ROZDZIAú 13

Zabezpieczenia

     Wa┐na jest nie tylko ochrona informacji i zasob≤w us│ugowych przed osobami nieupowa┐nionymi, lecz tak┐e zapewnienie dostΩpu do tych zasob≤w u┐ytkownikom upowa┐nionym. Niniejszy rozdzia│ pomo┐e w maksymalnym wykorzystaniu technologii zabezpieczaj╣cych zawartych w systemie Windows 2000 Professional.
Zawarto£µ rozdzia│u
      Nowe funkcje
      Planowanie zabezpiecze±
      Identyfikacja u┐ytkownik≤w
      Grupy zabezpieczenia, prawa u┐ytkownik≤w i uprawnienia
      Zasady zabezpiecze±
      Szablony zabezpiecze±
      DostΩp zdalny
      Zabezpieczenia IPSec
      Szyfrowy system plikowy EFS
      Technologia klucza publicznego
      Ochrona danych u┐ytkownik≤w na komputerach mobilnych
      Zasoby dodatkowe
År≤d│a dalszych informacji w tej ksi╣┐ce

Nowe funkcje

     W tabeli 13.1 funkcje zabezpieczaj╣ce zawarte w systemie Windows 2000 por≤wnane s╣ z funkcjami system≤w Microsoft Windows NT 4.0, Microsoft Windows 95 i Microsoft Windows 98.
Tabela 13. Por≤wnanie funkcji zabezpiecze±
Windows 2000Windows NT 4.0Windows 95 i Windows 98
Kerberos umo┐liwia pojedyncz╣ rejestracjΩ u┐ytkownik≤w us│ug Kerberos i pojedyncza rejestracja nie s╣ wspierane. Tak jak Windows NT 4.0.
sieciowych.
Szyfrowy system plikowy (EFS). EFS nie jest wspierany. Tak jak Windows NT 4.0.
Wsparcie wirtualnych sieci prywatnych opartych na PPTP i L2TP. PPTP wspierany, L2TP nie wspierany. Tak jak Windows NT 4.0.
Mened┐er certyfikat≤w zarz╣dza kluczami publicznymi. Brak Mened┐era certyfikat≤w. Tak jak Windows NT 4.0.
Zabezpieczenia IPSec umo┐liwiaj╣ szyfrowanie wszystkich informacji Brak IPSec. Tak jak Windows NT 4.0.
powy┐ej warstwy transportu.
Inspekcja zdarze± zabezpieczenia (mo┐na ustawiµ stopie± szczeg≤│owo£ci). Zdarzenia s╣ zapisywane Inspekcja dostΩpna, ale w wΩ┐szym zakresie ni┐ w Windows 2000. Brak inspekcji.
w dziennikach.
KontrolΩ dostΩpu do zasob≤w sieciowych mo┐na skonfigurowaµ za pomoc╣ grup, praw u┐ytkownik≤w, uprawnie± i Zasad zabezpiecze±. Ograniczone mo┐liwo£ci kontroli dostΩpu, oparte na ustawieniach uprawnie±. Tylko zabezpieczenia oparte na uprawnieniach u┐ytkownik≤w.
Uprawnienia s╣ zachowane nawet w przypadku przeniesienia plik≤w, na przyk│ad do folderu publicznego. Przy przenoszeniu plik≤w uprawnienia zostaj╣ odziedziczone i ponownie zastosowane. Uprawnienia dotycz╣ tylko u┐ytkownik≤w, nie plik≤w.

     Przy tworzeniu £rodowiska zabezpieczonego niezbΩdna jest identyfikacja u┐ytkownik≤w, komputer≤w i us│ug. Istnieje wiele protoko│≤w identyfikacji, o r≤┐nych zaletach i wadach. W tabeli 13.2 por≤wnane s╣ protoko│y identyfikacji wspierane przez system Windows 2000 oraz przez wcze£niejsze wersje systemu Windows.
Tabela 13.2 Por≤wnanie protoko│≤w identyfikacji
Protok≤│Windows 2000Windows NT 4.0Windows 95 i Windows 98
Kerberos X O O
NTLM v2 X X O
NTLM v1 X X X
EAP X O O
MSCHAPv2 X X X
MSCHAP X X X
CHAP X X X
SPAP X X X
PAP X X X

Planowanie zabezpiecze±

     Technologie zabezpieczaj╣ce s╣ bardzo zaawansowane, jednak┐e metody stosowania i zarz╣dzania zabezpieczeniami musz╣ byµ dobrze zaplanowane. Typowy plan zabezpiecze± mo┐e obejmowaµ, miΩdzy innymi, nastΩpuj╣ce kwestie:      W miarΩ mo┐liwo£ci nale┐y przetestowaµ i poprawiµ plany zabezpiecze± za pomoc╣ pracowni testowych odzwierciedlaj╣cych £rodowisko komputerowe istniej╣ce w organizacji. NastΩpnie zaleca siΩ przeprowadzenie programu pilota┐owego.

Planowanie zabezpiecze± komputer≤w mobilnych

     Komputery mobilne zapewniaj╣ u┐ytkownikom mo┐liwo£µ pracy w zr≤┐nicowanych sytuacjach, jednak wi╣┐╣ siΩ tak┐e z pewnymi zagro┐eniami.

Zagro┐enia dotycz╣ce komputer≤w mobilnych

     Komputery mobilne s╣ czΩsto kradzione. Je£li informacje przechowywane na dysku twardym nie s╣ zaszyfrowane za pomoc╣ EFS, to informacje te, │╣cznie z ewentualnymi informacjami identyfikacyjnymi, mog╣ dostaµ siΩ w niew│a£ciwe rΩce.
     Kolejnym zagro┐eniem jest mo┐liwo£µ przechwycenia danych transmitowanych z komputera mobilnego poprzez linie telefoniczne. U┐ytkownicy mog╣ zabezpieczyµ swoje po│╣czenia przy u┐yciu protoko│≤w tworz╣cych wirtualne sieci prywatne.

Ataki

     W tabeli 13.3 opisane s╣ r≤┐nego rodzaju ataki. R≤┐ne ataki wi╣┐╣ siΩ z r≤┐nymi niebezpiecze±stwami, takimi jak utrata poufno£ci, integralno£ci lub dostΩpno£ci danych. W│╣czenie w plan zabezpiecze± tego rodzaju listy pomo┐e okre£liµ r≤┐ne kategorie ryzyka.

Tabela 13.3 Rodzaje atak≤w stanowi╣ce zagro┐enie dla organizacji
AtakOpis
Przechwycenie informacji Intruz odkrywa nazwΩ i has│o upowa┐nionego u┐ytkownika.
identyfikacyjnych
Maskarada U┐ytkownik nieupowa┐niony udaje u┐ytkownika upowa┐nionego. Na przyk│ad u┐ytkownik mo┐e pos│u┐yµ siΩ adresem IP systemu zaufanego w celu wykorzystania jego uprawnienia dostΩpu.
Odtwarzanie Intruz nagrywa wymianΩ komunikacji pomiΩdzy u┐ytkownikiem a serwerem, a p≤ƒniej odtwarza j╣ w celu imitowania u┐ytkownika.
Przechwycenie danych Je£li dane transmitowane s╣ w postaci zwyk│ego tekstu, to mog╣ one zostaµ odczytane lub przechwycone przez osoby nieupowa┐nione.
Manipulacja Intruz powoduje modyfikacjΩ lub uszkodzenie danych sieciowych. Niezaszyfrowane transakcje finansowe przeprowadzane w sieci s╣ nara┐one na manipulacjΩ. Dane w sieci mog╣ tak┐e pa£µ ofiar╣ wirus≤w.
Odrzucenie Sieciowe transakcje mog╣ zostaµ odrzucone w przypadku, gdy odbiorca nie jest pewien, kto przes│a│ wiadomo£µ.
Makrowirusy Wirusy mog╣ wykorzystaµ jΩzyki u┐ywane w niekt≤rych aplikacjach do tworzenia makr w zaawansowanych dokumentach i arkuszach.
Przerwanie us│ugi Intruz przesy│a serwerowi nadmiern╣ ilo£µ ┐╣da± w celu spowodowania awarii systemu lub zak│≤cenia normalnej pracy. Awarie serwera czasem stanowi╣ dla intruz≤w okazjΩ przedostania siΩ do systemu.
Szkodliwy kod mobilny Oznacza to szkodliwy kod dzia│aj╣cy jako automatycznie uruchomiona kontrola ActiveX lub aplet Java £ci╣gniΩty z Internetu.
Nadu┐ycie uprawnie± Administrator systemu mo┐e wykorzystaµ swoje uprawnienia do uzyskania dostΩpu do prywatnych danych.
Ko± troja±ski Jest to og≤lne okre£lenie szkodliwego programu udaj╣cego przydatne narzΩdzie. Na przyk│ad wygaszacz ekranu mo┐e wy£wietliµ fa│szywe okno zalogowania w celu uzyskania nazwy u┐ytkownika i has│a oraz potajemnego przes│ania tych informacji osobie nieupowa┐nionej.
Atak spo│eczny Intruz mo┐e zadzwoniµ do nowych pracownik≤w, podaj╣c siΩ za administratora i poprosiµ ich o podanie hase│ dla cel≤w ewidencyjnych.

PojΩcia zwi╣zane z zabezpieczeniami      Poni┐ej opisane s╣ pojΩcia u┐ywane przy opisywaniu strategii zabezpieczenia w systemach Windows 2000.

Infrastruktura zabezpiecze±

     Przy planowaniu zabezpiecze± nale┐y zrozumieµ funkcje zabezpieczaj╣ce zawarte w systemie Windows 2000 oraz £rodowisko, w kt≤rym te zabezpieczenia bΩd╣ funkcjonowaµ.

Model zabezpiecze±

     Zabezpieczenia w systemie Windows 2000 oparte s╣ na identyfikacji autoryzacji. Po zatwierdzeniu to┐samo£ci u┐ytkownika otrzymuje on autoryzacjΩ do u┐ytkowania zasob≤w sieciowych. AutoryzacjΩ umo┐liwia kontrola dostΩpu oparta na uprawnieniach dotycz╣cych zasob≤w, takich jak systemy plikowe, pliki sieciowe i dzier┐awy wydrukowe.

System Windows 2000 Professional w modelu domeny Windows 2000 Server

     Je£li system Windows 2000 Professional u┐ywany jest w £rodowisku Microsoft Windows 2000 Server, to komputery z systemem Windows 2000 Professional mog╣ zostaµ do│╣czone do domeny. Domena jest zbiorem obiekt≤w (takich jak u┐ytkownicy, komputery i grupy) wykorzystuj╣cych wsp≤ln╣ bazΩ danych zabezpieczenia. Domena zawiera organ zabezpieczenia, kt≤ry reguluje dostΩp i okre£la granicΩ logiczn╣. Granica ta zapewnia przestrzeganie konsekwentnych zasad zabezpiecze± i okre£la zwi╣zki pomiΩdzy obiektami z r≤┐nych domen. Domeny nie dotycz╣ bezpo£rednio komputer≤w z systemem Windows 2000 Professional bΩd╣cych komputerami autonomicznymi lub nale┐╣cych do grupy roboczej.

Identyfikacja i jej korzy£ci

     Identyfikacja u┐ytkownik≤w jest pierwsz╣ czΩ£ci╣ modelu zabezpiecze± systemu Windows 2000. Istniej╣ r≤┐ne metody identyfikacji, nios╣ce r≤┐ne korzy£ci. W systemie Windows 2000 mo┐liwa jest pojedyncza rejestracja u┐ytkownika û po zalogowaniu siΩ na komputerze klienckim u┐ytkownik mo┐e uzyskaµ dostΩp do dowolnego komputera nale┐╣cego do tej samej domeny. Metodami identyfikacji stosowanymi w Windows 2000 s╣: protok≤│ Kerberos v5, identyfikacja NTLM oraz logowania w domenach Windows NT 4.0.
     Identyfikacja zapobiega nastΩpuj╣cym rodzajom ataku:

Identyfikacja dwuczynnikowa

     W systemach identyfikacji dwuczynnikowej u┐ytkownik musi podaµ swoje has│o oraz fizyczny przedmiot potwierdzaj╣cy ich to┐samo£µ. Najbardziej popularnym przyk│adem jest bankomat û u┐ytkownik musi podaµ kartΩ magnetyczn╣ oraz has│o w postaci numeru PIN. Kolejnym przyk│adem jest identyfikacja biometryczna, w kt≤rej specjalne urz╣dzenie sprawdza to┐samo£µ u┐ytkownika na podstawie obrazu d│oni, palca, tΩcz≤wki, siatk≤wki lub g│osu. Jest to kosztowna metoda, jednak┐e skutecznie chroni przed atakami typu przechwycenia i maskarady.
     Coraz popularniejsze w przedsiΩbiorstwach s╣ karty inteligentne. U┐ytkownik posiada kartΩ zawieraj╣c╣ chip, w kt≤rym przechowywany jest certyfikat cyfrowy wraz z prywatnym kluczem u┐ytkownika. U┐ytkownik wk│ada kartΩ do czytnika zainstalowanego na komputerze klienckim, a nastΩpnie wpisuje has│o lub PIN. Klucz prywatny pozostaje wy│╣cznie na karcie, a has│o (PIN) nigdy nie jest transmitowane w sieci, co utrudnia ataki. System Windows 2000 bezpo£rednio wspiera tΩ metodΩ identyfikacji.
     Kolejnym narzΩdziem identyfikacji dwuczynnikowej jest karta znacznika. Karty te przedstawiaj╣ regularnie zmieniaj╣cy siΩ znacznik, na przyk│ad ci╣g cyfr. U┐ytkownik identyfikuje siΩ wprowadzaj╣c numer PIN oraz cyfry znacznika. Znacznik mo┐e zostaµ przechwycony, ale pozostanie wa┐ny tylko przez kr≤tki okres.

Pojedyncza rejestracja

     W systemie Windows 2000 u┐ytkownik mo┐e uzyskaµ dostΩp do kilku zasob≤w (komputera lokalnego, serwera plikowego lub wydrukowego, serwera pocztowego, bazy danych itp.) podaj╣c tylko jedno has│o. W systemie bez tej funkcji u┐ytkownik musia│by pamiΩtaµ wiele r≤┐nych hase│, kt≤re w przypadku wielu serwer≤w musia│yby byµ regularnie zmieniane. Jest to niewygodne dla u┐ytkownika, a ponadto zachΩca u┐ytkownik≤w do zapisywania swoich hase│, co stanowi zagro┐enie dla bezpiecze±stwa systemu.

