1 Защита информации средствами Windows 2000 Лепихин В. Б. УЦ «Информзащита»
2 Система безопасности Аутентификация пользователей Разграничение доступа к ресурсам Права и привилегии пользователей Делегирование административных полномочий Аудит событий, происходящих в системе Защита информации Шифрование данных Цифровые подписи Защита от атак
3 Аутентификация Прежде чем допустить пользователя к ресурсам система должна его идентифицировать Учетная запись Имя пользователя Пароль пользователя Локальная регистрация на рабочей станции Протокол NTLM Регистрация в домене Active Directory Протокол Kerberos v5 rev6
4 Службы Kerberos Key Distribution Center (KDC) Authentication Service (AS) Интерактивная регистрация пользователя в домене Билет Ticket-Grant Ticket (TGT) Персональное удостоверение пользователя Ticket Granting Service (TGS) Неинтерактивная регистрация пользователя при обращении к ресурсам домена Билет Service Ticket Персональный пропуск пользователя на сервер, управляющий ресурсами
5 Возможности Kerberos Транзитивные доверительные отношения между доменами Inter-Realm Key для каждой пары доверяющих доменов Пошаговое движение клиента по дереву до KDC искомого домена Делегирование Ограниченная имперсонация Полная имперсонация Аутентификация в домене с помощью Smart-Card Расширение Kerberos PKINIT
6 Контроль доступа к объектам
7 Субъект Привилегии Возможность выполнять ту или иную операцию на данном компьютере Ассоциированы с пользователем Права Запреты и разрешения на выполнение тех или иных действий с объектом Ассоциированы с объектом Пользователь Однозначно определяется своей учетной записью в каталоге Security Identifier (SID) пользователя
8 Маркер доступа Маркер доступа субъекта Формируется для каждого субъекта Ассоциируется с каждым потоком, исполняемым от имени пользователя Важнейшие компоненты SID пользователя SID-ы всех групп, в которые пользователь входит Установленные на данном компьютере привилегии пользователю и группам, в которые он входит
9 Объект Объекты файловой системы Файлы Папки Объекты каталога Active Directory Пользователи Компьютеры Принтеры Контейнеры Свойства объекта определяются набором атрибутов
10 Дескриптор безопасности объекта Discretionary Access Control List, DACL Список запретов и разрешений, установленных для данного объекта System Access Control List, SACL Список назначений аудита Access Control Entry, ACE Каждая ACE содержит назначение прав для конкретного SID ACL объекта Active Directory может содержать строки ACE, назначенные отдельным атрибутам
11 OU 2 Наследование Формирование ACL объекта в иерархии Явные назначения Наследование с верхних уровней Статический механизм наследования Делегирование полномочий OU 1 ACL1 ACL1 ACL2 ACL3
12 Эффективные права Порядок следования строк ACE в финальном списке Явные запреты Явные разрешения Унаследованные запреты Унаследованные разрешения Проверка прав выполняется в порядке следования строк ACE До первого появления запрета на какую- либо операцию До явного разрешения всех запрошенных операций
13 Проверка прав Deny SID 278 _WX Deny SID 39 R_X Allow SID 278 R__ Allow SID 141 R_XR_XR_XR_X Deny SID 199 _W_ Allow SID 65 RW_ Унаследованные строки Явные назначения SID 65 SID 141 SID 172 SID 199 Пользователь Объект READ WRITE Access Denied
14 Инфраструктура открытого ключа
15 Концепции PKI Методы шифрования Симметричное шифрование Шифрование потоков данных с помощью сеансового ключа, известного обоим участникам Шифрование с открытым ключом Обмен сеансовым ключом при установлении защищенного канала Цифровая подпись Инфраструктура открытого ключа Цифровые сертификаты открытых ключей Службы управления сертификатами
