Модель системы безопасности Windows 2000

 

Внедрение системы безопасности в рабочую среду организации предоставляет несколько важных преимуществ.

Во-первых, система безопасности подтверждает подлинность лиц, пытающихся получить доступ к ресурсам рабочей среды. Это предотвращает доступ, кражу или повреждение злоумышленниками таких ресурсов системы, как важные данные или программы, сохранность которых имеет большое значение для правильной работы системы.

Во-вторых, система безопасности защищает конкретные ресурсы среды от несанкционированного доступа пользователей. Например, внедряя безопасность системы, можно разрешить доступ к сведениям о зарплате сотрудника только для управляющего звена организации.

В-третьих, система безопасности дает возможность просто и эффективно настраивать безопасность рабочей среды и управлять ею. Например, можно настроить политики паролей, применяемые ко всем пользователям в рабочей среде.

Для выполнения поставленных задач в Windows 2000 имеются следующие возможности:

централизованное хранение политики безопасности и сведений об учетных записях;

автоматическое обновление и синхронизация политики безопасности и сведений об учетных записях между контроллерами домена;

управление доступом к объектам на основе свойств;

транзитивные доверительные отношения между доменами;

механизмы проверки подлинности внутренних и внешних пользователей, включая пользователей Windows NT 4.0;

общие средства администрирования для управления доступом и сведениями об учетных записях;

поддержка смарт-карт для безопасного хранения учетных данных пользователя;

шифрование данных при передаче по сети или сохранении на диске.

Модель безопасности

Основными возможностями модели безопасности Windows 2000 являются проверка подлинности пользователя и управление доступом. Для простого и эффективного управления администраторами этими возможностями в Windows 2000 используется Active Directory.

Active Directory является реализацией основанных на стандартах Интернета протоколов именования и каталога. Active Directory использует СУБД для поддержки обмена транзактными сообщениями и поддерживает множество стандартов интерфейсов программирования.

Схема Active Directory представляет собой ряд определений, описывающих виды объектов и типы данных объектов, которые могут храниться в каталоге Active Directory. Эти определения хранятся как объекты, которыми Active Directory может управлять с помощью операций управления объектами, применяемых для остальных объектов в каталоге.

Каталог представляет собой иерархическую структуру, которая хранит сведения об объектах в сети. Служба каталога (Active Directory) предоставляет способы хранения данных каталога и обеспечения доступа к этим данным сетевым пользователям и администраторам. Active Directory хранит сведения об учетных записях пользователей, такие как имена, пароли, номера телефонов и тому подобные сведения, и позволяет другим пользователям той же сети, прошедшим проверку, получать доступ к этим сведениям.

Active Directory представляет безопасное хранилище сведений об учетных записях пользователей и групп с помощью управления доступом к объектам и учетным данным пользователя. Поскольку в Active Directory хранятся не только учетные данные пользователя, но также и сведения управления доступом, при входе пользователя в сеть осуществляется и проверка его подлинности, и авторизация для доступа к ресурсам системы.

При входе пользователя в сеть система безопасности Windows 2000 проверят подлинность сведений о пользователе, хранящихся в Active Directory. Затем при попытке доступа пользователя к службам по сети система проверяет свойства, определенные в избирательной таблице управления доступом (DACL) для данной службы.

Возможность Active Directory создавать учетные записи групп позволяет администраторам более эффективно управлять безопасностью системы. Например, скорректировав свойства файла, администратор может разрешить всем пользователям группы чтение данного файла. В этом случае доступ к объектам Active Directory осуществляется на основе членства в группах.

 

Проверка подлинности пользователя

Модель безопасности Windows 2000 включает основное понятие проверки подлинности, дающее возможность пользователям входить в систему для доступа к сетевым ресурсам. В модели проверки подлинности системы безопасности имеются два типа проверки подлинности.

Интерактивный вход подтверждает соответствие пользователя учетной записи Active Directory или локального компьютера.

Определение подлинности сети служит для подтверждения подлинности пользователя любым сетевым ресурсам, к которым пытается обратиться этот пользователь. Для обеспечения этого типа проверки подлинности в системе безопасности Windows 2000 есть три различных механизма: Kerberos V5, сертификаты открытого ключа и NTLM (для совместимости с системами Windows NT 4.0).








Дата добавления: 2017-11-04; просмотров: 300;


Поиск по сайту:

При помощи поиска вы сможете найти нужную вам информацию.

Поделитесь с друзьями:

Если вам перенёс пользу информационный материал, или помог в учебе – поделитесь этим сайтом с друзьями и знакомыми.
helpiks.org - Хелпикс.Орг - 2014-2024 год. Материал сайта представляется для ознакомительного и учебного использования. | Поддержка
Генерация страницы за: 0.005 сек.