Identyfikacja kodu

     Identyfikacja kodu ma na celu ustalenie, przez kogo £ci╣gane oprogramowanie zosta│o opublikowane oraz czy zosta│o zmodyfikowane. Przegl╣darkΩ internetow╣ mo┐na skonfigurowaµ tak, aby nie uruchamiaµ program≤w niepodpisanych lub niezaufanych. Nale┐y pamiΩtaµ, ┐e identyfikacja kodu nie wykryje ewentualnych szkodliwych modyfikacji dokonanych w programach przed ich podpisaniem.
     Identyfikacja kodu chroni przed:

Autoryzacja

     Zidentyfikowany u┐ytkownik uzyskuje dostΩp do zasob≤w, takich jak pliki sieciowe, w oparciu o uprawnienia ustawione na danych zasobach. Uprawnienia mo┐na ogl╣daµ na zak│adce Zabezpieczenia strony w│a£ciwo£ci danego pliku lub folderu. Lista zawiera nazwy grup u┐ytkownik≤w maj╣cych dostΩp do danego obiektu.

Szyfrowanie i jego korzy£ci

     Technologie szyfrowe s│u┐╣ do zapewnienia poufno£ci danych.

Szyfrowanie klucza symetrycznego

     W szyfrowaniu klucza symetrycznego (klucza tajnego) ten sam klucz s│u┐y do szyfrowania i rozszyfrowywania danych. Jest to szybki typ szyfrowania stosowany w wielu metodach szyfrowania danych w sieciach i systemach plikowych.

Szyfrowanie klucza publicznego

     W tego typu szyfrowaniu istniej╣ dwa klucze: prywatny i publiczny. Jest to podstawa kilku funkcji zabezpieczaj╣cych w systemie Windows 2000, w tym podpisywania cyfrowego i szyfrowania. Funkcje te s╣ zale┐ne od infrastruktury kluczy publicznych (PKI).
     Klucze publiczne s╣ wykorzystywane w wielu sytuacjach. Na przyk│ad w identyfikacji internetowej opartej na protokole SSL (Secure Sockets Layer).

Integralno£µ danych

     Zapewnienie integralno£ci danych oznacza ochronΩ danych przed z│o£liw╣ lub przypadkow╣ modyfikacj╣. W przypadku przechowywanych danych oznacza to, ┐e dane mog╣ zostaµ zmienione lub usuniΩte tylko przez u┐ytkownik≤w autoryzowanych. W przypadku danych transmitowanych w sieci integralno£µ jest zapewniana przez utworzenie warto£ci hash dla zawarto£ci pliku i podpisania tej warto£ci za pomoc╣ technologii klucza publicznego. W ten spos≤b ewentualne modyfikacje zostan╣ wykryte przez odbiorcΩ.

Poufno£µ danych

     Poufno£µ danych polega na zaszyfrowaniu transmitowanych danych w celu uniemo┐liwienia intruzom odczytania przechwyconych danych. W tym celu stosowane jest szyfrowanie metod╣ klucza symetrycznego.

Nieodrzucenie

     System Windows 2000 zapewnia nieodrzucenie za pomoc╣ technologii klucza publicznego. Strategia nieodrzucenia polega na ustaleniu, ┐e wiadomo£µ zosta│a przes│ana przez okre£lonego u┐ytkownika i ┐e nie mog│a zostaµ przes│ana przez nikogo innego.
     Jest to kolejne zastosowanie technologii klucza publicznego, a zale┐y od obecno£ci infrastruktury PKI. Nadawca wiadomo£ci podpisuje j╣ cyfrowo za pomoc╣ klucza prywatnego. Je£li odbiorca, pos│uguj╣c siΩ kluczem publicznym nadawcy, odczyta wiadomo£µ, to wiadomo£µ mog│a zostaµ przes│ana tylko przez danego nadawcΩ. W tym przypadku nadawca nie mo┐e zaprzeczyµ, ┐e wiadomo£µ zosta│a przez niego napisana.

Zarz╣dzanie zabezpieczeniami w systemie

     System Windows 2000 zawiera solidny zbi≤r technologii chroni╣cych dane i nale┐y zapewniµ, ┐e system dzia│a skutecznie i konsekwentnie. Windows 2000 oferuje funkcje, kt≤re pomagaj╣ zapewniµ realizacjΩ cel≤w zabezpiecze±.

Zasady zabezpiecze±

     Zasady zabezpiecze± s╣ czΩ£ci╣ Zasad grup. Zasadami mo┐na zarz╣dzaµ na autonomicznych komputerach, alternatywnie mo┐na je wymuszaµ w domenie za pomoc╣ obiekt≤w Zasad grup w Active Directory. WiΩcej informacji o obiektach Zasad grup znajduje siΩ w publikacji Microsoft Windows 2000 Server Resource Kit i w Pomocy systemu Windows 2000 Server.
     Zasady zabezpiecze± umo┐liwiaj╣ zastosowanie ustawie± dotycz╣cych zabezpiecze± na komputerze oraz grup zabezpieczenia.

Dzienniki inspekcji

     Dzienniki inspekcji zawieraj╣ informacje o operacjach dokonanych w sieci, pokazuj╣ce kto pr≤bowa│ dokonaµ jakich operacji. Dzienniki s╣ przydatne nie tylko jako narzΩdzie wykrywania atak≤w, lecz tak┐e jako dowody w procesach z│apanych intruz≤w. Zaawansowani hakerzy potrafi╣ odnaleƒµ i usun╣µ lub zmodyfikowaµ dzienniki, jest to jednak czasoch│onne zadanie, kt≤re u│atwia wykrycie i interwencjΩ.

Konfiguracja i analiza zabezpiecze±

     Konfiguracja i analiza zabezpiecze± umo┐liwia por≤wnanie ustawie± zabezpiecze± obowi╣zuj╣cych na komputerze ze standardowym wzorem. Mo┐liwy jest tak┐e import szablonu zabezpiecze± do obiektu Zasad grup i zastosowanie szablonu na jednym lub wielu komputerach. System Windows 2000 zawiera kilka gotowych szablon≤w przeznaczonych dla r≤┐nych poziom≤w zabezpieczenia i r≤┐nych rodzaj≤w klient≤w.

Czynniki zabezpieczenia nie zwi╣zane z oprogramowaniem

     W│a£ciwa konfiguracja oprogramowania pomo┐e zabezpieczyµ komputery, jednak konieczna jest tak┐e pewno£µ, ┐e zabezpiecze± utworzonych za pomoc╣ systemu Windows 2000 nie mo┐na omin╣µ.

Zabezpieczenia fizyczne

     Gdy komputer nie jest pod obserwacj╣, zawsze nale┐y go zamykaµ na klucz. W przeciwnym przypadku nieupowa┐nione osoby mog╣ uzyskaµ bezpo£redni dostΩp do systemu, a tak┐e wyrz╣dziµ fizyczne szkody sprzΩtowi.

Szkolenie u┐ytkownik≤w

     Niew│a£ciwe zachowanie u┐ytkownik≤w û zapisywanie hase│, niezamykanie komputer≤w na klucz, ujawnianie informacji osobom podaj╣cym siΩ za pracownik≤w firmy û mo┐e pokrzy┐owaµ nawet najlepsze plany zabezpiecze±. Wa┐ne jest tak┐e okre£lenie regu│ dotycz╣cych stosowania skutecznych hase│ ("Zasady hase│" dalej w tym rozdziale). Nale┐y opracowaµ i dostarczyµ u┐ytkownikom zbi≤r zasad dotycz╣cych zabezpieczenia oraz upewniµ siΩ, ┐e zasady te s╣ przestrzegane.

Identyfikacja u┐ytkownik≤w

     W systemie Windows 2000 Professional identyfikacja u┐ytkownik≤w jest podstaw╣ uzyskania dostΩpu do zasob≤w sieciowych. W tym modelu istniej╣ dwa rodzaje identyfikacji:

Logowanie interaktywne

     Podczas logowania interaktywnego to┐samo£µ u┐ytkownika jest potwierdzana na komputerze lokalnym lub za pomoc╣ konta domeny. Proces r≤┐ni siΩ w zale┐no£ci od rodzaju konta:      Logowanie interaktywane w systemie Windows 2000 opiera siΩ na g│≤wnej nazwie u┐ytkownika (UPN). Nazwy UPN spe│niaj╣ tΩ sam╣ funkcjΩ co nazwy u┐ytkownika i maj╣ format nazwa_u┐ytkownikadomena.
     Je£li w oknie dialogowym logowania nie pojawi siΩ pole Domena logowania, to mo┐na zalogowaµ siΩ w domenie Windows 2000, wpisuj╣c nazwΩ u┐ytkownika i nazwΩ domeny w jednym z nastΩpuj╣cych format≤w:      W pierwszym przyk│adzie podana jest pe│na nazwa domeny w systemie DNS. Administrator mo┐e skonfigurowaµ skr≤con╣ nazwΩ domeny, co pozwoli│oby u┐ytkownikowi napisaµ na przyk│ad usermicrosoft.com zamiast pe│nej nazwy podanej wy┐ej.

Karty inteligentne

     Logowanie interaktywne mo┐na skonfigurowaµ tak, aby wymagana by│a identyfikacja na podstawie kart inteligentnych.
     Karty inteligentne s╣ plastikowymi kartami wielko£ci kart kredytowych, zawieraj╣cymi chipy, w kt≤rych przechowywane s╣ certyfikaty u┐ytkownika i klucze prywatne. Karty inteligentne mog╣ wykonywaµ zaawansowane operacje szyfrowania metod╣ klucza publicznego, takie jak cyfrowe podpisywanie i wymiana kluczy.
     Karty inteligentne i czytniki mog╣ byµ u┐ywane do zapewnienia zabezpieczenia w r≤┐nych zakresach, takich jak logowanie sieciowe, komunikacja internetowa i e-mail.
     Szczeg≤│owe informacje o wprowadzaniu systemu kart inteligentnych znajduj╣ siΩ w Pomocy systemu Windows 2000 Server.

Identyfikacja sieciowa

     Identyfikacja sieciowa polega na zatwierdzaniu to┐samo£ci u┐ytkownika dla us│ug sieciowych, do kt≤rych u┐ytkownik pr≤buje uzyskaµ dostΩp. System Windows 2000 wspiera w tym celu r≤┐ne mechanizmy identyfikacji, w tym karty inteligentne, Kerberos v5 oraz NTLM (dla zapewnienia kompatybilno£ci z Windows NT 4.0).
     Dla u┐ytkownik≤w kont domeny identyfikacja sieciowa jest niewidoczna, dziΩki metodzie pojedynczej rejestracji, w kt≤rej po pocz╣tkowej identyfikacji u┐ytkownika system Windows 2000 automatycznie obs│uguje ┐╣dania identyfikacji sieciowej. U┐ytkownicy kont lokalnych musz╣ jednak podaµ dane identyfikacyjne (na przyk│ad certyfikat klucza publicznego lub nazwΩ u┐ytkownika i has│o) przy ka┐dej pr≤bie uzyskania dostΩpu do zasobu sieciowego.

Identyfikacja Kerberos v5

     Kerberos v5 jest g│≤wnym protoko│em identyfikacji u┐ytkownik≤w wewn╣trz domeny. Protok≤│ Kerberos v5 s│u┐y do ustalenia to┐samo£ci u┐ytkownika oraz us│ug sieciowych (identyfikacji wzajemnej).
     Mechanizm identyfikacji Kerberos v5 wydaje bilet (ticket) nadawania bilet≤w (TGT), kt≤ry s│u┐y do otrzymywania bilet≤w us│ugi (ST) zapewniaj╣cych dostΩp do us│ug sieciowych. Bilety te zawieraj╣ zaszyfrowane dane, w tym has│o szyfrowe potwierdzaj╣ce to┐samo£µ u┐ytkownika dla ┐╣danej us│ugi. Opr≤cz pocz╣tkowego podania has│a lub karty inteligentnej, proces identyfikacji jest przejrzysty dla u┐ytkownika. Proces identyfikacji Kerberos obejmuje nastΩpuj╣ce etapy:      WiΩcej informacji o identyfikacji Kerberos v5 znajduje siΩ w publikacji Microsoft Windows 2000 Server Resource Kit.

Protok≤│ NTLM

     Protok≤│ NTLM by│ domy£lnym protoko│em identyfikacji sieciowej w systemie Windows NT 4.0, opartym na mechanizmie wezwanie/odpowiedƒ. Jest on zachowany w systemie Windows 2000 w celu zapewnienia kompatybilno£ci z wcze£niejszymi klienckimi i serwerowymi wersjami Windows. NTLM jest tak┐e stosowan╣ w Windows 2000 metod╣ potwierdzania logowania na komputerach autonomicznych.
     Komputery posiadaj╣ce system Microsoft Windows 3.11, Windows 95, Windows 98 lub Windows NT 4.0 u┐ywaj╣ protoko│u NTLM do identyfikacji sieciowej w domenach Windows 2000. Komputery z systemem Windows 2000 u┐ywaj╣ NTLM do identyfikacji na serwerach posiadaj╣cych Windows NT 4.0 i do uzyskania dostΩpu do zasob≤w w domenie Windows NT.
     Domy£lnie system Windows 2000 zostaje zainstalowany w konfiguracji sieciowej trybu mieszanego, czyli w konfiguracji, kt≤ra mo┐e obejmowaµ kombinacjΩ komputer≤w z systemami Windows NT 4.0 i Windows 2000. Dane identyfikacyjne NTLM wpisane przy logowaniu na komputerze klienckim s╣ przechowywane przez Windows 2000 i u┐ywane do uzyskania dostΩpu do serwer≤w Windows NT 4.0 stosuj╣cych identyfikacjΩ NTLM.
     W poni┐szych przyk│adowych konfiguracjach mechanizmem identyfikacji by│by NTLM:      NTLM jest stosowany jako protok≤│ identyfikacji tak┐e w przypadku komputer≤w nie nale┐╣cych do domeny, takich jak serwery autonomiczne i grupy robocze.
     Pakiet NTLM zawarty w systemie Windows 2000 wspiera trzy metody identyfikacji typu wezwanie/odpowiedƒ:      Domy£lnie wszystkie trzy mechanizmy wezwanie/odpowiedƒ s╣ w│╣czone. S│absze warianty mo┐na wy│╣czyµ za pomoc╣ lokalnych zasad zabezpiecze± na komputerze. WiΩcej informacji na ten temat znajduje siΩ na no£niku CD-ROM Microsoft Windows 2000 Professional Resource Kit pod has│em "Zasady grup" oraz w publikacji Microsoft Windows 2000 Server Resource Kit.