16 CSP и CryptoAPI CryptoAPI Программные интерфейсы к криптографическим службам Windows 2000 Cryptographic Service Provider Криптографические операции Генерация и хранение ключей Microsoft CSPs Базовый набор High Encryption Pack
17 Алгоритмы Симметричное шифрование Data Encryption Standard (DES) DES-CBC, Triple DES, DESX Rivests Cipher (RC) RC2, RC4 Обмен ключами Diffie-Hellman Key Agreement RSA Key Exchange Хеширование Message Digest (MD) MD2, MD4, MD5 Secure Hash Algorithm (SHA) Hashed Message Authentication Code (HMAC)
18 Цифровая подпись Digital Signature Algorithm (DSA) RSA Digital Signature Digest Алгоритм дешифрования Личный ключ Алгоритм (#Xl; (#Xl; Digest Открытый ключ HashHash
19 Сертификат Цифровое удостоверение Стандарт X.509 версия 3 Информация, однозначно идентифицирующая субъекта Его открытый ключ Допустимые режимы использования Информация, необходимая для проверки сертификата Срок действия сертификата Информация о службе, выдавшей сертификат Цифровая подпись CA
20 Microsoft Certificate Services Certification Authority Выдача сертификатов клиентам Генерация ключей, если нужно Отзыв сертификатов Публикация Certificate Revocation List Хранение истории всех выданных сертификатов Web Enrollment Support Запрос и получение сертификата через Web-интерфейс
21 Microsoft CA Enterprise CA Интегрирован с Active Directory Выдает сертификаты только объектам, имеющим учетные записи в каталоге Использует шаблоны сертификатов Stand-Alone CA Не зависит от Active Directory Может использоваться в качестве независимого центра сертификации для любых объектов
22 Иерархия CA Root CASub CA 4Sub CA 1Sub CA 2 Intermediate CAIssuing CA Root CA Sub CA 2 Sub CA 3 User Sub CA 3 Issuing CA Certification Path
23 CRL Certificate Revocation List Список отозванных сертификатов Должен публиковаться и регулярно обновляться каждым CA Active Directory Web Файловая система Сертификат содержит список узлов публикации CRL
24 Хранилища сертификатов Физические хранилища Active Directory Реестр операционной системы клиента Файловая система Логические хранилища Personal Trusted Root Certification Authorities Enterprise Trust Certificate Trust List (CTL) Intermediate Certification Authorities Active Directory User Object Software Publishers Certificate
25 Проверка сертификата Root CA Sub CA 2 Sub CA 3 User Сертификат разрешено использовать в данном режиме. Тип сертификата Сертификат действителен в данный момент. Срок действия Цифровая подпись CA, выдавшего сертификат, верна. Целостность Сертификат не был отозван. Легитимность Сертификат корневого CA присутствует в хранилище Trusted Root Certification Authorities. Доверие Списки CTL не запрещают использование сертификата для данной задачи. Запреты
26 Шифрующая файловая система (EFS)
27 Концепции EFS Шифрование данных, на уровне файловых операций NTFS Прозрачный доступ к зашифрованным данным из приложений Возможность восстановления зашифрованных данных Emergency Data Recovery Policy
28 Архитектура EFS Вызовы File System Run-Time Library (FSRTL) I/O Manager EFS.SYSEFS.SYS Win32 subsystem User mode Kernel mode NTFS CryptoAPI Взаимодействие через LPC EFS Service
*(;lxdg;o )J)Г(?л* Щ)(&(*(# Xlk;oD; Шифрование файла DRF DDF Создание Data Recovery Field (RSA) Создание Data Decryption Field (RSA) Шифрование данных (DESX) CryptoAPI...Совершенно секретно! Всем участникам... Открытый ключ пользователя File Encryption Key (FEK) – собственный у каждого файла Открытый ключ агента восстановления
30 Расшифровка файла *(;lxdg;o )J)Г(?л* Щ)(&(*(# Xlk;oD; DDF Извлечение FEK (RSA) Расшифровка данных (DESX)...Совершенно секретно! Всем участникам... Личный ключ агента восстановления Личный ключ пользователя File Encryption Key
