Быстрый переход к готовым работам
|
Анализ возможностей системы разграничения доступа Windows 2000 Server
Windows 2000 Server дает много инструментальных средств, для слежения за
сетевой деятельностью и использованием сети. ОС позволяет просмотреть, какие ресурсы используются на данный момент;
видеть пользователей, подключенных к настоящему времени к серверу и увидеть,
какие файлы у них открыты; проверять данные в журнале безопасности; записи в журнале
событий. Модель безопасности Windows 2000 основана на понятиях аутентификации и авторизации. При аутентификации проверяются идентификационные данные пользователя, а при авторизации – наличие у него прав доступа к ресурсам компьютера или сети. В Windows 2000 также имеются технологии шифрования, которые защищают конфиденциальные данные на диске и в сети: например, EFS (Encrypting File System) – технология открытого ключа. Аутентификация Регистрируясь на компьютере для получения доступа к ресурсам локального компьютера или сети, пользователь должен ввести свое имя и пароль. В Windows 2000 возможна единая регистрация для доступа ко всем сетевым ресурсам. Таким образом, пользователь может войти в систему с клиентского компьютера по единому паролю или смарт – карте и получить доступ к другим компьютерам домена без повторного ввода идентификационных данных. Главный протокол безопасности в доменах Windows 2000 – NTLM. Используя Windows 2000 в сети с активным каталогом (Active Directory), можно управлять безопасностью регистрации с помощью параметров политики групп, например, ограничивать доступ к компьютерам и принудительно завершать сеансы работы пользователей спустя заданное время. Можно применять предварительно сконфигурированные шаблоны безопасности, соответствующие требованиям к безопасности данной рабочей станции или сети. Шаблоны представляют собой файлы с предварительно сконфигурированными параметрами безопасности, которые можно применять на локальном компьютере или импортировать в групповые политики активного каталога. Эти шаблоны используются в неизменном виде или настраиваются для определенных нужд. Авторизация Авторизация позволяет контролировать доступ пользователей к ресурсам. Применение списков управления доступом (access control list, ACL) и прав доступа NTFS гарантирует, что пользователь получит доступ только к нужным ему ресурсам, например, к файлам, дискам (в том числе сетевым), принтерам и приложениям. С помощью групп безопасности, прав пользователей и прав доступа можно одновременно управлять безопасностью, как на уровне ресурсов, так и на уровне фалов, папок и прав отдельных пользователей. Группы безопасности Среди групп
безопасности, локальных для домена и компьютера, имеется ряд предварительно
сконфигурированных групп, в которые можно включать пользователей. Администраторы (Administrators) обладают полным контролем над локальным компьютером и правами на совершение любых действий. При установке Windows 2000 Server для этой группы создается и назначается встроенная учетная запись Администратор. Опытные пользователи (Power Users) обладают правами на чтение и запись файлов не только в личных папках, но и за их пределами. Они могут устанавливать приложения и выполнять многие административные действия. Пользователи (Users) в отношении большей части системы имеют только право на чтение. У них есть право на чтение и запись только файлов их личных папок. Пользователи не могут читать данные других пользователей (если они не находятся в общей папке), устанавливать приложения, требующие модификации системных каталогов или реестра, и выполнять административные действия. Гости (Guests) могут регистрироваться по встроенной учетной записи Guest и выполнять ограниченный набор действий, в том числе выключать компьютер. Учетные записи пользователей Учетная запись содержит
информацию о пользователе, включающую имя, пароль и ограничения по
использованию сети, налагаемые на него. Имеется возможность также сгруппировать
пользователей, которые имеют аналогичные
ресурсы, в группы; группы облегчают предоставление прав и разрешений на
ресурсы, достаточно сделать только одно действие, дающее права или разрешения
всей группе. На таблице 3 показано содержание
учетной записи пользователя (приложение[8]). Журнал событий безопасности Windows 2000 Server позволяет определить, что войдет в ревизию и
будет записано в журнал событий безопасности всякий раз, когда выполняются
определенные действия или осуществляется доступ к файлам. Элемент ревизии показывает
выполненное действие, пользователя, который выполнил его, а также дату и время
действия. Это позволяет контролировать как успешные, так и неудачные попытки
каких-либо действий. Журнал событий безопасности для условий фирмы является обязательным, так
как в случае попытки взлома сети можно будет отследить источник. Политика групп Параметры политики групп позволяют назначать ресурсам права доступа, а также предоставлять права доступа пользователям. Это нужно для того, чтобы требовать запуска определенных приложений только в заданном контексте безопасности (тем самым, снижая риск воздействия на компьютер нежелательных приложений, например, вирусов) и конфигурировать различные права доступа множества клиентских компьютеров. Функции аудита позволяют обнаруживать попытки отключить или обойти защиту ресурсов. Шифрование Windows 2000 предоставляет возможность еще больше защитить зашифрованные файлы и папки на томах NTFS, благодаря использованию шифрованной файловой системы EFS (Encrypting File System). При работе в среде Windows 2000 можно работать только с теми томами, на которые есть права доступа. В файловых системах, в которых не используется шифрование, можно получить доступ ко всем файлам, хранящимся на диске, так как на пользователя в этом случае не распространяются ограничения доступа, сведения о которых содержатся в специальных списках контроля доступа. Любой пользователь, который захочет получить доступ к определенному файлу, должен обладать личным ключом, с помощью которого данные файла будут расшифровываться. При использовании шифрованной файловой системы следует учесть что:
Также существует и более надежное средство защиты от несанкционированного доступа к информации, чем методы аутентификации и шифрования, это биометрия, eToken, смарт-карты. Варианты использования биометрии весьма разнообразны: аутентификация, в зависимости от системы, производится по геометрии руки и лица, радужной оболочке и сетчатке глаза, клавиатурному подчерку и подписи. Активно ведутся разработки и в области голосовой аутентификации. Антивирусные программы Антивирусные программы, такие как DrWeb, Antiviral Tolkit Pro(AVP), ADInf, являются не менее важной защитой компьютерной информации от вирусов. |
|