Your SlideShare is downloading. ×
Dv w2k-sec-concepts
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Dv w2k-sec-concepts

487
views

Published on

Концепции обеспечения безопасности в Microsoft Windows 2000

Концепции обеспечения безопасности в Microsoft Windows 2000

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
487
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Концепции обеспечения безопасности в Microsoft Windows 2000
  • 2. Главные задачи
    • Аутентификация пользователей
    • Авторизация доступа к ресурсам
    • Конфиденциальность информации
    • Целостность информации
    • Невозможность отказа от совершенных действий
  • 3. Компоненты системы безопасности Windows 2000 Средства шифрования Аутентификация ( Kerberos) Управление доступом к объектам Инфраструктура открытых ключей Шифрующая файловая система Смарт-карты Secure Channel Служба удаленного доступа IP Security
  • 4. Службы аутентификации
  • 5. Общие принципы
    • Прежде чем допустить пользователя к ресурсам система должна его идентифицировать
      • Учетная запись
        • Имя пользователя
        • Пароль пользователя
    • Локальная регистрация на рабочей станции
      • Протокол NTLM
    • Регистрация в домене Active Directory
      • Протокол Kerberos v5 rev6
  • 6. Архитектура SSPI LSA Kerberos SSP Schannel SSP NTLM SSP Negotiate Kerberos package MSV1_0 SSP Winlogon GINA Third- party SSP Third-party package Приложение
  • 7. Контроль доступа
  • 8. Субъект
    • Привилегии
      • Возможность выполнять ту или иную операцию на данном компьютере
        • Ассоциированы с пользователем
    • Права
      • Запреты и разрешения на выполнение тех или иных действий с объектом
        • Ассоциированы с объектом
    • Пользователь
      • Однозначно определяется своей учетной записью в каталоге
      • Security Identifier ( SID) пользователя
  • 9. Маркер доступа
    • Маркер доступа субъекта
      • Формируется для каждого субъекта
        • Ассоциируется с каждым потоком, исполняемым от имени пользователя
      • Важнейшие компоненты
        • SID пользователя
        • SID- ы всех групп, в которые пользователь входит
        • Установленные на данном компьютере привилегии пользователю и группам, в которые он входит
  • 10. Объект
    • Объекты файловой системы
      • Файлы
      • Папки
    • Объекты каталога Active Directory
      • Пользователи
      • Компьютеры
      • Принтеры
      • Контейнеры
    • Свойства объекта определяются набором атрибутов
  • 11. Дескриптор безопасности объекта
    • Discretionary Access Control List, DACL
      • Список запретов и разрешений , установленных для данного объекта
    • System Access Control List, S ACL
      • Список назначений аудита
    • Access Control Entry, ACE
      • Каждая ACE содержит назначение прав для конкретного SID
      • ACL объекта Active Directory может содержать строки ACE, назначенные отдельным атрибутам
  • 12. Наследование
    • Формирование ACL объекта в иерархии
      • Явные назначения
      • Наследование с верхних уровней
    • Статический механизм наследования
    • Делегирование полномочий
    OU 12 OU 1 ACL1 ACL1 ACL2 ACL3
  • 13. Проверка прав Унаследованные строки Явные назначения SID 65 SID 141 SID 172 SID 199 Пользователь Объект Access Denied  Deny SID 278 _WX Deny SID 39 R_X Allow SID 278 R__ Allow SID 141 R _ X Deny SID 199 _W_ Allow SID 65 RW_ READ WRITE
  • 14. Средства шифрования
  • 15. CSP и CryptoAPI
    • CryptoAPI
      • Программные интерфейсы к криптографическим службам Windows 2000
    • Cryptographic Service Provider
      • Криптографические операции
      • Генерация и хранение ключей
    • Microsoft CSPs
      • Базовый набор
      • High Encryption Pack
  • 16. CSP и CryptoAPI CSP #1 Advapi32.dll Crypt32.dll Приложение A CSP #2 CSP #3 CSP #4 Приложение A Приложение A Слой приложений Системный слой Слой поставщиков CryptoAPI CryptoSPI
  • 17. Встроенные CSP
    • Стандартные криптопровайдеры
      • Microsoft Base CSP
      • Microsoft DSS CSP
      • Microsoft DSS and Diffie-Hellman CSP
      • Microsoft DSS and Diffie-Hellman/Schannel CSP
      • Microsoft RSA/Schannel CSP
      • Schlumberger CSP
      • GemPlus CSP
    • High Encryption Pack
      • Microsoft Strong CSP
      • Microsoft Enhanced CSP
  • 18. Алгоритмы
    • Симметричное шифрование
      • Data Encryption Standard (DES)
        • DES : 56 бит
        • DESX: 128 бит
        • Triple DES : 112 бит, 168 бит
      • Rivest’s Cipher (RC)
        • RC2, RC4 : 40 бит, 56 бит, 128 бит
    • Обмен ключами
      • Diffie-Hellman Key Agreement
      • RSA Key Exchange
  • 19. Алгоритмы
    • Хеширование
      • Message Digest (MD)
        • MD2, MD4, MD5
      • Secure Hash Algorithm (SHA -1 )
      • Hashed Message Authentication Code (HMAC)
    • Цифровая подпись
      • Digital Signature Algorithm (DSA)
      • RSA Digital Signature
  • 20. Разработка CSP
    • Создание и тестирование модуля CSP с помощью Microsoft Cryptographic Service Provider Developer’s Kit (CryptoSDK)
      • http://msdn.microsoft.com/downloads/
