Dv w2k-sec-concepts

637 views

Published on

Концепции обеспечения безопасности в Microsoft Windows 2000

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
637
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Dv w2k-sec-concepts

  1. 1. Концепции обеспечения безопасности в Microsoft Windows 2000
  2. 2. Главные задачи <ul><li>Аутентификация пользователей </li></ul><ul><li>Авторизация доступа к ресурсам </li></ul><ul><li>Конфиденциальность информации </li></ul><ul><li>Целостность информации </li></ul><ul><li>Невозможность отказа от совершенных действий </li></ul>
  3. 3. Компоненты системы безопасности Windows 2000 Средства шифрования Аутентификация ( Kerberos) Управление доступом к объектам Инфраструктура открытых ключей Шифрующая файловая система Смарт-карты Secure Channel Служба удаленного доступа IP Security
  4. 4. Службы аутентификации
  5. 5. Общие принципы <ul><li>Прежде чем допустить пользователя к ресурсам система должна его идентифицировать </li></ul><ul><ul><li>Учетная запись </li></ul></ul><ul><ul><ul><li>Имя пользователя </li></ul></ul></ul><ul><ul><ul><li>Пароль пользователя </li></ul></ul></ul><ul><li>Локальная регистрация на рабочей станции </li></ul><ul><ul><li>Протокол NTLM </li></ul></ul><ul><li>Регистрация в домене Active Directory </li></ul><ul><ul><li>Протокол Kerberos v5 rev6 </li></ul></ul>
  6. 6. Архитектура SSPI LSA Kerberos SSP Schannel SSP NTLM SSP Negotiate Kerberos package MSV1_0 SSP Winlogon GINA Third- party SSP Third-party package Приложение
  7. 7. Контроль доступа
  8. 8. Субъект <ul><li>Привилегии </li></ul><ul><ul><li>Возможность выполнять ту или иную операцию на данном компьютере </li></ul></ul><ul><ul><ul><li>Ассоциированы с пользователем </li></ul></ul></ul><ul><li>Права </li></ul><ul><ul><li>Запреты и разрешения на выполнение тех или иных действий с объектом </li></ul></ul><ul><ul><ul><li>Ассоциированы с объектом </li></ul></ul></ul><ul><li>Пользователь </li></ul><ul><ul><li>Однозначно определяется своей учетной записью в каталоге </li></ul></ul><ul><ul><li>Security Identifier ( SID) пользователя </li></ul></ul>
  9. 9. Маркер доступа <ul><li>Маркер доступа субъекта </li></ul><ul><ul><li>Формируется для каждого субъекта </li></ul></ul><ul><ul><ul><li>Ассоциируется с каждым потоком, исполняемым от имени пользователя </li></ul></ul></ul><ul><ul><li>Важнейшие компоненты </li></ul></ul><ul><ul><ul><li>SID пользователя </li></ul></ul></ul><ul><ul><ul><li>SID- ы всех групп, в которые пользователь входит </li></ul></ul></ul><ul><ul><ul><li>Установленные на данном компьютере привилегии пользователю и группам, в которые он входит </li></ul></ul></ul>
  10. 10. Объект <ul><li>Объекты файловой системы </li></ul><ul><ul><li>Файлы </li></ul></ul><ul><ul><li>Папки </li></ul></ul><ul><li>Объекты каталога Active Directory </li></ul><ul><ul><li>Пользователи </li></ul></ul><ul><ul><li>Компьютеры </li></ul></ul><ul><ul><li>Принтеры </li></ul></ul><ul><ul><li>Контейнеры </li></ul></ul><ul><li>Свойства объекта определяются набором атрибутов </li></ul>
