Лекция 15: Вопросы безопасности Windows 2000/ Windows 2003 Server

Использование Aсtive Directory

Центральным элементом системы безопасности Windows 2000/2003 является Aсtive Directory (AD). AD - это служба каталогов, разработанная и внедренная в последние версии операционной системы Windows. Она является попыткой Microsoft создания масштабируемой структуры домена, взамен старой модели домена Windows NT.

Примечание

Основным различием Windows 2000 Server и Windows 2003 является гибкость и управляемость AD. Самое значительное изменение, связанное с безопасностью, связано с доверием между лесами.

AD может состоять из одного или более доменов, причем каждый домен имеет свои политики безопасности и безопасные (т. е. доверенные) взаимоотношения с другими доменами. Пространство имен домена соответствует домену DNS, а домен Root - это первый домен, создаваемый в AD. Все домены в AD совместно используют одну и ту же конфигурацию, схему и глобальный каталог. Ключевыми компонентами AD и их функциями являются следующие элементы.

• Global Catalog (GC, Глобальный каталог). Серверы GC содержат частичные реплики всех доменов в AD, а также полную реплику схемы и именования конфигурации, поэтому эти системы являются носителями секретной информации и должны соответствующим образом защищаться.
• Схема. Схема определяет, какие объекты и атрибуты могут храниться в AD. Она поддерживает все классы объектов и атрибуты, содержащиеся в AD. Для каждого класса объектов схема определяет место в AD для создания класса объекта, а также список атрибутов, которые должен содержать класс. Это ключевой компонент AD, и очень важно обеспечить его безопасность
• Домен. Домен - это группа компьютеров, объединенных для формирования административной ограниченной области пользователей, групп, компьютеров и организационных единиц.
• Организационная единица (OU) - это тип объектов каталога, с которыми можно связать групповые политики и таким образом определять в них ограничения безопасности. Это наименьшие административные единицы в AD, формирующие границы защищаемой области. По умолчанию, так как домен является ограниченной областью администрирования, и OU существует только внутри домена, домен является наиболее внешней организационной единицей.
• Групповые политики. Объект домена, обеспечивающий возможность группирования параметров безопасности и конфигурации в шаблоны, которые могут применяться к отдельным системам, доменам или организационным единицам.
• Доверительные взаимоотношения. Доверительные взаимоотношения позволяют использовать информацию из одного домена, такую как идентификаторы безопасности пользователей, в другом домене. По умолчанию в AD имеется двустороннее транзитивное доверие. Домены с двусторонним доверием полностью доверяют друг другу. Транзитивное доверие означает, что если домен A доверяет домену B, а домен B доверяет домену C, то домен A доверяет домену C. Можно сравнить этот принцип с доверием в Windows NT, где оно было однонаправленным (поэтому приходилось настраивать доверие в отдельном порядке) и не транзитивным, т. е. доверие имело место только по отношению к тем доменам, с которыми были установлены непосредственные доверительные отношения.

Безопасная установка и настройка

При настройке AD наиболее важным моментом, связанным с безопасностью, является выбор опции Permissions Compatible with Pre-Windows 2000 Server (Разрешения совместимы с версиями Windows, предшествующими Windows 2000 Server). Эта опция делает группу Everyone (Все) членом встроенной группы Pre-Windows 2000 Compatible Permissions (Разрешения, совместимые с операционными системами, предшествующими Windows 2000). Это позволяет устанавливать анонимные соединения с AD (т. е. предоставляются анонимные полномочия на чтение всем важным пользовательским и групповым атрибутам домена). Если поддержка систем, предшествующих Windows 2000, не требуется, не следует включать эту опцию.

На данном этапе (если вы не упустили какие-либо разрешения) AD должна быть достаточно защищена. Единственное, что осталось сделать, - убедиться, что пользователи используют надежные пароли, и что системы защищены от сетей без доверия (таких как интернет).

Администрирование

Ниже приведен перечень основных средств, используемых для управления AD, с кратким описанием каждой утилиты.

• Aсtive Directory Domains and Trusts. Эта утилита используется для запуска программы Domain Manager (Диспетчер домена), управления доверительными взаимоотношениями, установки режима функционирования и определения альтернативных суффиксов UPN (User Principal Name).
• Aсtive Directory Sites and Services. Эта утилита используется для администрирования топологии репликации, добавления и удаления сайтов, переноса компьютеров в сайт, добавления в сайт подсети, связывания сайта с подсетью и создания связи сайта.
• Aсtive Directory Users and Computers. Эта утилита используется для управления объектами в домене. С ее помощью осуществляется добавление, перенос, удаление и изменение атрибутов таких объектов AD, как пользователи, группы, компьютеры и общие папки.
• ADSIEdit. Эта оснастка позволяет выполнять LDAP-операции по отношению к любым разделам каталога (домен, конфигурация или схема). ADSIEdit осуществляет доступ к AD через ADSI и позволяет добавлять, удалять и перемещать объекты внутри AD. Также с ее помощью можно просматривать, изменять и удалять атрибуты.