Лекции по "Администрированию сетей"

Основная концепция протокола Kerberos очень проста — если есть секрет, известный только двоим, то любой  из его хранителей может с лёгкостью  удостовериться, что имеет дело со своим напарником. Для этого ему  достаточно проверить, знает ли его  собеседник общий секрет.

Протокол Kerberos решает эту  проблему средствами криптографии с  секретным ключом. Вместо того, чтобы  сообщать друг другу пароль, участники  сеанса связи обмениваются криптографическим  ключом, знание которого подтверждает личность собеседника. Но чтобы такая  технология оказалась работоспособной, необходимо, чтобы общий ключ был  симметричным, т.е., он должен обеспечивать как шифрование, так и дешифрование информации. Тогда один из участников использует его для шифрования данных, а другой с помощью этого ключа  извлекает их.

Простой протокол аутентификации с секретным ключом вступает в  действие, когда кто-то стучится в  сетевую дверь и просит впустить его. Чтобы доказать своё право на вход, пользователь предъявляет аутентификатор (authenticator) в виде набора данных, зашифрованного секретным ключом. Получив аутентификатор, "привратник" расшифровывает его и проверяет полученную информацию, чтобы убедиться в успешности дешифрования. Разумеется, содержание набора данных должно постоянно меняться, иначе злоумышленник может просто перехватить пакет и воспользоваться его содержимым для входа в систему. Если проверка прошла успешно, то это значит, что посетителю известен секретный код, а так как этот код знает только он и привратник, следовательно, пришелец на самом деле тот, за кого себя выдаёт.

При использовании простых  протоколов, типа описанного выше, возникает  одна важная проблема. Если каждому  клиенту для поддержания связи  с каждой службой требуется индивидуальный ключ, и такой же ключ нужен каждой службе для каждого клиента, то проблема обмена ключами быстро приобретает  предельную остроту. Необходимость  хранения и защиты такого множества  ключей на огромном количестве компьютеров  создаёт невероятный риск для  всей системы безопасности.

Само название протокола Kerberos говорит о том, как здесь  решена проблема управления ключами. Цербер (или Кербер ) — персонаж греческой  мифологии. Этот свирепый пёс о трёх головах, по поверьям греков, охраняет врата подземного царства мёртвых. Трём головам Цербера в протоколе Kerberos соответствуют три участника  безопасной связи:

• Клиент — система (пользователь), делающий запрос;
• Сервер — система, которая обеспечивает сервис для систем, чью подлинность нужно подтвердить.
• Центр распределения ключей ( Key Distribution Center, KDC ) — сторонний посредник между клиентом и сервером, который ручается за подлинность клиента. В среде Windows , начиная с Windows 2000, в роли KDC выступает контроллер домена со службой каталогов Active Directory.

В среде Kerberos для входа  в систему пользователь должен предоставить свое имя пользователя, пароль и  имя домена (часто упоминаемое  как Realm, или " Сфера ", в словаре Kerberos), в который он хочет войти. Эта информация посылается KDC, который  устанавливает подлинность пользователя. Если пользователь подлинный, ему предоставляется  нечто, называемое " билет на получение  билета " ( ticket-granting ticket, TGT ).

Однако, если вам необходим  доступ к конкретному серверу, вам  также необходим билет для  этого сервера или вы не сможете  создать сеанс связи с ним.

Когда вы хотите получить доступ к серверу, вы сначала должны обратиться к KDC, предъявить свой билет TGT, как подтверждение  своей подлинности, а затем уже  запросить " билет сеанса " для  сервера, с которым вам необходим  контакт. Если вы аутентифицированы, вы сможете получить доступ к серверу  в соответствии с правами, которыми обладаете. Билет сеанса и TGT, которые  вы получаете, имеют ограниченное время  действия, которое может настраиваться  в групповой политике. Значения по умолчанию составляют для TGT (также  упоминаемого как билет пользователя) — 7 дней, а для билета сеанса (также  упоминаемого как билет службы) — 10 часов.

В среде с одним доменом  аутентификация Kerberos осуществляется очень  просто. Однако в среде со многими  доменами, этот процесс происходит в несколько этапов. Причина в  том, что когда вы пытаетесь получить билет сессии для сервера, он должен быть получен от KDC того домена, в  котором расположен сервер. Поэтому  вы должны будете получить несколько  билетов сессии, для прохождения  цепочки доверительных отношений  по пути к KDC, к которому вам нужно  получить доступ.

