данного корня DFS. Этот клиент DFS выбирает ближайшую
реплику на основе топологии сайта, полученной от службы Active
Directory. Реплики для корней DFS могут использоваться для распределения
больших объемов общих ресурсов в больших контекстах, например, между доменами,
сайтами или предприятиями.
Для обеспечения синхронизации реплик указанный ресурс для
реплики должен располагаться в разделе NTFS системы Windows 2000. Реплики могут
быть назначены только корню или узлам ветвей DFS (ресурс DFS
Windows 2000).
Совместимость
Указанные ресурсы на ряде платформ поддерживаются, только
когда ресурс является оконечным листовым томом. К любым локальным дочерним
каталогам, которые могут существовать в указанном ресурсе, доступ также
возможен (при достаточных правах доступа).
Применения системы DFS
Система DFS особенно полезна, когда сайт удовлетворяет
большинству нижеследующих характеристик.
·
Пользовательская база общих ресурсов распределена на серверах
одного или нескольких сайтов.
·
Большинству пользователей нужен доступ ко многим общим сетевым
ресурсам.
·
Балансировка нагрузки сети может быть улучшена за счет
перераспределения общих сетевых ресурсов.
·
Пользователям нужен непрерываемый доступ к общим ресурсам.
Доступ к ресурсам
Дерево DFS является
абстрактным представлением путей доступа и соглашений об именах, наиболее
удобных для пользователей. Поскольку пользователи не видят архитектуру сети и
файловой системы, они не влияют на иерархию каталогов или на соглашения для
пользовательского доступа. Это дает возможность централизованного и
оптимизированного доступа к ресурсам на основе единого иерархического
пространства имен. Пользователи могут просматривать дерево DFS, не
зная физического местоположения ресурсов и не заботясь об этом.
Более того, соответствующие томам DFS ресурсы могут быть
изменены, и это не повлияет на структуру дерева DFS или на доступ
пользователей. Плановое обслуживание файлового сервера, обновление программного
обеспечения и другие работы, обычно требующие перевода сервера в автономный
режим, могут быть выполнены без прерывания доступа пользователей. Особенно
полезна в этом отношении система работы с файлами IIS (Microsoft Internet
Information Server). Если выбрать корень веб-узла в качестве корня DFS, можно
перемещать ресурсы в пределах дерева DFS, не меняя связей HTML.
Отказоустойчивость
Корень DFS 5.0
отказоустойчив по своей конструкции. Это отказоустойчивость определяется на абстрактном
уровне логического представления. Топология каждого дерева DFS хранится в службе Active Directory и реплицируется на каждый участвующий в работе
сервер корня DFS. Изменения дерева DFS автоматически
синхронизируются со службой Active
Directory. Это
гарантирует возможность восстановления топологии DFS в случае отключения корня
DFS от сети по какой-либо причине. Отказоустойчивость может быть также реализована на
уровне файла и содержимого путем назначения альтернативных ресурсов тому DFS. Любой
узел ветвей дерева DFS может быть обслужен набором реплицированных ресурсов. Если по
какой-либо причине не удалось подключить клиента к одному из альтернативных
ресурсов, клиент DFS пытается установить связь с другим ресурсом. Клиент
DFS просматривает имеющиеся альтернативные ресурсы, пока не найдет доступный.
Балансировка сетевой нагрузки
Если имеется много деревьев DFS, исходным критерием для
балансировки нагрузки является размещение корней DFS. Они могут находиться где
угодно в пределах сайта. Том DFS может представлять любой сетевой том или
каталог на сайте, поэтому сетевые ресурсы можно распределять, учитывая
требование оптимизации работы сети и не принимая во внимание расположение
связанных с ними пользователей. Поскольку ресурс, назначенный тому DFS, может
легко быть изменен, балансировка нагрузки может быть динамическим процессом. Можно
перемещать или добавлять ресурсы по мере надобности, и это никак не скажется на
дереве DFS и не приведет к нарушению пользовательского доступа.
Для назначения реплик корням или томам DFS следует при
расчете балансировки нагрузки учесть трафик репликации. Клиентские подключения
оптимизированы с точки зрения запросов подключений на основе DNS. Клиент DFS
автоматически выберет ближайшую реплику, основываясь на данных топологии сайта.
Тем не менее, элементы множества реплик должны по-прежнему быть
синхронизированы.
Восстановление после отказа при использовании альтернативных томов
Как описано в двух предыдущих разделах, ссылки заносятся в буфер локально в целях
повышения быстродействия, и если существуют альтернативные ссылки, все они
предлагаются клиенту. Клиент произвольным образом выбирает, какую из ссылок
использовать (в версии DFS, основанной на использовании каталога,
гарантируется, что клиенты выбирают доступную ссылку в пределах своего сайта).
Когда ссылка выбрана из всех имеющихся альтернативных
ссылок, выполняется установка сеанса (если до этого подключения не было, новому
серверу передаются учетные данные). Если обращение к выбранной ссылке
заканчивается отказом, начинается процесс восстановления. Скорость и результаты
восстановления после отказа зависят от того, что делал клиент в момент отказа и
как произошел отказ.
Сценарий №1
Клиент просматривает
альтернативный том. На компьютере, где находится этот том, происходит
нарушение питания или по какой-либо причине компьютер вообще отключается от
сети. Для восстановления после отказа клиент прежде всего должен установить,
что компьютер, содержащий этот том, более в сети не присутствует. Сколько
времени это займет – зависит от протокола, который используется клиентом. Многие
протоколы рассчитаны на медленные и не являющиеся жесткими связи глобальных
сетей и потому могут повторять попытки подключения до двух минут подряд, пока
не будет исчерпано время ожидания самого протокола. Когда
это произойдет, системой DFS немедленно выбирается альтернативный ресурс. Если в
локальном кэше альтернативных ресурсов нет, клиент DFS просматривает корень
DFS, чтобы установить, не изменил ли администратор какие-либо записи PKT. Если в
корне нет доступных альтернативных ресурсов, произойдет отказ; в противном
случае система DFS инициирует новый выбор альтернативного ресурса и
установление сеанса.