Proces logowania dostΩpu zdalnego

     System Windows 2000 wspiera kilka protoko│≤w identyfikacyjnych umo┐liwiaj╣cych dostΩp telefoniczny, na przyk│ad MS-CHAP, CHAP i SPAP. System Windows 2000 mo┐na skonfigurowaµ tak, aby wspierany by│ protok≤│ EAP (Extensible Authentication Protocol), kt≤ry umo┐liwia identyfikacjΩ u┐ytkownik≤w zdalnych za pomoc╣ dodatkowych urz╣dze±, takich jak karty inteligentne i certyfikaty. Zabezpieczenie warstwy transportu EAP (EAP-TLS) umo┐liwia identyfikacjΩ u┐ytkownik≤w zdalnych przy u┐yciu kombinacji dowod≤w to┐samo£ci, na przyk│ad karty inteligentnej i numeru PIN. WiΩcej informacji o EAP-TLS znajduje siΩ w publikacji Microsoft Windows 2000 Server Resource Kit û Integracja MiΩdzysieciowa w rozdziale äUs│uga uwierzytelniania IASö.
     Proces zdalnego logowania zale┐y przede wszystkim od konfiguracji serwera. System Windows 2000 Server zawiera Us│ugi routingu i dostΩpu zdalnego, kt≤re obs│uguj╣ identyfikacjΩ u┐ytkownik≤w zdalnych, tak┐e opart╣ na kartach inteligentnych (przy u┐yciu rozszerzenia EAP-TLS protoko│u Point-to-Point (PPP). WiΩcej informacji o instalacji czytnika kart inteligentnych znajduje siΩ w dokumentacji online Windows 2000 Professional.
     WiΩcej informacji o Us│ugach routing i dostΩpu zdalnego znajduje siΩ dalej w tym rozdziale, w paragrafie äDostΩp zdalnyö.

Grupy zabezpieczenia, prawa u┐ytkownik≤w i uprawnienia

     Grupy zabezpieczenia, prawa u┐ytkownik≤w i uprawnienia umo┐liwiaj╣ zarz╣dzanie zabezpieczeniami na r≤┐nych poziomach.

Grupy zabezpieczenia

     System Windows 2000 pozwala na utworzenie grup u┐ytkownik≤w i innych obiekt≤w w celu u│atwienia administracji uprawnie±. Zdefiniowanie grup jest jednym z g│≤wnych zada± w zakresie zabezpiecze±. Grupy zabezpieczenia mo┐na opisaµ wed│ug ich zakresu (na przyk│ad jako grupy globalne lub uniwersalne) oraz wed│ug praw i r≤l (na przyk│ad grupa Wszyscy i grupa Administratorzy).
     DziΩki grupom zabezpieczenia systemu Windows 2000 mo┐na nadaµ te same uprawnienia du┐ej ilo£ci u┐ytkownik≤w. U│atwia to administracjΩ i inspekcjΩ kontroli dostΩpu do zasob≤w. U┐ytkownicy potrzebuj╣cy dostΩpu mog╣ zostaµ dodani i usuniΩci z odpowiednich grup w dowolnym momencie, a listy kontroli dostΩpu zmieniaj╣ siΩ rzadko.

Spos≤b dzia│ania grup zabezpieczenia

     Istniej╣ cztery g│≤wne rodzaje grup zabezpieczenia:

Uprawnienia grup zabezpieczenia

     System Windows 2000 zawiera kilka standardowych grup, takich jak:

Wymagania realizacji grup zabezpieczenia

     Grupy zabezpieczenia s╣ wbudowan╣ cech╣ systemu Windows 2000. Ich realizacja nie wymaga ┐adnej specjalnej instalacji ani spe│nienia innych warunk≤w.

Realizacja grup zabezpieczenia

     Aby dodaµ u┐ytkownik≤w i umie£ciµ ich w grupach zabezpieczenia, nale┐y skorzystaµ ze snap-in MMC Zarz╣dzanie komputerami. WiΩcej informacji o dodawaniu u┐ytkownik≤w znajduje siΩ w Pomocy Windows 2000 Professional.

Prawa u┐ytkownik≤w

     Administratorzy mog╣ nadaµ okre£lone prawa kontom grup lub pojedynczych u┐ytkownik≤w. Prawa u┐ytkownik≤w r≤┐ni╣ siΩ od uprawnie±, kt≤re s╣ zwi╣zane z okre£lonymi obiektami (takimi jak drukarki i foldery). Informacje o uprawnieniach znajduj╣ siΩ dalej w tym rozdziale w paragrafie äUprawnieniaö.
     Najpro£ciej jest nadaµ prawa grupom u┐ytkownik≤w. U┐ytkownik nale┐╣cy do r≤┐nych grup otrzyma wszystkie prawa nadane tym grupom. Konflikty mog╣ wystΩpowaµ w przypadku pewnych praw zalogowania, ale jest to sytuacja wyj╣tkowa. Aby odebraµ u┐ytkownikowi prawa, nale┐y po prostu usun╣µ go z odpowiedniej grupy.

Aby nadaµ prawa u┐ytkownik≤w grupom, nale┐y:
  1. Otworzyµ snap-in MMC Zasady grup.
  2. Klikn╣µ dwukrotnie odpowiednie prawo. Wiele praw u┐ytkownik≤w znajduje siΩ pod has│em Przypisywanie praw u┐ytkownik≤w.
  3. Klikn╣µ przycisk Dodaj i wpisaµ nazwΩ odpowiedniej grupy lub grup. Aby upewniµ siΩ, ┐e nazwy grup s╣ znane, klikn╣µ opcjΩ Sprawdƒ nazwy.
     Istniej╣ dwa rodzaje praw u┐ytkownik≤w:

Przywileje

     W niekt≤rych przypadkach przywileje zastΩpuj╣ uprawnienia zwi╣zane z obiektem. Na przyk│ad cz│onek grupy Operatorzy kopii zapasowej mo┐e wykonaµ operacje kopii zapasowej na wszystkich serwerach domeny, nawet w przypadku, gdy wymaga to odczytu plik≤w chronionych przez uprawnienia odbieraj╣ce prawo dostΩpu wszystkim u┐ytkownikom opr≤cz w│a£ciciela.
     Tabela 13.4 przedstawia przywileje, kt≤re mo┐na nadaµ u┐ytkownikowi. Przywilejami mo┐na zarz╣dzaµ za pomoc╣ Zasad praw u┐ytkownik≤w.      
Tabela 13.4
PrzywilejOpis
Dzia│aµ jako czΩ£µ systemu operacyjnego Umo┐liwia procesowi uzyskanie dostΩpu do zasob≤w jako dowolny u┐ytkownik. Przywileju tego powinny potrzebowaµ tylko us│ugi identyfikacyjne niskiego poziomu.
U┐ytkownik lub proces posiadaj╣cy ten przywilej mo┐e utworzyµ znaczniki zabezpieczenia daj╣ce mu wiΩcej praw, ni┐ to przewiduje normalny profil u┐ytkownika, na przyk│ad prawo dostΩpu jako u┐ytkownik anonimowy, co uniemo┐liwia ewidencjonowanie u┐ytkownika znacznika. Przywilej ten nale┐y nadawaµ tylko w uzasadnionych przypadkach. Procesy wymagaj╣ce tego przywileju powinny wykorzystaµ lokalne konto systemowe, kt≤re ju┐ posiada ten przywilej, zamiast osobnego konta u┐ytkownika ze specjalnie nadanym przywilejem.
Dodawaµ stacje robocze do domeny Pozwala u┐ytkownikowi na dodanie komputera do okre£lonej domeny. U┐ytkownik okre£la domenΩ na dodawanym komputerze, tworz╣c obiekt w kontenerze Komputer w Active Directory.
Utworzyµ kopiΩ zapasow╣ plik≤w i katalog≤w Umo┐liwia tworzenie kopii zapasowych, bez wzglΩdu na ewentualne uprawnienia ustawione na okre£lonych plikach i katalogach. Nadanie tego przywileju jest podobne do ustawienia na wszystkich lokalnych plikach i folderach nastΩpuj╣cych uprawnie±: Otworzyµ folder/Wykonaµ plik, Spisaµ folder/Odczyt danych, Odczyt atrybut≤w, Odczyt atrybut≤w rozszerzonych i Odczyt uprawnie±. WiΩcej informacji znajduje siΩ w rozdziale äDostosowywanie pulpituö.
Omin╣µ sprawdzanie przechodzenia Pozwala na przechodzenie przez katalogi, do kt≤rych u┐ytkownik normalnie nie ma dostΩpu, podczas nawigacji £cie┐ki obiektu w dowolnym systemie plikowym Windows lub w rejestrze. U┐ytkownik mo┐e przej£µ przez katalogi, ale nie mo┐e spisywaµ ich zawarto£ci.
Zmieniµ godzinΩ systemow╣ Pozwala na ustawienie wewnΩtrznego zegara komputera.
Utworzyµ obiekt znacznika NtCreateToken(). Pozwala procesowi na utworzenie znacznika s│u┐╣cego do uzyskania dostΩpu do zasob≤w lokalnych. W celu utworzenia znacznika proces korzysta z API takiego jak
Zaleca siΩ, aby procesy wymagaj╣ce tego przywileju dzia│a│y pod lokalnym kontem systemowym, kt≤ry ju┐ posiada ten przywilej, zamiast pod osobnym kontem u┐ytkownika ze specjalnie nadanym przywilejem.
Utworzyµ sta│e wsp≤lne obiekty zamierzaj╣ rozszerzyµ przestrze± nazw obiekt≤w Windows 2000. Komponenty dzia│aj╣ce w trybie j╣dra otrzymuj╣ ten przywilej automatycznie. Pozwala procesowi na utworzenie obiektu katalogu w mened┐erze obiekt≤w Windows 2000. Jest to przydatne dla komponent≤w dzia│aj╣cych w trybie j╣dra, kt≤re
Utworzyµ plik wymiany wydajno£ci, dostΩpnym z okna dialogowego W│a£ciwo£ci systemu. Pozwala u┐ytkownikowi na utworzenie pliku wymiany lub na zmianΩ jego wielko£ci. Wielko£µ pliku wymiany danego napΩdu mo┐na ustawiµ w oknie dialogowym Opcje
Debugowaµ programy Pozwala u┐ytkownikowi na do│╣czenie debugera do dowolnego procesu. Przywilej ten daje dostΩp do wa┐nych komponent≤w systemowych.
Ustawiµ konta u┐ytkownik≤w i komputer≤w jako Zaufane do delegowania U┐ytkownik lub obiekt otrzymuj╣cy ten przywilej musi mieµ dostΩp zapisu do flag kontroli konta na obiekcie u┐ytkownika lub komputera. Proces serwerowy dzia│aj╣cy na komputerze zaufanym do delegowania lub uruchomiony przez u┐ytkownika zaufanego do delegowania mo┐e uzyskaµ dostΩp do zasob≤w nale┐╣cych do drugiego komputera. W celu delegowania u┐ywane s╣ dane identyfikuj╣ce klienta, pod warunkiem, ┐e nie jest ustawiona flaga kontroli konta Konto nie podlega delegowaniu. Nadu┐ycie tego przywileju lub ustawie± Zaufane do delegowania mo┐e naraziµ sieµ na ataki polegaj╣ce na u┐yciu program≤w typu konia troja±skiego do imitowania klient≤w w celu uzyskania dostΩpu do zasob≤w sieciowych.
Wymusiµ zamkniΩcie systemu zdalnego Pozwala u┐ytkownikowi na zdalne zamkniΩcie komputera przez sieµ.
Dokonaµ inspekcji zabezpiecze± Pozwala procesowi na dokonanie zapis≤w w dzienniku inspekcji dostΩpu do obiekt≤w. Proces mo┐e tak┐e generowaµ inne dzienniki zwi╣zane z zabezpieczeniami.
ZwiΩkszyµ przydzia│y Pozwala procesowi maj╣cemu dostΩp zapisu w│a£ciwo£ci do drugiego procesu na zwiΩkszenie przydzia│u procesorowego przypisanego procesowi drugiemu. Przywilej ten jest przydatny przy dostrajaniu systemu, ale bywa nadu┐ywany, na przyk│ad w celu przerwania us│ugi.
ZwiΩkszyµ priorytet wykonania Pozwala procesowi maj╣cemu dostΩp zapisu w│a£ciwo£ci do drugiego procesu na zwiΩkszenie priorytetu wykonania drugiego procesu. U┐ytkownik posiadaj╣cy ten przywilej mo┐e zmieniµ priorytet procesu w Mened┐erze zada±.
Za│adowaµ i usun╣µ sterowniki urz╣dze± Pozwala u┐ytkownikowi na instalacjΩ i usuniΩcie sterownik≤w Plug and Play (pozosta│e sterowniki urz╣dze± mog╣ instalowaµ tylko administratorzy). Poniewa┐ sterowniki dzia│aj╣ jako programy zaufane (o wysokich przywilejach), to przywilej ten mo┐e zostaµ nadu┐yty w celu instalacji szkodliwych program≤w i nadania im dostΩpu do zasob≤w.
Zablokowaµ strony w pamiΩci Pozwala procesowi na utrzymywanie danych w pamiΩci fizycznej, bez stronicowania do pamiΩci wirtualnej na dysku. Nadanie tego przywileju mo┐e w znacznym stopniu wp│yn╣µ na wydajno£µ systemu. Przywilej ten jest przestarza│y i dlatego nigdy nie jest sprawdzany.
Zarz╣dzaµ dziennikiem inspekcji i zabezpiecze± Pozwala u┐ytkownikowi na okre£lenie opcji inspekcji dostΩpu do obiekt≤w takich jak pliki, obiekty Active Directory i klucze rejestrowe. Inspekcja dostΩpu do obiekt≤w jest przeprowadzana tylko w przypadku, gdy w│╣czono j╣ w komputerowych ustawieniach zasad inspekcji w Zasadach zabezpiecze± lub w Active Directory. Przywilej ten nie daje dostΩpu do komputerowych zasad inspekcji.
U┐ytkownik posiadaj╣cy ten przywilej mo┐e tak┐e ogl╣daµ i wyczy£ciµ dziennik zabezpiecze± w Podgl╣dzie zdarze±.
Zmodyfikowaµ zmienne £rodowiskowe firmware Pozwala na modyfikacjΩ systemowych zmiennych £rodowiskowych, przez u┐ytkownika (poprzez W│a£ciwo£ci systemu) lub przez proces.
Utworzyµ profil pojedynczego procesu Pozwala u┐ytkownikowi na wykorzystanie narzΩdzi kontrolowania wydajno£ci system≤w Windows NT i Windows 2000 do kontrolowania proces≤w niesystemowych.
Utworzyµ profil wydajno£ci system≤w Pozwala u┐ytkownikowi na wykorzystanie narzΩdzi kontrolowania wydajno£ci system≤w Windows NT i Windows 2000 do kontrolowania proces≤w systemowych.
Usun╣µ komputer ze stacji dokowania Pozwala na wydokowanie komputera mobilnego z interfejsu u┐ytkownika systemu Windows 2000.
Zast╣piµ znacznik poziomu procesu Pozwala procesowi na zast╣pienie domy£lnego znacznika zwi╣zanego z uruchomionym podprocesem.
Odtworzyµ pliki i katalogi Pozwala u┐ytkownikowi odtworzyµ kopie zapasowe plik≤w i katalog≤w bez wzglΩdu na ewentualne uprawnienia ustawione na plikach i folderach, a tak┐e okre£liµ w│a£ciciela obiektu.
Zamkn╣µ system Pozwala u┐ytkownikowi na zamkniΩcie komputera lokalnego.
Przej╣µ w│asno£µ plik≤w lub innych obiekt≤w Pozwala u┐ytkownikowi przej╣µ rolΩ w│a£ciciela w stosunku do ka┐dego obiektu podlegaj╣cego zabezpieczeniu, w tym obiekt≤w Active Directory, plik≤w, folder≤w, drukarek, kluczy rejestrowych, proces≤w i w╣tk≤w.