        • Раздел “Security”
    • Цифровая подпись Microsoft
      • Модуль c описанием нужно передать Microsoft
      • Процесс подписи занимает 1 – 2 рабочих дня
  • 21. Инфраструктура открытых ключей
  • 22. Сертификат
    • Цифровое удостоверение
      • Стандарт X.509 версия 3
    • Информация, однозначно идентифицирующая субъекта
      • Его открытый ключ
        • Допустимые режимы использования
    • Информация, необходимая для проверки сертификата
      • Срок действия сертификата
      • Информация о службе, выдавшей сертификат
    • Цифровая подпись CA
  • 23. Microsoft Certificate Services
    • Certification Authority
      • Выдача сертификатов клиентам
        • Генерация ключей, если нужно
      • Отзыв сертификатов
        • Публикация Certificate Revocation List
      • Хранение истории всех выданных сертификатов
    • Web Enrollment Support
      • Запрос и получение сертификата через Web- интерфейс
  • 24. Архитектура CA Certificate Services Exit Module Entry Module Certificate Templates Policy Module Protected Store CSP Личные ключи Открытые ключи Certificate Database Запросы PKCS10 Сертификаты CRL
  • 25. Microsoft CA
    • Enterprise CA
      • Интегрирован с Active Directory
      • Выдает сертификаты только объектам, имеющим учетные записи в каталоге
      • Использует шаблоны сертификатов
    • Stand-Alone CA
      • Не зависит от Active Directory
      • Может использоваться в качестве независимого центра сертификации для любых объектов
  • 26. Иерархия CA Intermediate CA Issuing CA Issuing CA Issuing CA Certification Path Root CA Sub CA 4 Sub CA 1 Sub CA 2 Root CA Root CA Sub CA 2 Sub CA 3 User Sub CA 3
  • 27. Проверка сертификата  Root CA Sub CA 2 Sub CA 3 User Сертификат разрешено использовать в данном режиме. Тип сертификата Сертификат действителен в данный момент. Срок действия Цифровая подпись CA, выдавшего сертификат, верна. Целостность Сертификат не был отозван. Легитимность Сертификат корневого CA присутствует в хранилище Trusted Root Certification Authorities . Доверие Списки CTL не запрещают использование сертификата для данной задачи. Запреты
  • 28. Службы, базирующиеся на Windows 2000 PKI
  • 29. Secure Channel
    • “ Microsoft Unified Security Support Provider”
      • Secure Sockets Layer (SSL) 3.0
      • SSL 2.0
      • Transport Layer Security (TLS) 1.0
      • Private Communication Technology (PCT) 1.0
    • Аутентификация и защита данных при связи через публичные сети
    • TLS - основной (рекомендуемый) протокол
      • Модернизация протокола SSL
  • 30. Концепции SSL/TLS
    • При установлении защищенного сеанса участники
      • Договариваются, какие криптографические алгоритмы будут использоваться в рамках сеанса
        • RSA – при обмене ключами
        • RC4 – для шифрования данных
        • SHA и MD5 – для хеширования
      • Взаимно аутентифицируют друг друга с помощью сертификатов
      • Вырабатывают ключи для шифрования и хеширования
  • 31. Смарт-карты
    • Микрочип, интегрированный в пластиковую карточку
      • Сертификат пользователя
      • Личный ключ пользователя
    • Идентификация владельца
      • Персональный идентификационный номер ( PIN)
    • Поддержка Smart Cards в Windows 2000
      • Gemplus
      • Schlumberger
  • 32. Аутентификация
    • Сертификат вместо пароля
      • Надежность аутентификации Kerberos зависит от качества паролей
    • PKINIT
      • Расширение Kerberos для интерактивной аутентификации с помощью Smart Card
    • Соответствие сертификата учетной записи домена
      • SSL/TLS, EAP-TLS
      • Возможна аутентификация пользователей, не имеющих учетных записей в домене
  • 33. Шифрующая файловая система ( EFS)
    • Шифрование данных, на уровне файловых операций NTFS
    • Прозрачный доступ к зашифрованным данным из приложений
    • Возможность восстановления зашифрованных данных
      • Emergency Data Recovery Policy
  • 34. Архитектура EFS Вызовы File System Run-Time Library (FSRTL) I/O Manager EFS.SYS Win32 subsystem User mode Kernel mode NTFS CryptoAPI Взаимодействие через LPC EFS Service
  • 35. Безопасность IP (IPSec)
    • Защита данных на уровне сетевых пакетов
      • Прозрачно для приложений
    • Два уровня защиты
      • Обеспечение целостности пакета
        • Authentication Header (AH)
      • Шифрование данных, передаваемых в пакете
        • Encapsulating Security Payload (ESP)
    • Возможность туннелирования
      • Защищенный канал между маршрутизаторами удаленных подсетей
  • 36. Процессы IPSec IKE IPSec Driver IPSec Filter IPSecPolicy IPSec Driver IPSec Filter IKE Инициация переговоров Переговоры и генерация SA IPSecPolicy Защищенные пакеты SA SA
  • 37. Система безопасности Windows 2000
    • Защита на всех уровнях
      • Аутентификация
      • Контроль доступа к ресурсам
      • Конфиденциальность данных в хранилище
      • Конфиденциальность и целостность коммуникаций
    • Модульность и возможность расширения
      • Подключение модулей шифрования CSP
      • Собственные механизмы аутентификации
  • 38. Ответы Вопросы ?

×