Сценарий №2
Клиент просматривает альтернативный том. На компьютере,
где находится этот том, происходит отказ жесткого диска, содержащего том, или
отключается соответствующий общий сетевой ресурс. При этом сценарии сервер,
содержащий альтернативный том, отвечает на запросы клиента и восстановление
путем перехода к новому альтернативному ресурсу происходит почти мгновенно.
Сценарий №3
Клиент уже открыл файлы. На компьютере, где находится
альтернативный том, происходит нарушение питания или по какой-либо причине
компьютер вообще отключается от сети. При этом сценарии имеет место тот же
процесс восстановления после отказа, зависящий от протокола, что и в сценарии
№1. Кроме того, этот процесс зависит также от приложения, которое установило
блокировки на файлы из предыдущего альтернативного тома и теперь должно
обнаружить изменения и установить новые блокировки.
Новые попытки открыть файлы приведут к тому же процессу
восстановления после отказа, что описан в сценарии №1. Операции на уже открытых
файлах закончатся отказом с соответствующей диагностикой ошибок.
Сценарий №4
Клиент уже открыл файлы. На компьютере, содержащем
соответствующий альтернативный том, происходит отказ жесткого диска или
отключение общего сетевого ресурса, содержащего этот том. В этом случае
происходит быстрый процесс восстановления, уже описанный в сценарии №2. Этот
процесс зависит также от приложения, владевшего дескрипторами файлов из
предыдущего альтернативного тома – это приложение должно обнаружить
изменения и определить новые дескрипторы.
Предоставление пользователям возможности осуществлять
поиск принтеров – одно из наиболее важных и естественных направлений
использования службы каталогов. В системе Windows 2000 подсистема печати
тесно интегрирована со службой Active Directory как для
снижения административной нагрузки, так и с целью обогатить возможности и
упростить работу пользователя. Однако опытные администраторы должны понимать,
как функционирует эта связь и каким образом ею можно управлять.
Система Windows 2000 позволяет иметь стандартный
объект-принтер для службы Active Directory. При помощи
этого объекта организации могут публиковать принтеры в службе Active
Directory, чтобы обеспечить общий доступ к этим принтерам через сеть.
Это предоставляет пользователям простой способ поиска
принтеров в сети. Пользователи могут осуществлять поиск атрибутов принтеров,
таких как их возможности (поддержка PostScript, цветная печать, размер бумаги и
т.д.) и местоположение, которые хранятся в службе Active
Directory.
Эти возможности делают процесс установки и настройки
принтеров для систем, работающих под управлением Windows 2000, достаточно
простым. Например, пользователем больше нет необходимости знать что-либо о
моделях драйверов, языках или портах принтера.
Когда клиент подключается к принтеру через Интернет, для
связи используется протокол http; если же принтер локальный, для передачи
используется протокол RPC.
В настоящее время
возможность печати через Интернет позволяет пользователям, работающим на
компьютерах-клиентах под управлением Windows 2000, подключаться к
принтерам по своей корпоративной интрасети. Пользователи могут ввести
нужный адрес URL в любом текстовом окне Адрес и не должны использовать
мастер добавления принтера. После выполнения подключения система
Windows 2000 автоматически копирует необходимый драйвер принтера на
компьютер‑клиент.
Подключиться к принтеру по интрасети можно двумя
способами. В этих способах не используется возможность поиска, имеющаяся в
службе Active Directory.
|
http://имя_сервера/printers. Выдается
список всех общих принтеров в домене, которые пользователь имеет право
использовать.
|
|
http://имя_сервера/имя_общего_принтера. Пользователь
указывает адрес в интрасети конкретного принтера. Он должен иметь право на
использование этого принтера.
|
Для подключения к принтеру введите http://имя_сервера/printers
в окне Адрес обозревателя Microsoft Internet
Explorer или Windows Explorer и нажмите клавишу
ВВОД.
Страница
Все принтеры на сервере имя_сервера покажет
информацию о принтерах, в том числе имя принтера, состояние заданий печати,
модель и все комментарии, введенные при установке принтера. Эти сведения
помогут пользователю выбрать нужный принтер. Щелкните соответствующий принтер,
чтобы его добавить.
На странице Имя_принтера на сервере Имя_сервера
отображаются различные варианты выбора. Из них будут видны только те, на
которые у пользователя есть права.
Щелкните Установить. Система Windows 2000
автоматически скопирует требуемый драйвер принтера на компьютер-клиент.
Использование
адреса http://имя_сервера/имя_общего_принтера
Для подключения к принтеру введите http://имя_сервера/имя_общего_принтера в окне Адрес
обозревателя Microsoft Internet Explorer или Windows Explorer и нажмите клавишу
ВВОД.
На странице Имя_принтера на сервере Имя_сервера
отображаются различные варианты, но только те, на которые у
пользователя есть права.
Щелкните Установить. Система Windows 2000
автоматически скопирует требуемый драйвер принтера на компьютер-клиент.
Протокол IPP – это последний стандарт Интернета,
который предоставляет пользователям возможность печатать непосредственно по
адресу URL, просматривать состояние принтера с помощью обозревателя и
устанавливать драйверы с адреса URL. Пользователи могут легко печатать свои
документы через интрасеть и Интернет. Например, пользователь может напечатать
цветной документ по адресу http://colorprinter.kinkos.com.