     WiΩcej informacji znajduje siΩ dalej w tym rozdziale, w paragrafie äZasady zabezpiecze±ö.

Prawa zalogowania

     Prawa zalogowania s╣ przypisywane u┐ytkownikom i mo┐na nimi zarz╣dzaµ za pomoc╣ Zasad praw u┐ytkownik≤w. Prawa zalogowania w systemie Windows 2000 opisane s╣ w tabeli 13.5.

Tabela 13.5 Domy£lne prawa zalogowania w systemie Windows 2000 Professional
PrawoOpis
DostΩp do tego komputera z sieci Pozwala na po│╣czenie siΩ z danym komputerem poprzez sieµ. Domy£lnie ten przywilej otrzymuj╣ grupy: Administratorzy, Wszyscy i U┐ytkownicy zaawansowani.
Odmowa dostΩpu do tego komputera Zabrania u┐ytkownikowi │╣czenia siΩ z danym komputerem poprzez sieµ. Domy£lnie ┐aden u┐ytkownik sieci nie otrzymuje tego przywileju.
Zalogowanie siΩ jako wsad Pozwala u┐ytkownikowi zalogowaµ siΩ za pomoc╣ kolejki wsadowej. Domy£lnie przywilej ten otrzymuj╣ Administratorzy.
Odmowa logowania wsadowego Zabrania u┐ytkownikowi logowania siΩ za pomoc╣ kolejki wsadowej. Domy£lnie ┐aden u┐ytkownik nie otrzymuje tego przywileju.
Zalogowaµ siΩ jako us│uga Pozwala na zalogowanie siΩ jako us│uga w celu ustanowienia kontekstu zabezpieczenia. Lokalne konto systemowe zawsze posiada to prawo. Ka┐da us│uga dzia│aj╣ca pod innym kontem musi otrzymaµ to prawo. Domy£lnie ┐aden u┐ytkownik nie otrzymuje tego prawa.
Odmowa logowania jako us│uga Zabrania logowania siΩ jako us│uga w celu ustanowienia kontekstu zabezpieczenia (p.w.)
Zalogowaµ siΩ lokalnie Pozwala u┐ytkownikowi zalogowaµ siΩ na klawiaturze komputera. Domy£lnie prawo to otrzymuj╣ grupy: Administratorzy, Operatorzy kont, Operatorzy kopii zapasowej, Operatorzy wydruku i Operatorzy serwer≤w.
Odmowa logowania lokalnego Zabrania u┐ytkownikowi logowania siΩ na klawiaturze komputera. Domy£lnie ┐aden u┐ytkownik nie otrzymuje tego przywileju.

Uprawnienia      Uprawnienia mog╣ byµ przypisane plikom lub folderom w celu okre£lenia, jakie operacje mog╣ byµ wykonywane w stosunku do danych zasob≤w. Informacje o ustawianiu uprawnie± na plikach lub folderach znajduj╣ siΩ w Pomocy systemu Windows 2000 Professional.

Aby ustawiµ uprawnienia na plikach lub folderach, nale┐y:
  1. Odnaleƒµ odpowiedni plik lub folder w Eksploratorze Windows.
  2. Klikn╣µ prawym przyciskiem myszy plik lub folder, klikn╣µ W│a£ciwo£ci i wybraµ zak│adkΩ Zabezpieczenia.
  3. Aby ustawiµ uprawnienia nowej grupy lub u┐ytkownika, klikn╣µ przycisk Dodaj, wpisaµ nazwΩ grupy lub u┐ytkownika w formacie domena\nazwa i klikn╣µ przycisk OK. Aby zmieniµ lub usun╣µ uprawnienia istniej╣cej grupy lub u┐ytkownika, klikn╣µ nazwΩ grupy lub u┐ytkownika.
  4. W polu Uprawnienia klikn╣µ odpowiednio pole Zezwalaj lub Odm≤w dla ka┐dego uprawnienia. Aby usun╣µ grupΩ lub u┐ytkownika z listy uprawnie±, klikn╣µ Usu±.
     Je£li ani pole Zezwalaj, ani Odm≤w nie jest zaznaczone dla danego uprawnienia, to grupa lub u┐ytkownik domy£lnie nie otrzyma tego uprawnienia, chyba ┐e jest cz│onkiem innej grupy posiadaj╣cej odpowiednie uprawnienie.
     Je£li pola wyboru s╣ przyciemnione, to uprawnienia s╣ dziedziczone z foldera nadrzΩdnego.

Dziedziczenie uprawnie±

     Domy£lnie uprawnienia ustawione na folderze s╣ dziedziczone przez tworzone w nim nowe pliki i podfoldery.

Aby wy│╣czyµ dziedziczenie uprawnie± danego folderu, nale┐y:
  1. W Moim komputerze klikn╣µ prawym przyciskiem myszy odpowiedni folder i klikn╣µ W│a£ciwo£ci.
  2. Na zak│adce Zabezpieczenia klikn╣µ Zaawansowane.
  3. Wybraµ wpis z listy Wpisy uprawnienia i klikn╣µ przycisk Wy£wietl/Edytuj.
  4. Zaznaczyµ ┐╣dane zachowanie dziedziczenia z listy rozwijanej w polu Zastosuj dla.


Aby wy│╣czyµ dziedziczenie uprawnie± przez okre£lony plik lub folder, nale┐y:
  1. W Moim komputerze klikn╣µ prawym przyciskiem myszy odpowiedni folder i klikn╣µ W│a£ciwo£ci.
  2. Na zak│adce Zabezpieczenia wyczy£ciµ pole wyboru Zezwalaj na propagowanie uprawnie± dziedzicznych obiektu nadrzΩdnego do tego obiektu.

Ustawienia domy£lne

     W tej czΩ£ci om≤wione s╣ domy£lne uprawnienia nadawane r≤┐nym u┐ytkownikom.

Domy£lne uprawnienia dotycz╣ce systemu plik≤w i rejestru

Tabela 13.6 Domy£lne ustawienia dostΩpu zapisu przez u┐ytkownika
ObiektUprawnienieOpis
HKEY_Current_User Pe│na kontrola CzΩ£µ rejestru nale┐╣ca do u┐ytkownika.
%UserProfile% Pe│na kontrola Katalog profilu u┐ytkownika.
Wszyscy u┐ytkownicy \Dokumenty Odczyt, Utworzyµ plik Umo┐liwia utworzenie plik≤w, kt≤re mog╣ byµ odczytywane (ale nie modyfikowane) przez innych u┐ytkownik≤w.
%Windir%\Temp Synchronizacja, Przej£cie, Dodaµ plik, Dodaµ podkatalog Na ka┐dym komputerze istnieje jeden katalog tymczasowy u┐ywany przez aplikacje oparte na us│ugach, w celu zwiΩkszenia wydajno£ci.
\ (Katalog g│≤wny) Nie zostaje skonfigurowane podczas instalacji Uprawnienia na poziomie katalogu g│≤wnego nie zostaj╣ ustawione, poniewa┐ model dziedziczenia ACL stosowany w systemie Windows 2000 spowodowa│by dziedziczenie tych uprawnie± przez wszystkie obiekty potomne, │╣cznie z obiektami znajduj╣cymi siΩ poza zakresem instalatora.

Uprawnienia U┐ytkownik≤w i U┐ytkownik≤w zaawansowanych dotycz╣ce systemu plik≤w      W tabeli 13.7 opisane s╣ domy£lne uprawnienia dotycz╣ce dostΩpu do obiekt≤w systemu plik≤w, ustawiane podczas czystej instalacji systemu operacyjnego Windows 2000 w partycji NTFS. W przypadku katalog≤w, je£li nie zaznaczono inaczej (w nawiasie), to uprawnienia dotycz╣ katalogu, podkatalog≤w i plik≤w.      
Tabela 13.7 Domy£lne ustawienia kontroli dostΩpu do obiekt≤w systemu plik≤w
ObiektDomy£lne uprawnienia U┐ytkownik≤w zaawansowanychDomy£lne uprawnienia U┐ytkownik≤w
c:\boot.ini OW Brak
c:\ntdetect.com OW Brak
c:\ntldr OW Brak
c:\ntbootdd.sys OW Brak
c:\autoexec.bat Modyfikacja OW
c:\config.sys Modyfikacja OW
\ProgramFiles Modyfikacja OW
%windir% Modyfikacja OW
%windir%\*.* OW OW
%windir%\config\*.* OW OW
%windir%\cursors\*.* OW OW
%windir%\Temp Modyfikacja Synchronizacja, Przej£cie, Dodaµ plik, Dodaµ podkatalog
%windir%\repair Modyfikacja Spisaµ
%windir%\addins Modyfikacja (katalog\podkatalogi) RX (pliki) OW
%windir%\Connection Wizard Modyfikacja (katalog\podkatalogi) RX (pliki) OW
%windir%\fonts\*.* OW OW
%windir%\help\*.* OW OW
%windir%\inf\*.* OW OW
%windir%\java Modyfikacja (katalog\podkatalogi) RX (pliki) OW
%windir%\media\*.* OW OW
%windir%\msagent Modyfikacja (katalog\podkatalogi) RX (pliki) OW
%windir%\security OW OW
%windir%\speech Modyfikacja (katalog\podkatalogi) RX (pliki) OW
%windir%\system\*.* Odczyt, Wykonanie OW
%windir%\twain_32 Modyfikacja (katalog\podkatalogi) RX (pliki) OW
%windir%\Web Modyfikacja (katalog\podkatalogi) RX (pliki) OW
%systemdir% Modyfikacja OW
%systemdir%\*.* OW OW
%systemdir%\config Spisaµ Spisaµ
%systemdir%\dhcp OW OW
%systemdir%\dllcache Brak Brak
%systemdir%\drivers OW OW
%systemdir%\CatRoot Modyfikacja (katalog\podkatalogi) RX (pliki) OW
%systemdir%\ias Modyfikacja (katalog\podkatalogi) RX (pliki) OW
%systemdir%\mui Modyfikacja (katalog\podkatalogi) RX (pliki) OW
%systemdir%\OS2\*.* OW OW
%systemdir%\OS2 \DLL\*.* OW OW
%systemdir%\RAS\*.* OW OW
%systemdir%\ShellExt Modyfikacja (katalog\podkatalogi) RX (pliki) OW
%systemdir%\Viewers \*.* OW OW
%systemdir%\wbem Modyfikacja (katalog\podkatalogi) RX (pliki) OW
%systemdir%\wbem \mof Modyfikacja OW
%UserProfile% Pe│na kontrola Pe│na kontrola
Wszyscy u┐ytkownicy Modyfikacja Odczyt
Wszyscy u┐ytkownicy \Dokumenty Modyfikacja Odczyt, Utworzyµ plik
Wszyscy u┐ytkownicy \Dane aplikacji Modyfikacja Odczyt

     Nale┐y zwr≤ciµ uwagΩ na fakt, ┐e U┐ytkownik zaawansowany mo┐e zapisaµ nowe pliki w poni┐szych katalogach, ale nie mo┐e modyfikowaµ plik≤w zainstalowanych w nich podczas pracy instalatora w trybie tekstowym. Ponadto wszyscy pozostali U┐ytkownicy zaawansowani otrzymuj╣ w stosunku do plik≤w utworzonych w tych katalogach uprawnienia Modyfikacji.      W przypadku katalog≤w oznaczonych [Modyfikacja (katalog\podkatalogi) OW (pliki)], U┐ytkownicy zaawansowani mog╣ tworzyµ nowe pliki, do kt≤rych pozostali U┐ytkownicy zaawansowani bΩd╣ mieµ dostΩp tylko do odczytu.