Имя пользователя+пароль+имя  домена=Realm, Сфера

Настройка параметров безопасности (Шаблоны безопасности, Анализ и  настройка безопасности)

Приведем краткие характеристики стандартных шаблонов безопасности:

• DC security — используемые по умолчанию параметры безопасности контроллера домена;
• securedc — защищенный контроллер домена (более высокие требования к безопасности по сравнению с шаблоном DC security, отключается использование метода аутентификации LanManager );
• hisecdc — контроллер домена с высоким уровнем защиты (более высокие требования к безопасности по сравнению с шаблоном securedc, отключается метод аутентификации NTLM, включается требование цифровой подписи пакетов SMB);
• compatws — совместимая рабочая станция или совместимый сервер (ослабляет используемые по умолчанию разрешения доступа группы "Пользователи" к реестру и к системным файлам для того, чтобы приложения, не сертифицированные для использования в данной системе, могли работать в ней);
• securews — защищенная рабочая станция или защищенный сервер (аналогичен шаблону securedc, но предназначен для применения к рабочим станциям и простым серверам);
• hisecws — рабочая станция или защищенный сервер с высоким уровнем защиты (аналогичен шаблону hisecdc, но предназначен для применения к рабочим станциям и простым серверам);
• setup security — первоначальные настройки по умолчанию (параметры, устанавливаемые во время инсталляции системы);
• rootsec — установка стандартных (назначаемых во время инсталляции системы) NTFS-разрешений для папки, в которую установлена операционная система;

Тема 6.2. Служба файлов и  печати

Служба  предоставления совместного доступа  к файлам и печати — одна из наиболее интенсивно используемых служб в  корпоративных сетях. Сотрудникам  компаний и организаций необходим  доступ к документам самых различным  типов — текстовым документам, электронным таблицам, презентациям, файлам файл-серверных баз данных многое другое.

Хранение  и обработка документов на файловом сервере имеет ряд преимуществ  по сравнению с хранением и  обработкой документов на каждом рабочем  месте по отдельности:

1. Централизованное управление доступом к файловым ресурсам;
2. Централизованное управление резервным копированием;
3. Централизованная антивирусная защита.

Управление  совместным использованием принтеров  — также типичная задача сетевого администратора. Использование сетевых  принтеров позволяет наиболее эффективно расходовать ресурсы на печать документов. И здесь также возникает потребность  в управлении доступом, настройкой службы печати для наиболее высокой  производительности.

Права доступа. Наследования прав доступа. Взятие во владение. Аудит  доступа к ресурсам.

Определение прав доступа к файловым ресурсам осуществляется на основе разрешений (permissions). При определении разрешений к ресурсам, предоставленным в совместный доступ в сети, используются два типа разрешений: сетевые разрешения (shared folder permissions) и разрешения, заданные в файловой системе NTFS (NTFS-permissions).

Сетевые разрешения

Данный вид разрешений не зависит от типа файловой системы. Сетевые разрешения применяются только при доступе к ресурсам через сеть. Если пользователь локально вошел в систему (локально зарегистрировался в системе), то, какие бы ни были назначены сетевые разрешения для определенной папки, эти разрешения не будут применяться ни к самой папке, ни к размещенным в ней файлам. В случае локальной регистрации пользователя, если данные размещены на томе с системой FAT, пользователь имеет полный доступ к этим данным, если данные размещены на томе NTFS, права доступа будут определяться разрешениями NTFS. Могут быть назначены сетевые разрешения трех видов:

• Чтение (Read) — чтение списка файлов и папок, чтение данных и запуск программ;
• Изменение (Change) — кроме чтения данных позволяет также создавать новые файлы и папки, удалять файлы и папки, изменять данные;
• Полный доступ (Full control) — в добавление к перечисленным выше разрешениям можно также изменять NTFS-разрешения (если общая папка хранится на томе NTFS) и получать статус владельца папки или файла (тоже для томов NTFS).

Определение суммарных  сетевых разрешений

Напомним, что при регистрации пользователя домена на каком-либо компьютере контроллер домена выдает пользователю т.н. маркер доступа (см. Раздел 4), который состоит из набора идентификаторов безопасности (SID) пользователя и групп, членом которых он является. Именно этот маркер доступа и определяет, какой именно доступ получит пользователь к сетевому ресурсу. В том случае, если некий пользователь имеет разрешение на доступ к папке по сети, а также доступ определен для каких-либо групп, членом которых он является, то определение суммарных разрешений производится по следующей схеме:

9. Сначала проверяется, нет ли запретов на тот или иной вид доступа для пользователя и групп, в которые он входит, если в сетевых разрешениях имеются запреты для пользователя или хотя бы одной из групп, в которые он входит, то данные виды доступа пользователю не будут предоставлены;
10. Если на какие-либо виды доступа запретов нет, то действующим разрешением будет наибольшее разрешение, выданное пользователю или какой-либо группе, членом которой он является.