Публикация принтера управляется флажком «Включено в
каталог» на вкладке принтера «Общий доступ». Если этот флажок установлен,
принтер публикуется. Если нет, принтер не публикуется. Если этот флажок для уже
опубликованного принтера будет снят, принтер будет удален из службы каталогов.
Мастер добавления принтера не дает возможности изменить
эту установку. Если используемое по умолчанию значение неверно, необходимо
открыть вкладку принтера «Общий доступ».
Заметьте, что могут быть опубликованы только принтеры с
общим доступом. По умолчанию принято, что данный флажок установлен (и
осуществляется автоматическая публикация принтеров, добавленных мастером
добавления принтеров). Этим умолчанием управляет системная политика.
Принтер помещается в объект-компьютер сервера печати в
службе каталогов. Это поведение изменить нельзя. Однако после помещения объекта
в службу каталогов он может быть перемещен или переименован. Система печати
запоминает глобальный идентификатор GUID этого объекта службы каталогов, поэтому
его можно перемещать в этой службе как угодно и при этом система печати
по-прежнему может поддерживать его актуальность.
Серверы печати здесь являются ведущими, служба
каталогов – ведомой.
Каждый из серверов печати отвечает за публикацию своих
принтеров в службе каталогов. Централизованной службы публикации принтеров нет.
Серверы печати не привязаны к какому-либо конкретному
контроллеру доменов (DC) – они динамическим образом находят DC в нужном
домене.
Строго говоря, публикуются очереди на печать, а не принтеры.
«Имя в службе каталогов» является именем
атрибута в схеме службы каталогов. Это «дружественное имя» является тем
самым именем, которое отображается в пользовательском интерфейсе. Другие
атрибуты публикуются, но в пользовательском интерфейсе не отображаются.
Каждый раз, когда меняется настройка принтера,
обновляется соответствующий объект в службе каталогов.
Заметьте, что все данные заново посылаются службе
каталогов, даже если они не меняются. Например, даже если изменить только
комментарий, все атрибуты пересылаются в службу каталогов.
Интеграция печати со службой каталогов настраивается по
умолчанию таким образом, чтобы все работало без вмешательства администратора. От
администратора требуются действия лишь в тех случаях, когда в используемом по
умолчанию образце поведения есть что-либо не устраивающее пользователей
системы. Это модель поведения «по умолчанию» может быть сформулирована
следующим образом.
·
Любой принтер, являющийся общим ресурсом для данного сервера
печати, публикуется в службе каталогов. (Отметим, что здесь по-прежнему
требуется возможность доступа администратора к соответствующему компьютеру,
чтобы установить принтер и определить его как общий).
·
Объект-принтер помещается в объект-компьютер сервера печати в
службе каталогов.
Если сервер печати «исчезает» из сети, его принтеры
автоматически удаляются из службы каталогов. При обновлении принтера на сервере
печати соответствующие изменения переносятся в службу каталогов автоматически.
Способ развертывания сервера IIS непосредственно
сказывается на его функциях. Перед установкой веб-сервера Интернета следует
рассмотреть три фактора.
1)
Членство. Членство сервера Windows 2000 IIS в каталоге предприятия имеет
несколько эффектов.
a)
Быстродействие. При проверке подлинности клиентов контроллер
домена будет иметь очевидные преимущества по быстродействию. Если приложение
Интернета требует проведения интенсивных проверок подлинности, то можно
улучшить быстродействие, сделав сервер IIS контроллером домена. Но есть и
другие факторы, которые могут повлиять на решение этого вопроса.
b) Безопасность.
Роль сервера (контроллер домена/член и т.д.), а также его отношение к лесу
является главным вопросом, который следует учесть при планировании и
развертывании.
i)
Сервер IIS, являющийся членом домена, который содержит счета
корпорации или другие важные ресурсы, никогда не должен быть контроллером этого
домена. В этом случае сервер IIS должен быть членом-сервером домена этого типа.
ii)
Широкомасштабное развертывание веб-служб для выполнения таких
функций, как электронная коммерция, следует, вероятно, выполнять в отдельном
лесу. В этом случае следует обеспечить определение четкой границы между
внутренними и внешними функциями деятельности компании. Такая организация
позволит установить явные отношения доверия по протоколу Kerberos и политики
управления для несвязного леса.
2) Размещение. Физическое и логическое размещение веб-сервера также
очень важно с точки зрения безопасности, быстродействия и простоты управления.
a)
Безопасность. Размещение службы IIS как сети по отношению к
Интернету может повысить или понизить риски нарушения безопасности. Не следует,
конечно, подставлять этот ресурс под атаку, но вряд ли фильтрация этого сервера
через несколько брандмауэров будет правильным решением. Следует оценить риск и
определить соответствующую политику безопасности. Есть несколько возможностей
размещения, которые мы кратко опишем ниже.
b) Производительность.
Физическое и логическое размещение сервера IIS оказывает некоторое влияние на
быстродействие. При не слишком высокой нагрузке сети можно пренебречь снижением
быстродействия, вызванным фильтрацией через брандмауэр вместо прямого доступа к
серверу. С другой стороны, используя даже небольшое количество брандмауэров,
можно обеспечить производительность, сравнимую с по скорости с прямым доступом.
Кроме того, размещение сервера IIS за прокси-серверами может на практике
улучшить быстродействие. Прокси-сервер может осуществлять реверсивное
кэширование сервера или серверов IIS, что позволяет балансировать нагрузку,
распределяя ее на несколько серверов IIS и адресоваться к ним как к одному.
c)
Управляемость. На этот параметр влияет и членство, и размещение. Функции
управления сервера IIS, размещенного в DMZ, потребуют доступа через брандмауэр.
В большинстве случаев это эквивалентно заданию формальных политик управления,
служб и процедур даже для получения доступа к веб-серверу. В современной среде
неудобные процедуры управления приводят к неэффективности сайта. В некоторых
случаях политика такого типа резко снижает конкурентоспособность компании в
деятельности, связанной с Интернетом.