Uprawnienia U┐ytkownik≤w zaawansowanych i U┐ytkownik≤w dotycz╣ce rejestru

     W tabeli 13.8 opisane s╣ domy£lne uprawnienia U┐ytkownik≤w zaawansowanych i U┐ytkownik≤w dotycz╣ce dostΩpu do obiekt≤w rejestrowych, ustawiane podczas czystej instalacji systemu operacyjnego Windows 2000. Uprawnienia dotycz╣ce danego obiektu dotycz╣ tak┐e wszystkich jego obiekt≤w potomnych, chyba ┐e obiekt potomny r≤wnie┐ znajduje siΩ w tabeli.
Tabela 13.8 Uprawnienia U┐ytkownik≤w zaawansowanych i U┐ytkownik≤w dotycz╣ce rejestru
Obiekt rejestrowyDomy£lne uprawnienia U┐ytkownik≤w zaawansowanychDomy£lne uprawnienia U┐ytkownik≤w
HKEY_LOCAL_MACHINE
HKEY_LOCAL_MACHINE\SOFTWARE Modyfikacja Odczyt
HKLM\SOFTWARE\Classes\helpfile Odczyt Odczyt
HKLM\SOFTWARE\Classes\.hlp Odczyt Odczyt
HKLM\SOFTWARE\Microsoft\Command Processor Odczyt Odczyt
HKLM\SOFTWARE\Microsoft\Cryptography Odczyt Odczyt
HKLM\SOFTWARE\Microsoft\Driver Signing Odczyt Odczyt
HKLM\SOFTWARE\Microsoft\EnterpriseCertificates Odczyt Odczyt
HKLM\SOFTWARE\Microsoft\Non-Driver Signing Odczyt Odczyt
HKLM\SOFTWARE\Microsoft\NetDDE Brak Brak
HKLM\SOFTWARE\Microsoft\Ole Odczyt Odczyt
HKLM\SOFTWARE\Microsoft\Rpc Odczyt Odczyt
HKLM\SOFTWARE\Microsoft\Secure Odczyt Odczyt
HKLM\SOFTWARE\Microsoft\SystemCertificates Odczyt Odczyt
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion \RunOnce Odczyt Odczyt
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32 Odczyt Odczyt
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Font Drivers Odczyt Odczyt
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion \FontMapper Odczyt Odczyt
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion \Image File Execution Options Odczyt Odczyt
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion \IniFileMapping Odczyt Odczyt
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion \Perflib Odczyt (poprzez Interaktywny) Odczyt (poprzez Interaktywny)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion \SeCEdit Odczyt Odczyt
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion \Time Zones Odczyt Odczyt
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion \Windows Odczyt Odczyt
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion \Winlogon Odczyt Odczyt
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion \AsrCommands Odczyt Odczyt
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion \Classes Odczyt Odczyt
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion \Console Odczyt Odczyt
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion \ProfileList Odczyt Odczyt
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion \Svchost Odczyt Odczyt
HKLM\SOFTWARE\Policies Odczyt Odczyt
HKLM\SYSTEM Odczyt Odczyt
HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers \winreg Brak Brak
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager \Executive Modyfikacja Odczyt
HKLM\SYSTEM\CurrentControlSet\Control \TimeZoneInformation Modyfikacja
HKLM\SYSTEM\CurrentControlSet\Control\WMI\Security Brak Brak
HKLM\HARDWARE Odczyt (poprzez Wszyscy) Odczyt (poprzez Wszyscy)
HKLM\SAM Odczyt (poprzez Wszyscy) Odczyt (poprzez Wszyscy)
HKLM\SECURITY Brak Brak
HKEY_USERS
HKEY_USERS\.DEFAULT Odczyt Odczyt
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\NetDDE Brak Brak
HKEY_CURRENT_CONFIG = HKLM\System \CurrentControlSet \HardwareProfiles \Current
HKEY_CURRENT_USER Pe│na kontrola Pe│na kontrola
HKEY_CLASSES_ROOT = HKLM \Software\Classes \Software\Classes = HKLM

     WiΩcej informacji znajduje siΩ w publikacji Microsoft Windows 2000 Server Resource Kit û Systemy Rozproszone.

Zasady zabezpiecze±

     Obiekt Zasady zabezpiecze± zawiera szeroki asortyment uprawnie± dotycz╣cych przede wszystkim ustawie± domeny, komputera lub pulpitu (a nie poszczeg≤lnych u┐ytkownik≤w). Pojedynczy obiekt Zasad zabezpiecze± mo┐e zostaµ zastosowany na wszystkich komputerach nale┐╣cych do danej jednostki organizacyjnej. Zasady zostaj╣ zastosowane po uruchomieniu danego komputera i s╣ okresowo od£wie┐ane tak, ┐e zmian mo┐na dokonaµ bez konieczno£ci restartu.

Spos≤b dzia│ania Zasad zabezpiecze±

     Na komputerach autonomicznych u┐ytkownicy posiadaj╣cy odpowiednie prawa mog╣ zmodyfikowaµ Zasady zabezpiecze±. Gdy komputer zostanie do│╣czony do domeny, zostan╣ zastosowane na nim Zasady obowi╣zuj╣ce w domenie. Zasady zabezpiecze± domeny maj╣ pierwsze±stwo przed zasadami ustawionymi na poziomie lokalnego pulpitu.
     Podobnie jak grupy zabezpieczenia umo┐liwiaj╣ nadanie standardowych praw wielu u┐ytkownikom, Zasady zabezpiecze± umo┐liwiaj╣ zastosowanie standardowego profilu zabezpieczaj╣cego na wielu komputerach. Zasady zabezpiecze± wymuszaj╣ konsekwencjΩ i u│atwiaj╣ administracjΩ.
     Obiekty Zasad zabezpiecze± zawieraj╣ uprawnienia i parametry umo┐liwiaj╣ce realizacjΩ r≤┐nego rodzaju strategii zabezpieczenia.

Wymagania realizacji lokalnych Zasad zabezpiecze±

     Zasady zabezpiecze± zostaj╣ zainstalowane domy£lnie na komputerach lokalnych. Jednak modyfikacja i zastosowanie obiekt≤w Zasad zabezpiecze± na poziomie domeny wymagaj╣ instalacji na serwerze us│ugi Active Directory.

Spos≤b realizacji Zasad zabezpiecze±

     Informacje o stosowaniu lokalnych Zasad zabezpiecze± znajduj╣ siΩ w Pomocy systemu Windows 2000 Professional.
     W domenie, aby zobaczyµ przyk│adowe Zasady zabezpiecze±, nale┐y otworzyµ snap-in MMC Zasady grup i odnaleƒµ kontener Ustawienia zabezpiecze±:

Zasady komputera lokalnego
      L Konfiguracja komputera
      L Ustawienia Windows
      L Ustawienia zabezpiecze±

     Istnieje dziewiΩµ grup ustawie± zabezpiecze±. Grupy te s╣ om≤wione szczeg≤│owo dalej w tym rozdziale.
     Realizacja Zasad zabezpiecze± polega na utworzeniu nowego obiektu Zasad zabezpiecze± (lub modyfikacji istniej╣cego obiektu), w│╣czeniu odpowiednich ustawie± zawartych w obiekcie i powi╣zaniu obiektu z jednostk╣ organizacyjn╣, kt≤rej komputery nale┐╣ do domeny.

Kwestie dotycz╣ce Zasad grup

     LiczbΩ obiekt≤w Zasad grup, w tym obiekt≤w Zasad zabezpiecze±, dotycz╣cych u┐ytkownik≤w i komputer≤w nale┐y zminimalizowaµ. Zadanie to nale┐y wykonaµ w pierwszej kolejno£ci, poniewa┐ ka┐dy taki obiekt musi zostaµ za│adowany do komputera przy uruchamianiu lub do profilu u┐ytkownika przy logowaniu. U┐ycie du┐ej ilo£ci obiekt≤w zwiΩkszy czas uruchamiania i logowania, a tak┐e mo┐e spowodowaµ trudne do rozwi╣zania konflikty pomiΩdzy zasadami.
     Generalnie Zasady grup mog╣ byµ przekazywane do podrzΩdnych lokacji, domen i jednostek organizacyjnych, w tym do obiekt≤w u┐ytkownik≤w i komputer≤w znajduj╣cych siΩ w ka┐dym kontenerze.
     Szablony zabezpiecze± (opisane dalej w tym rozdziale) s╣ przydatnymi modelami ustawie± Zasad zabezpiecze± odpowiednimi dla r≤┐nych sytuacji.

Ustawienia Zasad zabezpiecze±

     Na poni┐szej li£cie przedstawionych jest dziewiΩµ grup ustawie± Zasad zabezpiecze±. S╣ to kontenery znajduj╣ce siΩ pod wΩz│em Ustawienia zabezpiecze± obiektu Zasad grup. Istniej╣ pewne r≤┐nice pomiΩdzy zarz╣dzaniem Zasadami zabezpiecze± w domenie a na komputerze lokalnym, ale generalnie r≤┐nice nie s╣ zbyt istotne. Lokalne Zasady zabezpiecze± zawieraj╣ nastΩpuj╣ce grupy:      Niekt≤re ustawienia musz╣ obowi╣zywaµ w ca│ej domenie, na przyk│ad zasady kont dotycz╣ wszystkich kont u┐ytkownik≤w nale┐╣cych do danej domeny. Je£li nie mo┐na konfigurowaµ r≤┐nych zasad kont dla r≤┐nych jednostek organizacyjnych nale┐╣cych do tej samej domeny, to zasady kont bΩd╣ dotyczyµ tylko cz│onkowskich stacji roboczych i serwer≤w zawartych w jednostce organizacyjnej (OU).

Zasady kont

     Do Zasad kont nale┐╣ nastΩpuj╣ce kategorie ustawie±:
Zasady hase│
     Zasady dotycz╣ce hase│ mo┐na modyfikowaµ w zale┐no£ci od potrzeb organizacji. Mo┐na, na przyk│ad, okre£liµ minimaln╣ d│ugo£µ has│a i maksymalny czas wa┐no£ci has│a. Mo┐na tak┐e wymagaµ z│o┐onych hase│ oraz zabraniaµ u┐ytkownikom ponownego u┐ycia tych samych hase│ lub ich prostych wariant≤w. Zasady hase│ mo┐na ustawiµ w Active Directory oraz na komputerze lokalnym. Je£li ustawiono r≤┐ne zasady, to obowi╣zuj╣ zasady najbardziej ograniczaj╣ce.
Zasady blokowania kont
     Mo┐na postanowiµ, ┐e po okre£lonej liczbie nieudanych pr≤b zalogowania konto zostanie zablokowane. Mo┐na tak┐e okre£liµ czas, na jaki konto pozostaje zablokowane.
Zasady identyfikacji Kerberos
     Mo┐na zmodyfikowaµ domy£lne ustawienia Kerberos, takie jak maksymalny czas wa┐no£ci biletu u┐ytkownika. Zasady identyfikacji Kerberos s╣ dostΩpne tylko na poziomie domeny, a nie w lokalnych Zasadach grup.
     Wybrane zasady wp│yn╣ na poziom zabezpieczenia sieci przed atakami oraz na ilo£µ pomocy technicznej wymaganej przez u┐ytkownik≤w. Na przyk│ad wyb≤r surowych zasad blokowania kont mo┐e zwiΩkszyµ skuteczno£µ atak≤w polegaj╣cych na przerwaniu us│ugi, a ustawienie z│o┐onych zasad hase│ spowoduje zwiΩkszenie ilo£ci u┐ytkownik≤w potrzebuj╣cych pomocy przy logowaniu siΩ w sieci. Ponadto wymaganie zbyt d│ugich lub z│o┐onych hase│ mo┐e zachΩciµ u┐ytkownik≤w do zapisania swoich hase│, co wp│ynie negatywnie na poziom zabezpieczenia sieci.

Zasady komputera lokalnego

     Do zasad komputera lokalnego nale┐╣ nastΩpuj╣ce grupy ustawie±:
Zasady inspekcji
     System Windows 2000 mo┐e zapisywaµ r≤┐ne rodzaje zdarze±, na przyk│ad zalogowanie u┐ytkownika lub pr≤by odczytania okre£lonego pliku. Mo┐na zapisywaµ zar≤wno udane i nieudane pr≤by wykonania czynno£ci.
Przypisywanie praw u┐ytkownik≤w
     Mo┐na okre£liµ, kt≤rzy u┐ytkownicy i grupy zabezpieczenia maj╣ prawo wykonywania okre£lonych czynno£ci, takich jak zalogowanie z sieci, lokalne zalogowanie, zamkniΩcie systemu oraz niezbΩdne zadania administracyjne takie jak utworzenie i odtworzenie kopii zapasowych, przejΩcie w│asno£ci obiekt≤w lub zamkniΩcie komputera z systemu zdalnego.
Opcje zabezpiecze±
     Istnieje du┐y zestaw opcji dotycz╣cych komputer≤w lokalnych. Na przyk│ad mo┐na wymusiµ wylogowanie o okre£lonej godzinie, wy│╣czyµ logowanie za pomoc╣ klawiszy CTRL+ALT+DEL (aby wymusiµ u┐ycie kart inteligentnych) oraz zmusiµ komputery do zatrzymania siΩ w przypadku niemo┐no£ci dokonania inspekcji.

Zasady klucza publicznego

     Pod t╣ kategori╣ ustawie± mo┐na dodaµ nowego Agenta odzyskiwania danych zaszyfrowanych, w│╣czyµ Automatyczne ┐╣dania certyfikat≤w i zarz╣dzaµ listami zaufanych urzΩd≤w certyfikacji.

Zasady zabezpiecze± IPSec

     Pod t╣ kategori╣ znajduj╣ siΩ ustawienia dotycz╣ce zabezpiecze± komunikacji opartej na protokole IP (IPSec). Mo┐na wymagaµ komunikacji zabezpieczonej, zezwalaµ na komunikacjΩ zabezpieczon╣ lub wy│╣czyµ IPSec. Gotowe zasady nie s╣ przeznaczone do natychmiastowego zastosowania, lecz stanowi╣ przyk│ady dla cel≤w testowania. Zasady IPSec powinny byµ dok│adnie zaprojektowane przez administrator≤w sieci. WiΩcej informacji na ten temat znajduje siΩ w tym rozdziale pod has│em Zabezpieczenia IPSec oraz w publikacji Microsoft Windows 2000 Server Resource Kit û w tomach Systemy Rozproszone i Integracja MiΩdzysieciowa.

Ustawienia wed│ug kategorii

     W poni┐szych tabelach przedstawione s╣ domy£lne ustawienia Zasad zabezpiecze±.