  11. 11. Дескриптор безопасности объекта <ul><li>Discretionary Access Control List, DACL </li></ul><ul><ul><li>Список запретов и разрешений , установленных для данного объекта </li></ul></ul><ul><li>System Access Control List, S ACL </li></ul><ul><ul><li>Список назначений аудита </li></ul></ul><ul><li>Access Control Entry, ACE </li></ul><ul><ul><li>Каждая ACE содержит назначение прав для конкретного SID </li></ul></ul><ul><ul><li>ACL объекта Active Directory может содержать строки ACE, назначенные отдельным атрибутам </li></ul></ul>
  12. 12. Наследование <ul><li>Формирование ACL объекта в иерархии </li></ul><ul><ul><li>Явные назначения </li></ul></ul><ul><ul><li>Наследование с верхних уровней </li></ul></ul><ul><li>Статический механизм наследования </li></ul><ul><li>Делегирование полномочий </li></ul>OU 12 OU 1 ACL1 ACL1 ACL2 ACL3
  13. 13. Проверка прав Унаследованные строки Явные назначения SID 65 SID 141 SID 172 SID 199 Пользователь Объект Access Denied  Deny SID 278 _WX Deny SID 39 R_X Allow SID 278 R__ Allow SID 141 R _ X Deny SID 199 _W_ Allow SID 65 RW_ READ WRITE
  14. 14. Средства шифрования
  15. 15. CSP и CryptoAPI <ul><li>CryptoAPI </li></ul><ul><ul><li>Программные интерфейсы к криптографическим службам Windows 2000 </li></ul></ul><ul><li>Cryptographic Service Provider </li></ul><ul><ul><li>Криптографические операции </li></ul></ul><ul><ul><li>Генерация и хранение ключей </li></ul></ul><ul><li>Microsoft CSPs </li></ul><ul><ul><li>Базовый набор </li></ul></ul><ul><ul><li>High Encryption Pack </li></ul></ul>
  16. 16. CSP и CryptoAPI CSP #1 Advapi32.dll Crypt32.dll Приложение A CSP #2 CSP #3 CSP #4 Приложение A Приложение A Слой приложений Системный слой Слой поставщиков CryptoAPI CryptoSPI
  17. 17. Встроенные CSP <ul><li>Стандартные криптопровайдеры </li></ul><ul><ul><li>Microsoft Base CSP </li></ul></ul><ul><ul><li>Microsoft DSS CSP </li></ul></ul><ul><ul><li>Microsoft DSS and Diffie-Hellman CSP </li></ul></ul><ul><ul><li>Microsoft DSS and Diffie-Hellman/Schannel CSP </li></ul></ul><ul><ul><li>Microsoft RSA/Schannel CSP </li></ul></ul><ul><ul><li>Schlumberger CSP </li></ul></ul><ul><ul><li>GemPlus CSP </li></ul></ul><ul><li>High Encryption Pack </li></ul><ul><ul><li>Microsoft Strong CSP </li></ul></ul><ul><ul><li>Microsoft Enhanced CSP </li></ul></ul>
  18. 18. Алгоритмы <ul><li>Симметричное шифрование </li></ul><ul><ul><li>Data Encryption Standard (DES) </li></ul></ul><ul><ul><ul><li>DES : 56 бит </li></ul></ul></ul><ul><ul><ul><li>DESX: 128 бит </li></ul></ul></ul><ul><ul><ul><li>Triple DES : 112 бит, 168 бит </li></ul></ul></ul><ul><ul><li>Rivest’s Cipher (RC) </li></ul></ul><ul><ul><ul><li>RC2, RC4 : 40 бит, 56 бит, 128 бит </li></ul></ul></ul><ul><li>Обмен ключами </li></ul><ul><ul><li>Diffie-Hellman Key Agreement </li></ul></ul><ul><ul><li>RSA Key Exchange </li></ul></ul>
  19. 19. Алгоритмы <ul><li>Хеширование </li></ul><ul><ul><li>Message Digest (MD) </li></ul></ul><ul><ul><ul><li>MD2, MD4, MD5 </li></ul></ul></ul><ul><ul><li>Secure Hash Algorithm (SHA -1 ) </li></ul></ul><ul><ul><li>Hashed Message Authentication Code (HMAC) </li></ul></ul><ul><li>Цифровая подпись </li></ul><ul><ul><li>Digital Signature Algorithm (DSA) </li></ul></ul><ul><ul><li>RSA Digital Signature </li></ul></ul>