3) Привязки и фильтры. Несомненно, что система
Windows NT 4 не была достаточно устойчивой против атак на сеть,
однако, эти атаки были связаны с NetBIOS и RPC. Отключите порт 135
(переназначение RPC) и отключите NetBIOS от подключенного к внешней сети
сетевого адаптера, и риск, связанный с нарушением целостности сети, будет
сведен на нет. На любых работающих под управлением Windows NT или
Windows 2000 серверах, которые должны обеспечивать службы Интернета,
следует проверять, что:
a)
установлены фильтры портов, предоставляющие лишь явным образом
разрешенные службы;
b) порт
135 фильтруется явным образом;
c)
NetBIOS не привязан к сетевой плате, обслуживающей Интернет;
d) ни
имя NetBIOS, ни адрес WINS не связаны с сетевой платой, обслуживающей запросы
из Интернета.
На приведенной выше
иллюстрации представлены некоторые обычные (и не очень обычные) способы
размещения служб Интернета. Цели конфигурации и размещения состоят в
следующем.
1) Обеспечить такую
безопасность, чтобы не могли быть скомпрометированы ни сеть, ни важные данные.
2) Дать возможность
быстрого развертывания и эффективного управления службами Интернета для
соответствующей группы управления.
Заметим, что ни одна из этих целей не связана с защитой
серверов Интернета от воздействия на них отказов или повреждения служб. В
какой-то момент какое-то устройство может быть подвержено отказу службы, будь
то сам веб-сервер или брандмауэр прокси-сервера.
Обычная DMZ
DMZ обычного типа размещает службы в сегменте, защищенном
брандмауэром. В этом случае брандмауэр действует как «шлюз последней надежды»
для всего исходящего трафика и единственным маршрутом для трафика, приходящего
из Интернета.
Такая организация требует, чтобы управление, связанное со
службой Интернета, также проходило через брандмауэр, а это значит, что в
брандмауэре должен существовать путь (сквозное отверстие) для осуществления
этого управления. Альтернативой является требование, чтобы все управляющие
операции выполнялись на самой консоли.
Периферийные службы
Устройствам, работающим под управлением Windows NT
или Windows 2000, доступен более эффективный способ предоставления служб
Интернета. Используя наличие подключения сервера Windows 2000 Server к
внутренней и внешней сети и приняв необходимые меры безопасности, вполне
возможно организовать безопасные службы Интернета и при этом поддерживать
эффективное управление из внутренней сети.
Особенности этого типа организации таковы состоят в
следующем.
·
Для служб предоставлены явные маршруты от периферийного
маршрутизатора. Таким образом, становится доступной служба (разрешаемая службой
DNS), к которой есть доступ без прохода через брандмауэр. Однако это не снимает
необходимости наличия брандмауэра.
·
Брандмауэр по-прежнему существует, но круг его обязанностей
сужается. Брандмауэр остается шлюзом «последней надежды» для исходящего
трафика, а также единственным маршрутом для любого трафика, направленного во
внутреннюю сеть, или трафика, предназначенного для DMZ. Однако брандмауэр более
не должен обрабатывать трафик, связанный с управлением службами Интернета, а
также запросы к этим службам.
·
Доступ к управлению из внутренней сети также обходит брандмауэр и
обслуживается непосредственно устройством, которое нуждается в управлении. Это
опять-таки делается возможным за счет обеспечения явно заданных маршрутов к
интерфейсу внутренней сети как разрешенных службой DNS записей.
Прокси-слубжы
Прокси-службы в данном
контексте могут играть ключевую роль в улучшении быстродействия и безопасности. В этом
примере мы поместили службы Интернета во внутреннюю сеть и дали этим
устройствам доступ в Интернет через периферийные прокси-серверы. Уровень
безопасности возрос, поскольку есть только один сетевой путь к обращенной в
сторону Интернета части веб-серверов и этот путь пролегает через
прокси-серверы. Практический смысл такого типа
конфигурации – увеличение быстродействия. Прокси-сервер позволяет
реверсировать прокси к службам Интернета – это значит, что прокси-сервер
принимает все запросы на конкретную службу, например HTTP, и затем передает их
на сервер назначения. С конкретным адресом может быть связано более
одного сервера Интернета; таким образом, эти несколько серверов могут
балансировать нагрузку на один веб-узел.
Служба центра сертификации (ЦС) выдает сертификаты,
необходимые для использования инфраструктуры открытого ключа. ЦС может быть
внешним коммерческим ЦС или ЦС, который ведет само предприятие. Эти сертификаты
дают пользователю возможность входить в сеть с помощью смарт-карты, посылать
зашифрованные почтовые сообщения, подписывать документы и совершать другие
действия. Поскольку ЦС является важным пунктом, удостоверяющим в рамках
организации подлинность соответствующих данных, в большинстве организаций
имеется собственный ЦС.
Система Windows 2000 допускает два класса ЦС –
ЦС предприятия или автономный ЦС. В пределах каждого класса могут существовать
два типа ЦС – корневой и подчиненный.
Обычно следует устанавливать ЦС предприятия, если будут
выдаваться сертификаты пользователям компьютеров в пределах организации (то
есть внутри домена Windows 2000). Автономный ЦС следует устанавливать,
если будут выдаваться сертификаты пользователям или компьютерам, расположенным
вне организации (то есть вне домена Windows 2000). ЦС предприятия требует,
чтобы все пользователи, запрашивающие сертификаты, имели запись в службе
каталогов Windows 2000 Active Directory, в то
время как автономный ЦС этого не требует. Кроме того, ЦС предприятия может
выдавать сертификаты, которые могут использоваться для входа в домен 2000, а
автономный ЦС таких сертификатов не выдает. Можно также определить и автономный
ЦС, и ЦС предприятия, если это наилучшим образом отвечает потребностям
компании.