Zasady kont

Tabela 13.9 Domy£lne ustawienia zasad hase│ na komputerze lokalnym
UstawienieWarto£µ domy£lna
Historia hase│ 0 zapamiΩtanych hase│
Maksymalny okres wa┐no£ci has│a 42 dni
Minimalny okres wa┐no£ci has│a 0 dni
Minimalna d│ugo£µ has│a 0 znak≤w
Has│a musz╣ spe│niµ wymagania z│o┐ono£ci Wy│╣czone

Tabela 13.10 Domy£lne ustawienia zasad blokowania kont na komputerze lokalnym
UstawienieWarto£µ domy£lna
Zapisuj has│o przy u┐yciu odwracalnego szyfrowania dla wszystkich u┐ytkownik≤w domeny Wy│╣czone
Okres blokowania kont Nieokre£lona
Pr≤g blokowania kont 0 nieudanych pr≤b zalogowania
Resetuj licznik blokowania kont po: Nieokre£lona

Zasady lokalne
Tabela 13.11 Domy£lne ustawienia zasad inspekcji na komputerze lokalnym
UstawienieWarto£µ domy£lna
Inspekcja logowania kont Nie
Inspekcja zarz╣dzania kontami Nie
Inspekcja dostΩpu do us│ugi katalogowej Nie
Inspekcja zdarze± logowania Nie
Inspekcja dostΩpu do obiekt≤w Nie
Inspekcja zmian zasad Nie
Inspekcja korzystania z przywilej≤w Nie
Inspekcja £ledzenia proces≤w Nie
Inspekcja zdarze± systemowych Nie


Tabela 13.12 Domy£lne ustawienia praw u┐ytkownik≤w na komputerze lokalnym
UstawienieWarto£µ domy£lna
DostΩp do tego komputera z sieci Wszyscy
Dzia│aµ jako czΩ£µ systemu operacyjnego brak
Dodaµ stacje robocze do domeny brak
Utworzyµ kopie zapasowe plik≤w i katalog≤w Operatorzy kopii zapasowej
Omin╣µ sprawdzanie przechodzenia Wszyscy
Zmiana godziny systemowej U┐ytkownicy zaawansowani
Utworzyµ plik wymiany Administratorzy
Utworzyµ obiekt znacznika brak
Utworzyµ sta│e wsp≤lne obiekty brak
Debugowaµ programy Administratorzy
Odmowa dostΩpu do tego komputera z sieci brak
Odmowa logowania wsadowego brak
Odmowa logowania jako us│uga brak
Odmowa logowania lokalnego brak
Okre£liµ konta komputer≤w i u┐ytkownik≤w jako zaufane do delegowania brak
Wymusiµ zamkniΩcie z systemu zdalnego Administratorzy
Dokonaµ inspekcji zabezpiecze± brak
ZwiΩkszyµ przydzia│y Administratorzy
ZwiΩkszyµ priorytet wykonania Administratorzy
Za│adowaµ i usun╣µ sterowniki urz╣dze± Administratorzy
Zablokowaµ strony w pamiΩci brak
Zalogowaµ siΩ jako wsad brak
Zalogowaµ siΩ jako us│uga brak
Zalogowaµ siΩ lokalnie Domena komputera \Go£µ
Zarz╣dzaµ dziennikami inspekcji i zabezpiecze± Administratorzy
Zmodyfikowaµ warto£ci £rodowiskowe firmware Administratorzy
Utworzyµ profil pojedynczego procesu U┐ytkownicy zaawansowani
Utworzyµ profil wydajno£ci systemu Administratorzy
Usun╣µ komputer ze stacji dokowania U┐ytkownicy
Zast╣piµ znacznik poziomu procesu brak
Odtworzyµ pliki i katalogi Operatorzy kopii zapasowej
Zamkn╣µ system U┐ytkownicy
Synchronizacja danych us│ugi katalogowej brak
Przej╣µ pliki lub inne obiekty na w│asno£µ Administratorzy

Uwaga Aby pozwoliµ u┐ytkownikom zalogowaµ siΩ na danym komputerze, nale┐y nadaµ u┐ytkownikowi lub grupie u┐ytkownik≤w prawo Zalogowaµ siΩ lokalnie wymienione powy┐ej.


Tabela 13.13 Domy£lne ustawienia opcji zabezpiecze± na komputerze lokalnym
UstawienieWarto£µ domy£lna
Dodatkowe ograniczenia po│╣cze± anonimowych Polegaj na uprawnieniach domy£lnych (brak ustawie±)
Zezwalaj operatorom serwer≤w na planowanie zada± (dotyczy tylko kontroler≤w domeny) Nieokre£lona
Zezwalaj na zamkniΩcie systemu bez zalogowania W│╣czone
Zezwalaj na wysuniΩcie wymiennych urz╣dze± NTFS Administratorzy
Okres bezczynno£ci przed roz│╣czeniem sesji 15 minut
Inspekcja dostΩpu do globalnych obiekt≤w systemowych Wy│╣czone
Inspekcja korzystania z przywileju kopii zapasowej i odtworzenia Wy│╣czone
Automatycznie wyloguj u┐ytkownik≤w po wyga£niΩciu czasu logowania (lokalnie) W│╣czone
Wyczy£µ plik wymiany pamiΩci wirtualnej przy zamykaniu systemu Wy│╣czone
Podpisz cyfrowo komunikacje klienta (zawsze) Wy│╣czone
Podpisz cyfrowo komunikacje klienta (gdy jest to mo┐liwe) W│╣czone
Podpisz cyfrowo komunikacje serwera (zawsze) Wy│╣czone
Podpisz cyfrowo komunikacje serwera (gdy jest to mo┐liwe) Wy│╣czone
Wy│╣cz wymaganie CTRL+ALT+DEL przy logowaniu Nieokre£lona
Nie wy£wietlaj ostatniej nazwy u┐ytkownika na ekranie logowania Wy│╣czone
Poziom identyfikacji Mened┐era LAN Wysy│aj odpowiedzi LM i NTLM
Tekst komunikatu dla u┐ytkownik≤w pr≤buj╣cych siΩ zalogowaµ brak
Tytu│ komunikatu dla u┐ytkownik≤w pr≤buj╣cych siΩ zalogowaµ brak
Liczba poprzednich zalogowa± do buforowania (na wypadek niedostΩpno£ci kontrolera domeny) 10
Zapobiegaj konserwacji systemowej has│a konta komputera Wy│╣czone
Nie zezwalaj u┐ytkownikom na instalacjΩ sterownik≤w drukarek Wy│╣czone
Monituj u┐ytkownika o zmianΩ has│a przed wyga£niΩciem 14 dni
Konsola odzyskiwania: zezwalaj na automatyczne zalogowanie administracyjne Wy│╣czone
Konsola odzyskiwania: zezwalaj na kopiowanie na dyskietce i dostΩp do wszystkich dysk≤w i wszystkich folder≤w Wy│╣czone
Zmiana nazwy konta administratora Nieokre£lona
Zmiana nazwy konta go£cia Nieokre£lona
Ogranicz dostΩp do CD-ROM do lokalnie zalogowanego u┐ytkownika Wy│╣czone
Ogranicz dostΩp do dyskietki do lokalnie zalogowanego u┐ytkownika Wy│╣czone
Kana│ bezpieczny: cyfrowo zaszyfruj lub podpisz dane kana│u bezpiecznego (zawsze) Wy│╣czone
Kana│ bezpieczny: cyfrowo zaszyfruj dane kana│u bezpiecznego (gdy jest to mo┐liwe) W│╣czone
Kana│ bezpieczny: cyfrowo podpisz dane kana│u bezpiecznego (gdy jest to mo┐liwe) W│╣czone
Kana│ bezpieczny: wymagaj mocnego klucza sesji (Windows 2000 lub p≤ƒniejszego) Wy│╣czone
Wy£lij niezaszyfrowane has│o w celu po│╣czenia z zewnΩtrznymi serwerami SMB Wy│╣czone
Zamknij system natychmiast, gdy nie mo┐na dokonywaµ inspekcji zabezpiecze± Wy│╣czone
Zachowanie przy usuwaniu karty inteligentnej Brak akcji
Wzmocnij domy£lne uprawnienia globalnych obiekt≤w systemowych (na przyk│ad, ú╣czy symbolicznych) W│╣czone
Zachowanie przy instalacji niepodpisanych sterownik≤w Nieokre£lona
Zachowanie przy instalacji niepodpisanych obiekt≤w innych ni┐ sterowniki Nieokre£lona

Zasady klucza publicznego      W tabeli 13.14 przedstawione s╣ domy£lne ustawienia zasad Agenta odzyskiwanie zaszyfrowanych danych.

Tabela 13.14 Domy£lne ustawienia zasad Agenta odzyskiwania danych zaszyfrowanych
Wydany komuWydany przezData wyga£niΩciaZamierzone celeNazwa przyjaznaStatus
Odczyt
Administratorowi Administratora 10/8/99 Odtwarzanie plik≤w brak brak

Lokalne Zasady zabezpiecze± IPSec      W tabeli poni┐ej przedstawione s╣ domy£lnie ustawienia Zasad zabezpiecze± IPSec na komputerze lokalnym.

Tabela 13.15 Domy£lne ustawienia Zasad zabezpiecze± IPSec na komputerze lokalnym
Nazwa ustawieniaOpisW│╣czone
Klient (tylko odpowiedƒ) Normalna (niezabezpieczona) komunikacja. Regu│Ω odpowiedzi domy£lnej stosuje siΩ podczas negocjacji z serwerami ┐╣daj╣cymi zabezpiecze±. Zabezpieczony jest tylko ┐╣dany protok≤│ i ruch portowy z danym serwerem. Nie
Bezpieczny serwer (wymagaj zabezpiecze±) Komunikacje IP zawsze musz╣ byµ zabezpieczone przy u┐yciu zaufania Kerberos. Niezabezpieczona komunikacja z niezaufanymi klientami jest zabroniona. Nie
Serwer (┐╣daj zabezpiecze±) W przypadku komunikacji IP zabezpieczenia zaufania Kerberos s╣ zawsze ┐╣dane. Dopuszczalna jest niezabezpieczona komunikacja z klientami nie odpowiadaj╣cymi na ┐╣danie zabezpiecze±. Nie


     Ustawienia wed│ug warto£ci domy£lnej      W tej czΩ£ci przedstawione s╣ listy ustawie± w│╣czonych, wy│╣czonych lub nieokre£lonych.

W│╣czone

     Poni┐sze ustawienia s╣ domy£lnie w│╣czone po instalacji systemu Windows 2000 Professional na komputerze autonomicznym:

Wy│╣czone

     Poni┐sze ustawienia s╣ domy£lnie wy│╣czone po instalacji systemu Windows 2000 Professional na komputerze autonomicznym:

Nieokre£lone

     Poni┐sze ustawienia s╣ domy£lnie nieokre£lone. Nie oznacza to braku warto£ci tych parametr≤w w systemie, tylko brak zdefiniowanych zasad lokalnych dotycz╣cych tych parametr≤w.

Nienadane

     Podczas czystej instalacji systemu Windows 2000 Professional na komputerze autonomicznym poni┐sze prawa nie s╣ nadane ┐adnej grupie:

Por≤wnanie uprawnie± grup

     Wymienione poni┐ej zadania mog╣ byµ wykonywane przez cz│onk≤w grupy Administratorzy, ale nie mog╣ byµ wykonywane przez U┐ytkownik≤w zaawansowanych:      Wymienione poni┐ej zadania mog╣ byµ wykonywane przez cz│onk≤w grupy U┐ytkownicy zaawansowani, ale nie mog╣ byµ wykonywane przez cz│onk≤w grupy U┐ytkownicy:      Domy£lnie cz│onkowie grupy U┐ytkownicy zaawansowani otrzymuj╣ nastΩpuj╣ce uprawnienia:      DziΩki powy┐szym uprawnieniom, cz│onek grupy U┐ytkownicy zaawansowani mo┐e:      Z drugiej strony, U┐ytkownicy zaawansowani mog╣ tak┐e:

Szablony zabezpiecze±

     Szablon zabezpiecze± jest plikiem zawieraj╣cym ustawienia Zasad zabezpiecze±, kt≤re mog╣ zostaµ zastosowane na komputerze lokalnym lub za│adowane do obiektu Zasad grup w Active Directory. Szablony zabezpiecze± s╣ skutecznym sposobem zastosowania jednolitych ustawie± zabezpieczaj╣cych na wielu komputerach w przypadku, gdy z jakiej£ przyczyny nie mo┐na u┐ywaµ ustawie± Zasad grup na poziomie domeny.
     System Windows 2000 zawiera zbi≤r szablon≤w zabezpiecze± do u┐ycia przy konfigurowaniu £rodowiska. Ka┐dy szablon zawiera profil ustawie± odpowiednich dla okre£lonego poziomu zabezpieczenia i dla r≤┐nych r≤l komputer≤w z systemem Windows 2000, w tym dla komputera klienckiego.
     Szablon zabezpiecze± mo┐na importowaµ do obiektu Zasad grup i zastosowaµ do klasy komputer≤w. Alternatywnie mo┐na importowaµ go do prywatnej bazy danych w celu zbadania i skonfigurowania Zasad zabezpiecze± na komputerze lokalnym.

Spos≤b dzia│ania szablon≤w zabezpiecze±

     Szablony zabezpiecze± oferuj╣ zbiory standardowych ustawie± zabezpieczaj╣cych s│u┐╣ce jako modele zasad zabezpiecze±. S│u┐╣ tak┐e do rozwi╣zania problem≤w na komputerach posiadaj╣cych ustawienia nieznane lub niezgodne z zasadami. Szablony zabezpiecze± pozostaj╣ bezczynne, dop≤ki nie zostan╣ za│adowane do obiektu Zasad grup lub do snap-in MMC Konfiguracja i analiza zabezpiecze±.

Warunki zastosowania szablon≤w zabezpiecze±

     Szablony zabezpiecze± s╣ standardow╣ cech╣ systemu Windows 2000 i nie wi╣┐╣ siΩ ze specjalnymi wymaganiami. Jednak szablony powinny zostaµ przetestowane przed ich zastosowaniem na komputerach u┐ytkownik≤w.