  20. 20. Разработка CSP <ul><li>Создание и тестирование модуля CSP с помощью Microsoft Cryptographic Service Provider Developer’s Kit (CryptoSDK) </li></ul><ul><ul><li>http://msdn.microsoft.com/downloads/ </li></ul></ul><ul><ul><ul><li>Раздел “Security” </li></ul></ul></ul><ul><li>Цифровая подпись Microsoft </li></ul><ul><ul><li>Модуль c описанием нужно передать Microsoft </li></ul></ul><ul><ul><li>Процесс подписи занимает 1 – 2 рабочих дня </li></ul></ul>
  21. 21. Инфраструктура открытых ключей
  22. 22. Сертификат <ul><li>Цифровое удостоверение </li></ul><ul><ul><li>Стандарт X.509 версия 3 </li></ul></ul><ul><li>Информация, однозначно идентифицирующая субъекта </li></ul><ul><ul><li>Его открытый ключ </li></ul></ul><ul><ul><ul><li>Допустимые режимы использования </li></ul></ul></ul><ul><li>Информация, необходимая для проверки сертификата </li></ul><ul><ul><li>Срок действия сертификата </li></ul></ul><ul><ul><li>Информация о службе, выдавшей сертификат </li></ul></ul><ul><li>Цифровая подпись CA </li></ul>
  23. 23. Microsoft Certificate Services <ul><li>Certification Authority </li></ul><ul><ul><li>Выдача сертификатов клиентам </li></ul></ul><ul><ul><ul><li>Генерация ключей, если нужно </li></ul></ul></ul><ul><ul><li>Отзыв сертификатов </li></ul></ul><ul><ul><ul><li>Публикация Certificate Revocation List </li></ul></ul></ul><ul><ul><li>Хранение истории всех выданных сертификатов </li></ul></ul><ul><li>Web Enrollment Support </li></ul><ul><ul><li>Запрос и получение сертификата через Web- интерфейс </li></ul></ul>
  24. 24. Архитектура CA Certificate Services Exit Module Entry Module Certificate Templates Policy Module Protected Store CSP Личные ключи Открытые ключи Certificate Database Запросы PKCS10 Сертификаты CRL
  25. 25. Microsoft CA <ul><li>Enterprise CA </li></ul><ul><ul><li>Интегрирован с Active Directory </li></ul></ul><ul><ul><li>Выдает сертификаты только объектам, имеющим учетные записи в каталоге </li></ul></ul><ul><ul><li>Использует шаблоны сертификатов </li></ul></ul><ul><li>Stand-Alone CA </li></ul><ul><ul><li>Не зависит от Active Directory </li></ul></ul><ul><ul><li>Может использоваться в качестве независимого центра сертификации для любых объектов </li></ul></ul>
  26. 26. Иерархия CA Intermediate CA Issuing CA Issuing CA Issuing CA Certification Path Root CA Sub CA 4 Sub CA 1 Sub CA 2 Root CA Root CA Sub CA 2 Sub CA 3 User Sub CA 3
  27. 27. Проверка сертификата  Root CA Sub CA 2 Sub CA 3 User Сертификат разрешено использовать в данном режиме. Тип сертификата Сертификат действителен в данный момент. Срок действия Цифровая подпись CA, выдавшего сертификат, верна. Целостность Сертификат не был отозван. Легитимность Сертификат корневого CA присутствует в хранилище Trusted Root Certification Authorities . Доверие Списки CTL не запрещают использование сертификата для данной задачи. Запреты
  28. 28. Службы, базирующиеся на Windows 2000 PKI
  29. 29. Secure Channel <ul><li>“ Microsoft Unified Security Support Provider” </li></ul><ul><ul><li>Secure Sockets Layer (SSL) 3.0 </li></ul></ul><ul><ul><li>SSL 2.0 </li></ul></ul><ul><ul><li>Transport Layer Security (TLS) 1.0 </li></ul></ul><ul><ul><li>Private Communication Technology (PCT) 1.0 </li></ul></ul><ul><li>Аутентификация и защита данных при связи через публичные сети </li></ul><ul><li>TLS - основной (рекомендуемый) протокол </li></ul><ul><ul><li>Модернизация протокола SSL </li></ul></ul>