ЦС предприятия
ЦС предприятия является корнем корпоративной иерархии ЦС.
ЦС предприятия следует определять, если этот ЦС будет выдавать сертификаты
пользователям и компьютерам предприятия. Как правило, ЦС предприятия
используется только для выдачи сертификатов подчиненным ЦС.
Для
ЦС предприятия требуется следующее.
·
Установленная служба DNS системы Windows 2000 (этого требует
служба Active Directory).
·
Установленная служба каталогов Windows 2000. Политика
предприятия помещает данные в службу Active Directory.
·
Наличие административных прав на серверы DNS, каталогов и ЦС. Это
особенно важно, поскольку программа установки меняет данные во многих местах и
некоторые из этих изменений требуют прав администратора домена.
Подчиненный ЦС предприятия
Подчиненный ЦС предприятия – это ЦС, который выдает
сертификаты в пределах предприятия, но не является наиболее доверенным ЦС в
предприятии (то есть он иерархически подчинен другому ЦС).
Подчиненный ЦС предприятия должен удовлетворять следующим
требованиям.
·
Подчиненный ЦС предприятия обязан иметь родительский ЦС. Это
может быть внешний коммерческий ЦС или автономный ЦС.
·
Служба Windows 2000 DNS должна быть уже установлена (этого
требует служба Active Directory).
·
Служба каталогов Windows 2000 должна быть уже установлена. Политика
предприятия помещает данные в службу Active Directory.
·
Наличие административных прав на серверы DNS, каталогов и ЦС.
Автономный корневой ЦС
Автономный корневой ЦС является корнем иерархии ЦС. Автономный
корневой ЦС следует разворачивать в тех случаях, когда будут выдаваться
сертификаты за пределами сети предприятия. Как правило, корневой ЦС только
выдает сертификаты подчиненным ЦС. Например, автономный корневой ЦС
используется для выдачи сертификатов клиентам предприятия, чтобы они имели
доступ к ресурсам предприятия. Другой пример – когда по соображениям
безопасности корневой ЦС находится под замком в хранилище, куда нет доступа по
сети и лишь некоторым доверенным людям разрешается доступ к этому серверу.
Автономный корневой ЦС
требует прав администратора на соответствующий локальный сервер.
Автономный подчиненный ЦС
Автономный подчиненный ЦС – это ЦС, который работает
как отдельный сервер сертификации или встроен в иерархию доверия ЦС. Автономный
подчиненный ЦС следует устанавливать в тех случаях, когда будут выдаваться
сертификаты за пределы предприятия.
Автономный подчиненный ЦС должен удовлетворять следующим
требованиям.
·
Он должен быть связан с ЦС, который обрабатывает запросы от него
на сертификацию. Это опять-таки может быть внешний коммерческий ЦС.
·
Наличие административных прав на локальный сервер.
Структура центров сертификации имеет иерархический вид,
при котором на самом верху находятся наиболее доверенные ЦС. Все остальные ЦС в
этой иерархии являются подчиненными. На предприятии наиболее доверенным ЦС
является корневой ЦС предприятия. Может существовать более одного корневого ЦС
предприятия в домене Windows 2000 и, соответственно, более одной иерархии.
Все остальные ЦС любой иерархии являются подчиненными ЦС. Эти подчиненные ЦС
могут быть подчиненными ЦС предприятия или автономными подчиненными ЦС. ЦС
предприятия имеют специальный модуль политики, определяющий, как обрабатываются
и выдаются сертификаты. Данные политики, используемые этими модулями, хранятся
централизованно в службе Active Directory системы
Windows 2000. Это значит, что для создания ЦС предприятия необходимо иметь
работающий сервер службы Active Directory и DNS.
Аналогично, в иерархии автономных ЦС наверху находится
корневой автономный ЦС. Автономных иерархий может быть много, и у каждой свой
автономный корневой ЦС. Все прочие ЦС в автономной иерархии являются либо автономными
подчиненными ЦС, либо подчиненными ЦС предприятия. У автономного ЦС модуль
политики очень прост и не хранит никаких данных, относящихся к удаленному
доступу, поэтому автономному ЦС не требуется иметь службу каталогов Active Directory системы Windows 2000 . На предприятии с
автономным ЦС необходимо будет вручную публиковать сертификаты ЦС в модуле
политики по умолчанию.
Между всеми ЦС предприятия и моделью домена
Windows 2000 есть очевидная связь. Однако это не влечет прямого
соответствия между доверительными отношениями центров сертификации и
доверительными отношениями доменов. Ничто не мешает одному ЦС обслуживать
объекты во многих доменах и даже за пределами домена. И наоборот, конкретный
домен может иметь несколько ЦС предприятия.
Удаленный доступ полностью интегрирован и включает удаленный доступ по коммутируемым соединениям, а также из
Интернета. С помощью политик Windows 2000 методы проверки подлинности и
требования транспортировки или шифрования могут быть тонко настроены на любые
обстоятельства и виды членства.
Также расширено число способов, которыми могут общаться
клиенты. По-прежнему поддерживается протокол PPTP, но использование протокола
безопасности IPSecurity при интеграции ISA KMP составляет превосходную
альтернативу обычным механизмам проверки подлинности и шифрования.