Spos≤b zastosowania szablon≤w zabezpiecze±

     Szablony zabezpiecze± mo┐na zmodyfikowaµ w snap-in MMC Szablony zabezpiecze±.
     W snap-in Konfiguracja i analiza zabezpiecze± mo┐na importowaµ i eksportowaµ szablony oraz por≤wnaµ szablon z ustawieniami obowi╣zuj╣cymi na komputerze lokalnym. KonfiguracjΩ komputera mo┐na dopasowaµ do szablonu.
     Przed zastosowaniem szablon≤w nale┐y otworzyµ na komputerze bazΩ danych konfiguracji i analizy zabezpiecze±.

Aby otworzyµ bazΩ danych zabezpiecze±, nale┐y:
  1. Otworzyµ snap-in MMC Konfiguracja i analiza zabezpiecze±.
  2. Klikn╣µ prawym przyciskiem myszy snap-in Konfiguracja i analiza zabezpiecze± i klikn╣µ opcjΩ Otw≤rz bazΩ danych.
  3. Otworzyµ istniej╣c╣ bazΩ danych lub wpisaµ nazwΩ nowej bazy danych i klikn╣µ przycisk Otw≤rz.
  4. Zaznaczyµ szablon przeznaczony do importu do bazy danych i klikn╣µ przycisk Otw≤rz.
     NastΩpnie mo┐na zastosowaµ wybrany szablon.

Aby zaimportowaµ szablon zabezpiecze± do obiektu Zasad grup, nale┐y:
  1. Otworzyµ snap-in MMC Konfiguracja i analiza zabezpiecze±.
  2. Klikn╣µ snap-in prawym przyciskiem myszy i wybraµ opcjΩ Konfiguruj komputer teraz.
  3. Zaznaczyµ plik szablonu zabezpiecze± (*.inf) i klikn╣µ przycisk Otw≤rz.
  4. Klikn╣µ Przegl╣daj, okre£liµ miejsce przechowywania dziennika b│Ωd≤w konfiguracji zabezpiecze± i klikn╣µ przycisk OK.
     WiΩcej informacji o szablonach zabezpiecze± i gotowych szablonach znajduje siΩ w Pomocy systemu Windows 2000 Server.

Kwestie dotycz╣ce szablon≤w zabezpiecze±

     W por≤wnaniu z systemem Windows NT 4.0, domy£lne uprawnienia w Windows 2000 oferuj╣ znaczne podwy┐szenie poziomu zabezpieczenia. Uprawnienia nadawane s╣ trzem grupom: U┐ytkownicy, U┐ytkownicy zaawansowani i Administratorzy. W wiΩkszo£ci przypadk≤w grupy te nie powinny wymagaµ modyfikacji.
     Domy£lnie grupa U┐ytkownicy posiada uprawnienia dostΩpu odpowiednie dla nieadministracyjnych u┐ytkownik≤w systemu, uprawnienia U┐ytkownik≤w zaawansowanych s╣ zwrotnie kompatybilne z grup╣ U┐ytkownicy w Windows NT 4.0, a Administratorzy otrzymuj╣ pe│n╣ kontrolΩ systemu. Zabezpieczenie systemu opartego na Windows 2000 polega wiΩc w du┐ym stopniu na przypisaniu u┐ytkownik≤w odpowiednim grupom.
     Je£li wszystkie u┐ytkowane aplikacje s╣ kompatybilne ze specyfikacj╣ Windows 2000, mo┐na do│╣czyµ wszystkich u┐ytkownik≤w do grupy U┐ytkownicy. Jednak u┐ytkownicy uruchamiaj╣cy niekompatybilne aplikacje prawdopodobnie bΩd╣ potrzebowaµ przywilej≤w U┐ytkownik≤w zaawansowanych. Przed rozwa┐eniem zastosowania dodatkowych szablon≤w konieczne jest okre£lenie poziomu dostΩpu (U┐ytkownicy, U┐ytkownicy zaawansowani, Administratorzy) wymaganego przez u┐ytkownik≤w do uruchomienia potrzebnych im aplikacji.

Typy szablon≤w zabezpiecze±

     Po okre£leniu grup u┐ytkownik≤w mo┐na zastosowaµ szablony zabezpiecze±, w nastΩpuj╣cy spos≤b:
Podstawowe
     Podstawowe szablony zawieraj╣ domy£lne ustawienia kontroli dostΩpu opisane powy┐ej. Szablony te mo┐na zastosowaµ po uaktualnieniu komputera z systemem Windows NT do Windows 2000. W ten spos≤b uaktualniony komputer otrzyma te same ustawienia domy£lne co komputery, na kt≤rych przeprowadzono czyst╣ instalacjΩ systemu Windows 2000. Szablony podstawowe mo┐na zastosowaµ tak┐e w celu odtworzenia warto£ci domy£lnych po dokonaniu zmian.
Zabezpieczenia plik≤w komponent≤w opcjonalnych
     Szablony Komponenty opcjonalne umo┐liwiaj╣ zastosowanie zabezpiecze± domy£lnych do plik≤w komponent≤w opcjonalnych zainstalowanych podczas instalacji systemu Windows 2000 lub p≤ƒniej. Szablony Komponenty opcjonalne powinny byµ u┐ywane w kombinacji z szablonami Podstawowymi.
Kompatybilny
     Szablon Kompatybilny umo┐liwia rozszerzenie uprawnie± cz│onk≤w grupy U┐ytkownicy w taki spos≤b, aby mogli uruchomiµ aplikacje odziedziczone (niekompatybilne ze specyfikacj╣ Windows 2000) bez konieczno£ci do│╣czania do grupy U┐ytkownicy zaawansowani (kt≤rej cz│onkowie posiadaj╣ dodatkowe prawa, takie jak mo┐liwo£µ tworzenia dzier┐aw). Komputera skonfigurowanego przy u┐yciu szablonu Kompatybilnego nie nale┐y traktowaµ jako instalacji zabezpieczonej.
Bezpieczny
     Szablon Bezpieczny ma na celu zabezpieczenie systemu operacyjnego i sieci poprzez zmiany takie, jak usuniΩcie wszystkich cz│onk≤w grupy U┐ytkownicy zaawansowani i narzucenie u┐ycia mocniejszych hase│. Szablon ten nie zabezpiecza zachowania aplikacji i nie modyfikuje uprawnie±, dlatego u┐ytkownicy posiadaj╣cy odpowiednie uprawnienia mog╣ wci╣┐ korzystaµ z aplikacji odziedziczonych, pomimo ┐e z  grupy U┐ytkownicy zaawansowani zostaj╣ usuniΩci wszyscy jej cz│onkowie (dziΩki zdefiniowaniu tej grupy jako grupy ograniczonej).
Wysokiego bezpiecze±stwa
     Szablon Wysokiego bezpiecze±stwa zawiera parametry zapewniaj╣ce wy┐szy poziom zabezpieczenia ni┐ szablon Bezpieczny. Na przyk│ad szablon Bezpieczny umo┐liwia podpisywanie pakiet≤w SMB i wy£wietla ostrze┐enie w przypadku instalacji sterownik≤w niepodpisanych, podczas gdy szablon Wysokiego bezpiecze±stwa wymusza podpisywanie pakiet≤w SMB i blokuje instalacjΩ sterownik≤w niepodpisanych. Szablon Wysokiego bezpiecze±stwa ustawia wiele parametr≤w na warto£ci daj╣ce najwy┐szy poziom zabezpieczenia bez uwzglΩdnienia wydajno£ci, │atwo£ci obs│ugi i │╣czno£ci z klientami posiadaj╣cymi inne systemy. Szablon ten zmienia domy£lne uprawnienia dostΩpu nadawane U┐ytkownikom zaawansowanym, tak aby by│y identyczne z uprawnieniami cz│onk≤w grupy U┐ytkownicy. W ten spos≤b administratorzy mog╣ nadaµ u┐ytkownikom przywileje U┐ytkownik≤w zaawansowanych (na przyk│ad prawo tworzenia dzier┐aw) bez konieczno£ci nadania im dostΩpu do rejestru czy systemu plikowego. Ustawienia szablonu Wysokiego bezpiecze±stwa wymagaj╣ technologii Windows 2000 û u┐ycie tego szablonu w £rodowisku zawieraj╣cym system Windows 98 lub Windows NT mo┐e spowodowaµ problemy.

DostΩp zdalny

     Us│uga Routing i dostΩp zdalny umo┐liwia pod│╣czenie do sieci poprzez telefon. W tej czΩ£ci om≤wione s╣ cechy tej us│ugi zwi╣zane z zabezpieczeniami dostΩpu zdalnego.

Spos≤b dzia│ania dostΩpu zdalnego

     Klient uzyskuje po│╣czenie telefoniczne z serwerem dostΩpu zdalnego usytuowanym w sieci docelowej i uzyska dostΩp do sieci pod warunkiem, ┐e:      DostΩp do sieci mo┐e byµ ograniczony do okre£lonych serwer≤w, podsieci i typ≤w protoko│≤w, w zale┐no£ci od profilu dostΩpu zdalnego powi╣zanego z klientem. W przeciwnym przypadku u┐ytkownik zdalny bΩdzie mia│ dostΩp do wszystkich us│ug normalnie dostΩpnych u┐ytkownikom sieci lokalnej (takich jak udostΩpnione pliki i drukarki, serwery internetowe i zawiadamianie).

Identyfikacja

     Identyfikacja u┐ytkownik≤w pozwala ograniczyµ dostΩp zdalny do zasob≤w tylko do u┐ytkownik≤w upowa┐nionych.

Bezpieczna identyfikacja u┐ytkownik≤w

     Bezpieczna identyfikacja u┐ytkownik≤w polega na wymianie zaszyfrowanych danych identyfikacyjnych. Jest to mo┐liwe przy stosowaniu protoko│u dostΩpu zdalnego PPP wraz z protoko│em identyfikacyjnym EAP, MS-CHAP wersja 1 albo 2, CHAP lub SPAP. Serwer dostΩpu zdalnego mo┐e byµ skonfigurowany tak, aby wymagaµ bezpiecznej metody identyfikacji. Je£li klient zdalny nie mo┐e wykonywaµ bezpiecznej identyfikacji, to nie uzyska po│╣czenia.

Identyfikacja wzajemna

     Identyfikacja wzajemna polega na wymianie zaszyfrowanych danych identyfikuj╣cych obie strony po│╣czenia û klienta (dla serwera) a nastΩpnie serwera (dla klienta). Jest to mo┐liwe przy stosowaniu protoko│u dostΩpu zdalnego PPP wraz z protoko│em identyfikacyjnym EAP-TLS (EAP Transport Level Security) lub MS-CHAP 2.
     W niekt≤rych przypadkach serwer dostΩpu zdalnego mo┐e nie wymagaµ identyfikacji klienta. Jednak┐e klient Windows 2000 skonfigurowany dla tylko MS-CHAP 2 lub tylko dla EAP-TLS zawsze wymaga wzajemnej identyfikacji klienta i serwera. Je£li serwer nie odpowie na ┐╣danie identyfikacji, to klient zamknie po│╣czenie.
     WiΩcej informacji o identyfikacji u┐ytkownik≤w znajduje siΩ wcze£niej w tym rozdziale, w paragrafie äIdentyfikacja u┐ytkownik≤wö.

Realizacja bezpiecznego dostΩpu zdalnego

     W systemie Windows 2000 bezpieczny dostΩp zdalny zapewniony jest przez wirtualne sieci prywatne (VPN).

W│╣czanie dostΩpu zdalnego

     Aby w│╣czyµ dostΩp zdalny na komputerze z systemem Windows 2000 Professional, nale┐y ustanowiµ po│╣czenie typu VPN. Instrukcje znajduj╣ siΩ w Pomocy Windows 2000 Professional.
     U┐ytkownicy korzystaj╣cy z dostΩpu zdalnego musz╣ posiadaµ uprawnienia telefoniczne w domenie docelowej.
     WiΩcej informacji o dostΩpie zdalnym oraz o instalacji i konfiguracji serwera dostΩpu zdalnego znajduje siΩ w Pomocy Windows 2000 Server. Informacje o identyfikacji u┐ytkownik≤w zdalnych znajduj╣ siΩ w publikacji Microsoft Windows 2000 Server Resource Kit û Integracja MiΩdzysieciowa w rozdziale äSerwer zdalnego dostΩpuö.

Kwestie dotycz╣ce dostΩpu zdalnego

     Uprawnienia dostΩpu zdalnego s╣ skuteczne tylko pod warunkiem, ┐e skonfigurowane s╣ odpowiednie zasady dostΩpu zdalnego na serwerze dostΩpu zdalnego.
     System Windows 2000 wspiera nastΩpuj╣ce metody identyfikacji u┐ytkownik≤w zdalnych:      Firma Microsoft zaleca opracowanie planu zabezpieczenia sieci obejmuj╣cego nastΩpuj╣ce informacje:

Zasady dostΩpu zdalnego na serwerach

     Oparte na systemie Windows 2000 serwery dostΩpu zdalnego dzia│aj╣ zgodnie ze skonfigurowanymi Zasadami zabezpieczenia okre£laj╣cymi, na przyk│ad, godziny i dni, kiedy serwer przyjmuje ┐╣dania dostΩpu zdalnego, oraz stosowane protoko│y i metody identyfikacji.

Elementy bezpiecznego dostΩpu zdalnego

     System Windows 2000 oferuje szeroki asortyment funkcji zabezpieczaj╣cych sieµ w zakresie dostΩpu zdalnego, na przyk│ad bezpieczn╣ identyfikacjΩ u┐ytkownik≤w, wzajemn╣ identyfikacjΩ, szyfrowanie danych, wywo│ywanie zwrotne i telefoniczne identyfikatory linii.