  30. 30. Концепции SSL/TLS <ul><li>При установлении защищенного сеанса участники </li></ul><ul><ul><li>Договариваются, какие криптографические алгоритмы будут использоваться в рамках сеанса </li></ul></ul><ul><ul><ul><li>RSA – при обмене ключами </li></ul></ul></ul><ul><ul><ul><li>RC4 – для шифрования данных </li></ul></ul></ul><ul><ul><ul><li>SHA и MD5 – для хеширования </li></ul></ul></ul><ul><ul><li>Взаимно аутентифицируют друг друга с помощью сертификатов </li></ul></ul><ul><ul><li>Вырабатывают ключи для шифрования и хеширования </li></ul></ul>
  31. 31. Смарт-карты <ul><li>Микрочип, интегрированный в пластиковую карточку </li></ul><ul><ul><li>Сертификат пользователя </li></ul></ul><ul><ul><li>Личный ключ пользователя </li></ul></ul><ul><li>Идентификация владельца </li></ul><ul><ul><li>Персональный идентификационный номер ( PIN) </li></ul></ul><ul><li>Поддержка Smart Cards в Windows 2000 </li></ul><ul><ul><li>Gemplus </li></ul></ul><ul><ul><li>Schlumberger </li></ul></ul>
  32. 32. Аутентификация <ul><li>Сертификат вместо пароля </li></ul><ul><ul><li>Надежность аутентификации Kerberos зависит от качества паролей </li></ul></ul><ul><li>PKINIT </li></ul><ul><ul><li>Расширение Kerberos для интерактивной аутентификации с помощью Smart Card </li></ul></ul><ul><li>Соответствие сертификата учетной записи домена </li></ul><ul><ul><li>SSL/TLS, EAP-TLS </li></ul></ul><ul><ul><li>Возможна аутентификация пользователей, не имеющих учетных записей в домене </li></ul></ul>
  33. 33. Шифрующая файловая система ( EFS) <ul><li>Шифрование данных, на уровне файловых операций NTFS </li></ul><ul><li>Прозрачный доступ к зашифрованным данным из приложений </li></ul><ul><li>Возможность восстановления зашифрованных данных </li></ul><ul><ul><li>Emergency Data Recovery Policy </li></ul></ul>
  34. 34. Архитектура EFS Вызовы File System Run-Time Library (FSRTL) I/O Manager EFS.SYS Win32 subsystem User mode Kernel mode NTFS CryptoAPI Взаимодействие через LPC EFS Service
  35. 35. Безопасность IP (IPSec) <ul><li>Защита данных на уровне сетевых пакетов </li></ul><ul><ul><li>Прозрачно для приложений </li></ul></ul><ul><li>Два уровня защиты </li></ul><ul><ul><li>Обеспечение целостности пакета </li></ul></ul><ul><ul><ul><li>Authentication Header (AH) </li></ul></ul></ul><ul><ul><li>Шифрование данных, передаваемых в пакете </li></ul></ul><ul><ul><ul><li>Encapsulating Security Payload (ESP) </li></ul></ul></ul><ul><li>Возможность туннелирования </li></ul><ul><ul><li>Защищенный канал между маршрутизаторами удаленных подсетей </li></ul></ul>
  36. 36. Процессы IPSec IKE IPSec Driver IPSec Filter IPSecPolicy IPSec Driver IPSec Filter IKE Инициация переговоров Переговоры и генерация SA IPSecPolicy Защищенные пакеты SA SA
  37. 37. Система безопасности Windows 2000 <ul><li>Защита на всех уровнях </li></ul><ul><ul><li>Аутентификация </li></ul></ul><ul><ul><li>Контроль доступа к ресурсам </li></ul></ul><ul><ul><li>Конфиденциальность данных в хранилище </li></ul></ul><ul><ul><li>Конфиденциальность и целостность коммуникаций </li></ul></ul><ul><li>Модульность и возможность расширения </li></ul><ul><ul><li>Подключение модулей шифрования CSP </li></ul></ul><ul><ul><li>Собственные механизмы аутентификации </li></ul></ul>
  38. 38. Ответы Вопросы ?

×