Для решения проблем безопасности, связанных с Интернетом,
организации могут использовать инфраструктуру безопасности для Интернета
корпорации Майкрософт. Организации могут выдавать сертификаты открытого ключа
конкретным партнерам, которым нужен доступ к специальным ресурсам данных. Вместо
создания учетной записи пользователя или определения доверительных отношений
доменов можно для проверки подлинности и авторизации пользователя применять
сертификаты. Сертификаты общего ключа – и инфраструктура, необходимая для
поддержки выдачи сертификатов и проверки отзыва сертификатов – принимаются
в качестве наиболее эффективных способов для поддержки отношений между
предприятиями посредством Интернета. Система Windows 2000 поддерживает
сертификаты X.509 версии 3, выданные любой системой выдачи сертификатов. Системные
администраторы Windows 2000 определяют, каким центрам сертификации можно
доверять. Они могут также связывать внешних пользователей, удостоверенных
сертификатами открытого ключа, с учетными записями пользователей
Windows 2000 для определения прав доступа, предоставленных этим
пользователям.
Система Windows 2000 предоставляет некоторые важные
возможности, позволяющие осуществлять бесперебойную и безопасную связь в сетях,
которые без поддержки этих возможностей не являлись бы безопасными. Правильное
использование этих возможностей позволяет значительно снизить затраты,
связанные с обеспечением работы удаленных офисов, и дает возможность мобильным
сотрудникам и партнерам поддерживать связь по Интернету.
Общая идея, лежащая в основе реализации этих
возможностей, состоит в том, что удаленный доступ – это любой доступ к
частной сети из любого места, расположенного вне ее. Таким образом, удаленный
доступ по коммутируемым соединениям приравнивается к доступу из Интернета. Такой
подход позволяет с помощью единой инфраструктуры поддерживать доступ из многих
источников и для различных целей. Контроль доступа с точки зрения проверки
подлинности, авторизации и носителя выполняется при помощи политики. Результатом
является весьма эффективная система удаленного доступа, которая поддерживает
доступ по коммутируемым соединениям, виртуальным частным сетям VPN, а также
использование подлинной маршрутизации, делая возможным практически любой вид
доступа, связанного с Интернетом.
К технологиям, позволяющим эффективно использовать
Интернет в целях бизнеса, относятся следующие.
Автоматическая адресация частной сети. Под этим
подразумевается возможность для клиентов самим задействовать информацию об
адресе IP, не прибегая к возможностям сервера DHCP.
RRAS (Routing and Remote Access – маршрутизация и
удаленный доступ) позволяют системе Windows 2000 легко расширяться до
масштабов Интернета или частной сети благодаря использованию различных
транспортов. Легкость, с которой RRAS разворачивается в среде
Windows 2000, делает удаленный доступ более дешевой и управляемой
альтернативой транспорта.
В число возможностей виртуальной частной сети сейчас
включены протоколы PPTP, а также IPSec и L2TP. Протокол IPSec легко
интегрируется с инфраструктурой открытого ключа.
В развертывании малых или удаленных офисов могут помочь
две примечательных возможности. Адресация автоматической частной сети –
это возможность для клиента осуществлять автонастройку собственного IP-адреса,
когда нет сервера DHCP. Поскольку все клиенты будут пользоваться одной и той же
частной сетью, эта схема имеет конкретную цель применения. Например, малый офис
корпорации имеет три рабочих станции, которым иногда нужен доступ к ресурсам
корпорации. Каждая рабочая станция имеет аналоговый модем для коммутируемой
связи с системой удаленного доступа (RAS) компании, и все они пользуются общим
принтером, подключенным к одной из них. Для развертывания сети в офисе такого
типа никаких действий фактически предпринимать не надо. Система
Windows 2000 установит протокол TCP/IP по умолчанию, и если при загрузке
не будет обнаружен сервер DHCP, компьютеры автоматически настроят собственные
IP-адреса, используя алгоритм избежания конфликтов. Если потом появится
доступный сервер DHCP, клиент будет автоматически использовать его.
Другая связанная с этим возможность обеспечивается с
помощью RRAS. Предположим, что тот же офис дорастает до размера, когда с точки
зрения затрат уже неэффективно поддерживать отдельное коммутируемое соединение
для каждой рабочей станции. Принимается решение, что в офисе будет общее
коммутируемое подключение по требованию к сети корпорации. Буквально за пять
минут сервер 2000 будет настроен на автоматическое предоставление служб
локальных сетей, таких как DHCP и DNS, а также на поддержку коммутируемого
соединения с корпоративной сетью в случае необходимости предоставления доступа
за пределами локальной сети. Результирующая конфигурация прозрачна для
локальных пользователей и достаточно проста, чтобы почти любой пользователь мог
выполнить соответствующую задачу.
Службы удаленного доступа можно расширить таким образом,
чтобы легче было разворачивать простые службы или выполнять сложные задания,
необходимые для выполнения наиболее сложной маршрутизации.
Существенным
улучшением по сравнению со службой RAS, использовавшейся в
Windows NT 4, является дифференциация управления в системе удаленного
доступа Windows 2000. Система RRAS в Windows 2000 полностью
управляется политикой в смысле определения того, кому будет предоставлен
доступ, а также тем, в каких обстоятельствах этот доступ будет предоставлен.
Политики удаленного доступа могут определять доступ по
группам, по времени суток, по используемым носителям и по многим другим
критериям. С помощью политики можно воспользоваться протоколом EAP (Extensible
Authentication Protocol – расширяемый протокол проверки подлинности),
чтобы гарантировать, что для конкретного клиента используется соответствующий
пакет проверки подлинности. Даже уровень шифрования, используемый при связи,
можно определить с помощью любого числа условий.
Расширены также
возможности телефонных книг – они содержат не только список номеров для
коммутируемого подключения и их описания, но и подключения VPN. Предварительное
задание и публикация корпоративных телефонных книг с номерами подключения
снижает нагрузку, связанную с удаленным доступом. Поддерживается также
автоматическое обновление телефонных книг.
