Службы безопасности Windows NT 5.0

Система безопасности Windows NT 5.0 позволяет реализовать все новые подходы к проверке подлинности пользователя и защиты данных. В ее состав входит:

• полное интегрирование с активным каталогом Windows NT 5.0 для обеспечения масштабируемого управления учетными записями в больших доменах с гибким контролем доступа и распределением административных полномочий;
• протокол проверки подлинности Kerberos версии 5 — стандарт безопасности для Internet, реализуемый как основной протокол проверки подлинности входа в сеть;
• проверка подлинности с применением сертификатов, основанных на открытых ключах;
• безопасные сетевые каналы, базирующиеся на стандарте SSL;
• файловая система с шифрованием.

Распределенные службы безопасности Windows NT 5.0 сохраняют сведения об учетных записях в активном каталоге. Достоинства активного каталога:

1. Учетные записи пользователей и групп можно распределить по контейнерам — подразделениям (Organization Unit, OU).
2. Домен в рамках иерархического пространства имен может содержать любое количество подразделений. Это позволяет организациям добиться согласования между используемыми в сети именами и структурой предприятия.
3. Активный каталог поддерживает гораздо большее количество объектов и с более высокой производительностью, чем реестр. Дерево объединенных доменов Windows NT способно поддерживать существенно более сложные организационные структуры.
4. Администрирование учетных записей улучшено благодаря новым графическим средствам управления активным каталогом, а также обращающихся к СОМ- объектам активного каталога сценариям.
5. Службы тиражирования каталога поддерживают множественные копии учетных записей. Теперь обновление информации можно выполнить для любой копии учетной записи (не требуется разделения контроллеров домена на главный и резервные). Протокол Light-weight Directory Access Protocol (LDAP) и службы тиражирования обеспечивают механизмы для связи каталога Windows NT 5.0 с другими основанными на Х.500 и LDAP каталогами на предприятии.
6. Для того чтобы обеспечить совместимость с существующими клиентами, предоставить более эффективные механизмы безопасности и сделать возможным взаимодействие в гетерогенных сетях, в Windows NT поддерживается несколько протоколов безопасности. Архитектура Windows NT не устанавливает ограничений на применение тех или иных протоколов безопасности.

Windows NT 5.0 будет поддерживать:

• протокол проверки подлинности Windows NT LAN Manager (NTLM), используемый в Windows NT 4.0 и в предыдущих версиях Windows NT;
• протокол проверки подлинности Kerberos версии 5, заменяющий NTLM в роли основного протокола для сетевого доступа к ресурсам доменов Windows NT 5.0;
• протокол распределенной проверки подлинности паролей (Distributed Password Authentication, DPA); благодаря DPA пользователь, получивший один пароль при регистрации, может подсоединяться к любому узлу Интернета, обслуживаемому данной организацией;
• протоколы, основанные на открытых ключах и применяемые в основном для связи между программами просмотра и Web-серверами. Стандартом de facto здесь стал протокол Secure Sockets Layer (SSL).

Для единообразного обращения к различным протоколам разработан новый интерфейс прикладного программирования Win32 — интерфейс поставщиков поддержки безопасности (Security Support Provider Interface, SSPI). SSPI позволяет изолировать проверку подлинности пользователя, которая может осуществляться по разным протоколам, — от применяющих ее служб и приложений. Интерфейс SSPI представляет собой несколько наборов доступных прикладным программам процедур, выполняющих:

• управление мандатами - (Credential Management) работу с информацией о клиенте (пароль, билет и т.д.);
• управление контекстом - (Context Management) — создание контекста безопасности клиента;
• поддержку передачи сообщений - (Message Support) — проверку целостности переданной информации (работает в рамках контекста безопасности клиента);
• управление пакетами - (Package Management) — выбор протокола безопасности.

Протокол проверки подлинности Kerberos определяет взаимодействие между клиентами и службой проверки подлинности Центром распределения ключей (Key Distribution Center, KDC). Домен Windows NT 5.0 эквивалентен царству Kerberos (Kerberos realm), но будет в этой операционной системе по-прежнему называться доменом. Реализация Kerberos в Windows NT 5.0 основана на документе RFC1510. По сравнению с NTLM у протокола проверки подлинности Kerberos имеются следующие преимущества:

• более быстрое подсоединение клиента к серверу; поскольку сервер для проверки подлинности пользователя не должен связываться с контроллером домена, улучшение масштабируемости компьютерной сети;
• транзитивные доверительные отношения между доменами упрощают администрирование сложной сети.

В Windows NT 5.0 появится новое средство защиты информации файловая система с шифрованием (Encrypted File System, EFS), позволяющая хранить файлы и папки в зашифрованном виде. Благодаря этому корпоративные и индивидуальные пользователи решат проблему возможной утечки секретной информации при краже переносного компьютера или жесткого диска из сервера. Зашифрованная информация даже в случае физического доступа к жесткому диску останется недоступной.