Подключение к сетевым  ресурсам.

Три способа.

• Самый любимый пользователями, но не самый эффективный с точки зрения системы, — найти сначала сервер, а затем ресурс с помощью просмотра "Сетевого окружения";
• То же самое можно сделать, если в командной строке ввести т.н. UNC-имя сетевого ресурса ( UNC — Universal Naming Convention, способ именования сетевых ресурсов), для этого нужно нажать кнопку " Пуск " — выбрать пункт меню " Выполнить " — ввести UNC-имя в виде \\<имя сервера>\<имя сетевого ресурса> (например, \\DC1\Folder1 );
• Назначить букву диска к сетевому ресурсу; это можно сделать в командной строке командой вида " net use <буква диска> <UNC-имя > " (например, " net use X: \\DC1\Folder1 ") либо же, открыв окно " Мой компьютер " можно назначить букву диска для сетевого ресурса с помощью мастера подключения сетевого диска (меню " Сервис " — выбрать пункт меню " Подключение сетевого диска ").

Специальные сетевые  ресурсы.

В любой системе на базе технологий Windows NT существуют специальные  сетевые ресурсы. Имена некоторых  ресурсов заканчиваются символом $, такие сетевые ресурсы через " Сетевое окружение " или при  открытии ресурсов сервера с помощью  команды " \\<имя сервера> " не будут видны. Однако, если указать  полное UNC-имя сетевого ресурса, то можно  увидеть данные, размещенные в  нем.

Перечислим эти ресурсы:

• ресурс вида " \\<имя сервера>\admin$ " (например, \\DC1\admin$ ) — предназначен для удаленного администрирования компьютера; путь всегда соответствует местоположению папки, в которой установлена система Windows; к этому ресурсу могут подключаться только члены групп Администраторы, Операторы архива и Операторы сервера ;
• ресурс вида " \\<имя сервера>\< буква диска>$ " (например, \\DC1\C$ ) — корневая папка указанного диска;. к сетевым ресурсам такого типа на сервере Windows могут подключаться только члены групп Администраторы, Операторы архива и Операторы сервера ; на компьютерах с Windows XP Professional и Windows 2000 Professional к таким ресурсам могут подключаться члены групп Администраторы и Операторы архива ;
• ресурс " \\<имя сервера>\IРС$ " (например, \\DC1\IP$ ) — используется для удаленного администрирования;
• ресурс " \\<имя сервера>\NETLOGON " (например, \\DC1\NETLOGON ) — используется только на контроллерах домена, в данной сетевой папке хранятся скрипты (сценарии) для входа пользователей в систему, совместимые с предыдущими версиями операционных систем Microsoft;
• ресурс " \\<имя сервера>\SYSVOL " — используется только на контроллерах домена, в данной сетевой папке хранится файловая часть групповых политик;
• ресурс " \\<имя сервера>\PRINT$ " — ресурс, который поддерживает совместно используемые принтеры, в частности, в данной папке хранятся драйверы для совместно используемых принтеров.

Разрешения, заданные в  файловой системе NTFS.

Еще раз  подчеркнем, что сетевые разрешения действуют только при доступе  к ресурсам через сеть. Если пользователь вошел в систему локально, то теперь управлять доступом можно только с помощью разрешений NTFS. На томе (разделе) с системой FAT пользователь будет иметь полный доступ к информации данного тома.

На томе NTFS можно назначать  следующие виды разрешений для папок:

• Полный доступ;
• Изменить;
• Чтение и выполнение;
• Список содержимого папки;
• Чтение;
• Запись;
• Особые разрешения.

Разрешения NTFS могут быть явными или унаследованными. По умолчанию все папки или файлы наследуют разрешения того объекта-контейнера ( родительского объекта ), в котором они создаются. Использование унаследованных разрешений облегчает работу по управлению доступом. Если администратору нужно изменить права доступа для какой-то папки и всего ее содержимого, то достаточно сделать это для самой папки и изменения будут автоматически действовать на всю иерархию вложенных папок и документов.