С помощью удаленного
доступа и технологии NAT (Network Address Translation – трансляция сетевых
адресов) можно быстро и легко разворачивать удаленные офисы. Этот
процесс происходит автоматически и дает многим клиентам локальных сетей
возможность использовать адресацию частной сети и быть представленными единым
адресом IP, принадлежащим серверу. Система RAS Windows 2000 позволяет
осуществлять подключение сервера к корпоративной сети с динамическим адресом
IP, полученным от хоста. Ранее серверу требовался статически назначенный
адрес IP, для чего нужно было выделение адреса в хост-системе.
Политика, применяемая к удаленному доступу, может
принимать различные формы. Можно управлять доступом посредством членства в
группах, времени суток или определения типа доступа.
Политика применяется как последовательность принципов
соответствия, которая включает правила, применяемые к клиенту, управление
доступом, применяемое к группе, и многое другое. Применение политики приводит к
предоставлению доступа или отказу в нем в зависимости от установленных правил.
Как и вообще в работе Windows 2000, политика RAS
значительно увеличивает эффективность администрирования, позволяя выполнять
администрирование на группах пользователей и делегировать полномочия.
Добавление протоколов IPSec и L2TP расширило
функциональные возможности поддержки VPN в системе Windows 2000. Поддержка
доступа удаленных клиентов доступна для клиентов Windows 2000, а также для
клиентов Windows NT 4 и Windows 95/98.
Большинство мобильных клиентов будут по-прежнему
использовать PPTP для доступа посредством удаленных сетей и ISP. Использование
PPTP плодотворно и позволяет обеспечить должную безопасность для большинства
требований доступа типа "точка-точка".
Доступ из локальной сети в другую локальную сеть или в
глобальную сеть корпорации должен осуществляться с помощью туннелей IPSec или
IPSec и L2TP. Протокол IPSec в сочетании с ISA KMP обеспечивает отличный
уровень защиты и является более эффективным методом туннелирования нескольких
клиентов, чем использование нескольких сеансов PPTP.
Протоколы безопасности обеспечивают поддержку различных
служб для организации безопасной связи по сети. Система Windows 2000
использует следующие протоколы безопасности:
·
протокол ISAKMP (Internet Security Association and Key Management
Protocol – протокол Интернета сопоставления безопасности и управления
ключами);
·
определение ключей Oakley (Oakley Key Determination);
·
протокол IP AH (IP Authentication Header – заголовок
проверки подлинности IP);
·
протокол IP ESP (IP Encapsulating Security Protocol –
протокол инкапсулированной безопасности IP).
Протокол ISAKMP
Прежде чем станет возможной передача пакетов IP между
компьютерами, должно быть установлено сопоставление безопасности (SA –
Security Association). SA представляет собой набор параметров, которые
определяют необходимые службы и механизмы, например ключи, для защиты связи по
безопасному протоколу. Сопоставление безопасности должно существовать между
двумя участниками связи, использующими IP-безопасность. Протокол ISAKMP
определяет общую схему поддержки установления сопоставлений безопасности. Протокол
ISAKMP не привязан к какому-либо одному конкретному алгоритму, методу генерации
ключей или протоколу безопасности.
Протокол IP AH
Протокол IP AH (IP Authentication Header – заголовок
проверки подлинности IP) обеспечивает целостность, проверку подлинности и
защиту от воспроизведения. Конфиденциальность не является свойством AH. Для
каждого пакета IP протокол AH использует алгоритм HMAC хеширования
зашифрованного ключом сообщения.
Протокол
IP ESP
В дополнение к перечисленным выше службам AH протокол IP
ESP обеспечивает конфиденциальность благодаря использованию алгоритма DES-CBC.
Использование протокола ESP совместно с IPSec может
обеспечить службы, эквивалентные тем, которые обычно связаны с протоколами L2TP
и IPSec. Это значит, что протокол IPSec, используемый совместно с ISA KMP,
может обеспечить эффективный механизм доступа из локальной сети к глобальной
сети без необходимости использовать протоколы, ориентированные на
индивидуальных клиентов и серверов, такие как PPTP или L2TP.
В этом разделе дается обзор важных приложений, которые в
настоящее время используют преимущества, основанные на функциях открытого
ключа. В этом обзоре не дается введение в способы, которыми можно эффективно
вложить средства в инфраструктуру открытого ключа для решения реальных задач
бизнеса.
Интернет быстро становится ключевым элементом в создании
и развертывании решений для эффективного обмена данными в глобальном масштабе. В
частности, потрясает рост его значения для бизнеса. Во многих случаях ключевым
фактором использования Интернета является безопасность. В особенности важны
следующие моменты.
·
Проверка подлинности сервера – возможность для клиентов
проверить сервер, к которому они подключаются.
·
Проверка подлинности клиента – возможность для серверов
проверить идентификацию клиента и на этом основании
принимать решения по контролю доступа.
·
Конфиденциальность – шифрование данных, передаваемых между
клиентом и сервером в целях предотвращения несанкционированного доступа к
информации при ее передаче по общедоступным связям Интернета.
Протокол SSL (Secure Sockets Layer) и возникающий
стандарт IETF протокола TLS (Transport Layer Security) в обеспечении этих
потребностей играют важную роль. SSL/TLS являются гибкими протоколами
безопасности, которые могут работать поверх других транспортных протоколов. Они
пользуются технологией проверки подлинности по технологии открытого ключа и
используют согласование ключей на основе PK в каждом сеансе связи клиент-сервер.
Они чаще всего связаны с веб-приложениями и протоколом HTTP (называемом также
HTTPS).
Протокол EAP (Extensible Authentication Protocol –
расширяемый протокол проверки подлинности) позволяет системе Windows 2000
применить к клиенту одну из нескольких схем проверки подлинности. Это, в
частности, применимо к сценариям удаленного доступа, когда поставщик службы
может потребовать применения RADIUS или другой службы проверки подлинности к
определенной группе клиентов.