31 Особенности EFS Работает только при наличии хотя бы одного агента восстановления Нельзя зашифровать Системные файлы Сжатые файлы За пределы области влияния EFS файл передается в открытом виде Локальная сеть Другие носители и файловые системы Исключение: Windows 2000 Backup
32 Защита коммуникаций
33 Secure Channel Microsoft Unified Security Support Provider Secure Sockets Layer (SSL) 3.0 SSL 2.0 Transport Layer Security (TLS) 1.0 Private Communication Technology (PCT) 1.0 Аутентификация и защита данных при связи через публичные сети TLS - основной (рекомендуемый) протокол Модернизация протокола SSL
34 Концепции SSL/TLS При установлении защищенного сеанса участники Договариваются, какие криптографические алгоритмы будут использоваться в рамках сеанса RSA – при обмене ключами RC4 – для шифрования данных SHA и MD5 – для хеширования Взаимно аутентифицируют друг друга с помощью сертификатов Генерируют ключи для шифрования и хеширования
35 Алгоритм SSL/TLS Client Hello (32bytes) Client Random Server Resp. (32bytes) Server Random Client Resp. (48bytes) Pre-Master Secret Сервер Клиент Открытый ключ сервера Личный ключ сервера
36 Применение SSL/TLS Протоколы Secure Channel работают на уровне Application (OSI) Приложение должно явно поддерживать протоколы SSL/TLS Internet Information Services Internet Explorer Windows 2000 обеспечивает полную функциональность Schannel SSP Крипто-провайдеры Microsoft RSA/Schannel CSP Microsoft DSS and Diffie-Hellman/Schannel CSP
37 Remote Access Service Защищенное подключение удаленного клиента по PPP Два уровня аутентификации Аутентификация PPP PAP, SPAP CHAP, MS-CHAP v1, MS-CHAP v2 EAP-TLS, EAP-MD5 Аутентификация в домене Internet Authentication Service RADIUS Шифрование Microsoft Point-to-Point Encryption (MPPE)
38 Интернет Виртуальные сети Защищенное подключение клиента к серверу удаленного доступа через виртуальный туннель, созданный в открытой сети Инкапсуляция и шифрование сетевых пакетов L2TP PPTP
39 Туннельные протоколы Point-to-Point Tunneling Protocol (PPTP) Generic Routing Encapsulation (GRE) Шифрование Модификация протокола MPPE Layer 2 Tunneling Protocol (L2TP) Комбинация PPTP и L2F (CISCO) IP Security Аутентификация Шифрование
40 IP Security (IPSec)
41 Концепции IPSec Защита данных на уровне сетевых пакетов Прозрачно для приложений Два уровня защиты Обеспечение целостности пакета Шифрование данных, передаваемых в пакете Возможность туннелирования Защищенный канал между маршрутизаторами удаленных подсетей
42 Протоколы IPSec Authentication Header (AH) Подписывает неизменяемую часть заголовка и данные IP-пакета HMAC MD5 HMAC SHA Не производит шифрования данных IP Header AH Header Level 4 Header Data Контрольная сумма AH
43 Протоколы IPSec Encapsulating Security Payload (ESP) Зашифровывает весь пакет, за исключением заголовков IP и ESP DES-CBC Triple-DES Подписывает зашифрованные данные вместе со своим заголовком IP Header ESP Header ESP Trailer Data Контрольная сумма ESP Level 4 Header Зашифровано
44 Компоненты IPSec IPSec Driver Обрабатывает пакеты IPSec Filter Указывает, какие пакеты и как нужно обрабатывать IPSec Policy Определяет параметры IP Security для компьютеров Internet Key Exchange (IKE) Организует переговоры между хостами ISAKMP/Oakley
45 Процессы IPSec IKE IPSec Driver IPSec Filter IPSec Policy IPSec Driver IPSec Filter IKE Инициация переговоров Переговоры и генерация SA IPSec Policy SA Защищенные пакеты
46 Переговоры IKE Фаза 1 Предварительные переговоры Взаимная аутентификация машин Kerberos (в рамках домена/леса) Сертификаты Заданный ключ (для тестовых задач) Фаза 2 Создание Security Associations SA = {алгоритм, ключ} Для каждого протокола -собственная пара SA SA1 – для исходящих пакетов SA2 – для входящих пакетов
47 Ответы