Быстрое развитие Интернета приводит к росту зависимости
от загруженного из него активного содержания – приложений Windows,
элементов управления ActiveX и приложений Java. В результате возрастает и
озабоченность безопасностью таких загруженных программ, поскольку они часто
проявляют побочные эффекты в веб-сценариях без уведомления пользователя. В
целях решения этой проблемы корпорация Майкрософт в1996 году представила
технологию цифровых подписей и в 1997 году существенно ее улучшила, включив
подпись приложений Java с интегрированной моделью выдачи разрешений.
Технология Authenticode позволяет публикаторам
программного обеспечения подписывать цифровой подписью любой тип активного
содержания, в том числе многофайловые архивы. По этим подписям можно проверить
как подлинность публикаторов содержания, так и целостность содержания в момент
загрузки. Инфраструктура проверки расширяется до базы пользователей Windows в
глобальном масштабе и основывается на иерархической структуре ЦС, в которой
небольшое число коммерческих ЦС выдает сертификаты на публикацию программного
обеспечения. Для нужд предприятия система Windows 2000 PKI позволяет
выдавать сертификаты Authenticode внутренним разработчикам и программистам,
работающим по контракту, и позволяет любому сотруднику проверить источник и
целостность загруженных приложений.
Система
Windows 2000 в виде альтернативы паролям для проверки подлинности доменов
предлагает вход с помощью смарт-карты, основанной на использовании открытого
ключа. Эта возможность базируется на соответствующей PC/SC инфраструктуре
смарт-карт, впервые представленной для Windows NT и Windows 95 в декабре
1997 года, и смарт-картах с возможностями RSA с поддержкой CSP CryptoAPI. В
процессе проверки подлинности используется протокол PKINIT, предложенный
рабочей группой IETF Kerberos для интеграции проверки подлинности на основе
открытого ключа с системой контроля доступа Windows 2000 Kerberos.
В процессе работы система распознает событие введения
смарт-карты как альтернативу стандартной последовательности Ctrl + Alt + Del,
активизирующей систему безопасности для определения возможности входа в
систему. Далее пользователю предлагается ввести PIN-код смарт-карты, который
контролирует доступ к операциям с закрытым ключом, хранящимся на смарт-карте. В
данной системе на смарт-карте хранится также копия сертификата пользователя
(выданного ЦС предприятия). Это дает пользователю возможность перемещаться в
пределах домена.
Расширяемый протокол проверки подлинности (EAP) –
это интерфейс, который позволяет подключать модули проверки подлинности,
поставляемые независимыми производителями, к реализации протокола Microsoft
Windows 2000 RAS PPP. Обычно протокол EAP используется, чтобы обеспечить
развертывание механизмов безопасности, основанных на использовании смарт-карт.
Используя политики удаленного доступа вместе с
возможностями, которые открывает протокол EAP, организация может реализовать
другие политики проверки подлинности и шифрования, основанные на том, кто именно
подключается к сети, а также на том, производится подключение по коммутируемой
линии или из сети VPN.
При подключении посредством удаленного доступа клиенту
службы удаленного доступа могут быть предоставлены те же службы, что и клиенту
в локальной сети. В большинстве случаев механизмы удаленного доступа для
конечного пользователя полностью незаметны. Это справедливо в особенности в
случае доступа из локальной сети в глобальную сеть через Интернет, когда
клиенты просто испытывают небольшую задержку в процессе установки подключения.
Приложения электронной почты, основанные на использовании
технологии открытого ключа, применяются достаточно широко и уже много лет
доступны в таких приложениях, как Microsoft Exchange. Эти системы используют
технологию открытого ключа для обеспечения следующих двух требований.
·
Использование цифровой подписи для подтверждения источника и
подлинности сообщения электронной почты.
·
Блочное шифрование без использования уже известного участникам
переписки шифра – в целях сохранения конфиденциальности пересылаемой
корреспонденции.
Распределенная природа электронной почты и степень
надежности хранения в ней данных и их пересылки многим получателям оказались
решающими факторами, определившими использование технологии открытого ключа. Альтернативные
подходы, базирующиеся на использовании шифрования на базе известного участникам
шифра, накладывают дополнительные административные и физические требования
безопасности, затрудняющие их использование.
В работе таких систем используется закрытый ключ
пользователя для цифровой подписи исходящей электронной почты. Вместе с
электронной почтой пересылается сертификат пользователя, чтобы дать возможность
получателю осуществить проверку подписи. S/MIME определяет профиль для таких
сертификатов, чтобы гарантировать возможность взаимодействия сетей, и
предполагает наличие иерархической модели ЦС для обеспечения масштабируемого
управления доверительными отношениями. Чтобы зашифровать электронную почту,
посылаемую другому пользователю, отправитель получает сертификат
шифрования – из предыдущих сообщений или от службы каталогов. После
проверки этого сертификата содержащийся в нем открытый ключ можно использовать
для шифрования секретного ключа, используемого для шифрования электронной
почты.
Основным фактором при развертывании инфраструктуры
открытого ключа является сама иерархия центров сертификации. В разработке
иерархии ЦС следует использовать описанные выше правила. Наиболее типичной
структурой является структура предприятия, которую следует учитывать при
разработке структуры самого каталога.
Перед развертыванием также необходимо тщательно продумать
модули входа и выхода для подачи заявок на сертификат. Эти модули описывают
правила, по которым сертификаты автоматически предоставляются затребовавшим их
пользователям, а также сам механизм предоставления сертификата.
Центр сертификации для подписывания кода разработчиками
должен быть установлен на ранних стадиях. Код, подписанный ЦС предприятия, вполне
подходит для использования внутри организации, однако многие приложения часто
имеют область своего действия, выходящую за ее границы. Это может быть
потенциальным мотивом для создания дополнительного автономного центра
сертификации.
Windows® 2000 Server