Szyfrowanie danych

     Dane transmitowane miΩdzy serwerem a klientem zdalnym s╣ zaszyfrowane, tak aby haker przechwytuj╣cy dane nie m≤g│ ich odczytaµ. Zaszyfrowane s╣ tylko dane znajduj╣ce siΩ na po│╣czeniu komunikacyjnym pomiΩdzy klientem a serwerem dostΩpu zdalnego. Aby zapewniµ szyfrowanie typu end-to-end, nale┐y wykorzystaµ IPSec do ustanowienia szyfrowego po│╣czenia end-to-end po ustanowieniu po│╣czenia dostΩpu zdalnego.
Uwaga IPSec mo┐e s│u┐yµ tak┐e do szyfrowania po│╣czenia wirtualnej sieci prywatnej opartego na protokole L2TP. WiΩcej informacji znajduje siΩ w tomie Integracja MiΩdzysieciowa publikacji Microsoft Windows 2000 Server Resource Kit w rozdziale äWirtualne sieci prywatneö .
     Szyfrowanie danych na po│╣czeniu dostΩpu zdalnego oparte jest na tajnym kluczu znanym serwerowi i klientowi. Klucz generowany jest podczas identyfikacji u┐ytkownika.
     Szyfrowanie danych na telefonicznych po│╣czeniach dostΩpu zdalnego jest mo┐liwe w≤wczas, gdy u┐ywany jest protok≤│ dostΩpu zdalnego PPP wraz z protoko│em identyfikacyjnym EAP-TLS lub MS-CHAP. Je£li serwer jest skonfigurowany tak, aby wymagaµ szyfrowania, a klient nie mo┐e wykonywaµ wymaganych operacji szyfrowania, to po│╣czenie nie zostanie nawi╣zane.
     Klienci i serwery dostΩpu zdalnego z systemami Windows 2000, Windows NT 4.0, Windows 98 i Windows 95 wspieraj╣ protok≤│ MPPE, kt≤ry oparty jest na kodzie strumieniowym Rivest-Shamir-Adleman (RSA) RC4 oraz na 40-, 56- lub 128-bitowych tajnych kluczach. Klucze MPPE s╣ generowane podczas procesu identyfikacji opartego na MS-CHAP lub EAP-TLS.

Wywo│ywanie zwrotne

     Gdy stosowane jest wywo│ywanie zwrotne, to po zatwierdzeniu danych identyfikuj╣cych u┐ytkownika serwer dostΩpu zdalnego telefonuje do klienta pod okre£lony numer. Mo┐e to byµ numer podany przez u┐ytkownika (na przyk│ad, gdy serwer oddzwania do u┐ytkownika mobilnego w celu obni┐enia koszt≤w po│╣czenia), ale bezpieczna wersja wywo│ywania zwrotnego polega na telefonowaniu do klienta pod sta│y numer przechowywany na serwerze.

Telefoniczne identyfikatory linii

     Identyfikatory linii s│u┐╣ do zatwierdzenia, ┐e u┐ytkownik telefonuje z okre£lonego numeru. Je£li w│a£ciwo£ci konta u┐ytkownika okre£laj╣, ┐e ma byµ stosowana identyfikacja linii, a identyfikator po│╣czenia jest niezgodny z okre£lonym identyfikatorem danego u┐ytkownika, to po│╣czenie nie zostanie nawi╣zane.
     Identyfikatory linii musz╣ byµ wspierane przez linie telefoniczne klienta i serwera, przez sieµ telefoniczn╣ i przez sterownik sprzΩtu telefonicznego w Windows 2000. Je£li konto u┐ytkownika jest skonfigurowane tak, aby wymagaµ identyfikacji linii, a identyfikator nie jest przekazywany us│udze Routing i dostΩp zdalny, to po│╣czenie nie zostanie nawi╣zane.
     Identyfikatory linii zapewniaj╣ wy┐szy poziom zabezpieczenia sieci obs│uguj╣cej u┐ytkownik≤w zdalnych, ale ich stosowanie zmusza u┐ytkownik≤w do telefonowania tylko z okre£lonej linii telefonicznej.

Blokowanie kont dostΩpu zdalnego

     Po okre£lonej liczbie nieudanych pr≤b zalogowania pod danym kontem, konto mo┐e zostaµ zablokowane. Jest to szczeg≤lnie wa┐ne w przypadku internetowych po│╣cze± VPN. Haker dzia│aj╣cy w Internecie mo┐e pr≤bowaµ uzyskaµ dostΩp do sieci wewnΩtrznej organizacji, wysy│aj╣c nazwΩ znanego u┐ytkownika wraz z setkami lub tysi╣cami r≤┐nych potencjalnych hase│ (opartych na li£cie czΩsto u┐ywanych wyraz≤w i fraz). Gdy blokowanie kont jest w│╣czone, to tego typu atak zostanie udaremniony po okre£lonej licznie nieudanych pr≤b.
     Wadami blokowania kont s╣: mo┐liwo£µ zablokowania konta u┐ytkownika, kt≤ry zapomnia│ swoje has│o, oraz mo┐liwo£µ celowego zablokowania kont przez osob╣ zewnΩtrzn╣.
     Aby skonfigurowaµ blokowanie kont, nale┐y zmieniµ ustawienia w rejestrze Windows 2000 na komputerze wykonuj╣cym identyfikacjΩ. W przypadku identyfikacji Windows jest to serwer dostΩpu zdalnego, a w przypadku identyfikacji RADIUS/Windows 2000 IAS û serwer IAS.
     Aby w│╣czyµ blokowanie kont, nale┐y ustawiµ warto£µ MaxDenials pod kluczem rejestrowym HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout na liczbΩ wiΩksz╣ od zera. MaxDenials okre£la maksymaln╣ liczbΩ nieudanych pr≤b zalogowania przed zablokowaniem konta. Domy£lna warto£µ MaxDenials wynosi 0 (blokowanie wy│╣czone).
     Parametr ResetTime (mins) pod tym samym kluczem rejestrowym okre£la czas (w minutach), po kt≤rym licznik nieudanych pr≤b zostanie zresetowany. Domy£lna warto£µ tego parametru wynosi 0xb40, czyli 2880 minut (48 godzin).
     Aby zresetowaµ zablokowane konto, nale┐y usun╣µ z rejestru nastΩpuj╣cy podklucz:
     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout\nazwa domeny:nazwa u┐ytkownika
Uwaga Funkcja blokowania kont dostΩpu zdalnego nie jest zwi╣zana z ustawieniem Konto zablokowane na zak│adce Konto w│a£ciwo£ci konta u┐ytkownika, ani z ustawieniami Zasad grup dotycz╣cymi blokowania kont w systemie Windows 2000.
     Informacje o ustanawianiu bezpiecznych po│╣cze± zdalnych i po│╣cze± VPN znajduj╣ siΩ w Pomocy systemu Windows 2000 Professional.

Protoko│y tunelowania w dostΩpie zdalnym

     System Windows 2000 wykorzystuje do tworzenia sieci VPN protoko│y PPTP, L2TP oraz zabezpieczenia IPSec. Szczeg≤│owe informacje o sieciach VPN i ich protoko│ach znajduj╣ siΩ w publikacji Microsoft Windows 2000 Server Resource Kit û Integracja MiΩdzysieciowa.

Protok≤│ PPTP

     Protok≤│ PPTP (Point-to-Point Tunneling Protocol) tworzy z ramek PPP (Point-to-Point Protocol) datagramy do transmisji w sieci IP (Internecie lub sieci wewnΩtrznej). PPTP udokumentowany jest w dokumencie RFC 2637.
     Protok≤│ PPTP wykorzystuje po│╣czenie TCP (zwane po│╣czeniem kontroli PPTP) do utworzenia, utrzymywania i zamkniΩcia tunelu oraz zmodyfikowan╣ wersjΩ GRE (Generic Routing Encapsulation) do przekszta│cania ramek PPP w dane tunelowe. Zawarto£µ ramek mo┐e byµ zaszyfrowana i/lub skompresowana.
     Protok≤│ PPTP wymaga dostΩpno£ci sieci IP │╣cz╣cej klienta PPTP (klienta VPN stosuj╣cego protok≤│ PPTP) z serwerem PPTP (serwerem VPN stosuj╣cym protok≤│ PPTP). Po│╣czenie pomiΩdzy klientem a serwerem mo┐e byµ sta│e lub mo┐e byµ uzyskane telefonicznie poprzez serwer dostΩpu do sieci (NAS).
     Podczas tworzenia po│╣czenia VPN opartego na PPTP stosowane s╣ te same mechanizmy identyfikacji jak w przypadku po│╣cze± PPP, na przyk│ad: EAP, MS-CHAP, CHAP, SPAP i PAP. PPTP szyfruje i/lub kompresuje pakiety PPP zgodnie z konfiguracj╣ PPP. W systemie Windows 2000, szyfrowanie MPPE wymaga u┐ycia EAP-TLS lub MS-CHAP.
     Szyfrowanie MPPE dotyczy tylko danych transmitowanych w po│╣czeniu. Aby skorzystaµ z szyfrowania typu end-to-end (szyfrowania dotycz╣cego danych na ca│ej trasie pomiΩdzy aplikacj╣ klienck╣ a serwerem, na kt≤rym znajduje siΩ ┐╣dana us│uga lub zas≤b), nale┐y zastosowaµ IPSec (po ustanowieniu tunelu PPTP).

Protok≤│ L2TP

     L2TP (Layer Two Tunneling Protocol) jest kombinacj╣ PPTP i L2F (Layer 2 Forwarding û technologii firmy Cisco Systems). Aby unikn╣µ istnienia na rynku dw≤ch niekompatybilnych protoko│≤w tunelowania, zesp≤│ IETF postanowi│ utworzyµ pojedynczy protok≤│ zawieraj╣cy najlepsze cechy PPTP i L2F. Protok≤│ L2TP udokumentowany jest w dokumencie RFC 2661.
     L2TP umo┐liwia przesy│anie ramek PPP w sieciach typu IP, X.25, Frame Relay lub ATM. Aktualnie istniej╣ definicje L2TP tylko w stosunku do sieci IP. W sieciach IP (Internecie i prywatnych sieciach wewnΩtrznych) ramki L2TP przesy│ane s╣ w postaci wiadomo£ci UDP.
     Protok≤│ PPTP wymaga dostΩpno£ci sieci IP │╣cz╣cej klienta PPTP (klienta VPN stosuj╣cego protok≤│ PPTP) z serwerem PPTP (serwerem VPN stosuj╣cym protok≤│ PPTP). Po│╣czenie pomiΩdzy klientem a serwerem mo┐e byµ sta│e lub mo┐e byµ uzyskane telefonicznie poprzez serwer dostΩpu do sieci (NAS)
     L2TP wymaga dostΩpno£ci sieci IP │╣cz╣cej klienta L2TP (klienta VPN stosuj╣cego protok≤│ L2TP i IPSec) z serwerem L2TP (serwerem VPN stosuj╣cym protok≤│ L2TP i IPSec). Po│╣czenie pomiΩdzy klientem a serwerem mo┐e byµ sta│e lub mo┐e byµ uzyskane telefonicznie poprzez serwer NAS.
     Identyfikacja odbywaj╣ca siΩ podczas tworzenia tuneli L2TP musi opieraµ siΩ na tych samych mechanizmach co po│╣czenia PPP (EAP, MS-CHAP, CHAP, SPAP, PAP itd.).
     Internetowy serwer L2TP jest serwerem dostΩpu telefonicznego wspieraj╣cym L2TP, posiadaj╣cym interfejs z sieci╣ zewnΩtrzn╣ (Internetem), a drugi interfejs z docelow╣ sieci╣ prywatn╣.

Zabezpieczenia IPSec

     System Windows 2000 oferuje IPSec û seriΩ protoko│≤w umo┐liwiaj╣cych bezpieczn╣, zaszyfrowan╣ komunikacjΩ pomiΩdzy komputerami poprzez niezabezpieczon╣ sieµ. Dane zostaj╣ zaszyfrowane w warstwie sieci IP, co oznacza, ┐e szyfrowanie jest przejrzyste dla wiΩkszo£ci aplikacji stosuj╣cych okre£lone protoko│y komunikacji sieciowej. IPSec zapewnia szyfrowanie typu end-to-end û pakiety zostaj╣ zaszyfrowane przez wysy│aj╣cy je komputer i mog╣ zostaµ rozszyfrowane tylko przez komputer docelowy. DziΩki specjalnemu algorytmowi identyczny klucz szyfrowy zostaje wygenerowany po obu stronach po│╣czenia, bez konieczno£ci przekazania klucza poprzez sieµ.
     Zasady IPSec, podobnie jak inne ustawienia Zasad zabezpiecze±, mog╣ byµ stosowane lokalnie lub na poziomie domeny. Do£wiadczenia w konfigurowaniu zabezpiecze± sieciowych pomog╣ ustaliµ skuteczne zasady dotycz╣ce IPSec.
     WiΩcej informacji o IPSec znajduje siΩ w rozdziale äTCP/IP w systemie Windows 2000 Professionalö.

Spos≤b dzia│ania IPSec

     Zabezpieczenia IPSec zawieraj╣ wiele komponent≤w i opcji, ale og≤lny proces funkcjonuje nastΩpuj╣co:
Uwaga Zapory ogniowe, routery i serwery znajduj╣ce siΩ na trasie sieciowej pomiΩdzy komputerami A a B nie musz╣ wspieraµ IPSec. Pakiety s╣ po prostu przekazywane w normalny spos≤b.
     IPSec chroni dane przed manipulacj╣, przechwyceniem i atakami odtwarzania. IPSec jest wa┐nym elementem strategii poufno£ci danych, integralno£ci danych i nieodrzucenia.

Wymagania IPSec

     Komputery w sieci powinny posiadaµ zdefiniowane zasady IPSec odpowiednie dla stosowanej strategii ochrony sieci i dla rodzaju wykonywanej komunikacji. Komputery nale┐╣ce do tej samej domeny mog╣ byµ zorganizowane w grupach, do kt≤rych mo┐na zastosowaµ zasady IPSec. Informacje o u┐ytkowaniu snap-in Zarz╣dzanie zasadami IPSec oraz o wyborze zasad IPSec dla stacji roboczej znajduj╣ siΩ w Pomocy systemu Windows 2000 Professional.

Spos≤b realizacji IPSec

     Domy£lne zasady IPSec mo┐na zobaczyµ w snap-in MMC Zasady grup. Ustawienia znajduj╣ siΩ pod opcj╣ Zasady IPSec w Active Directory lub opcj╣ Zasady IPSec (Komputer lokalny):

Obiekt Zasad grup
      L Konfiguracja komputera
      L Ustawienia Windows
      L Ustawienia zabezpiecze±
      L Zasady IPSec na komputerze lokalnym

     Zasady IPSec mo┐na zobaczyµ tak┐e w snap-in MMC Zarz╣dzanie zasadami IPSec. Aby zobaczyµ regu│y zawarte w zasadzie, nale┐y klikn╣µ prawym przyciskiem myszy zasadΩ, klikn╣µ W│a£ciwo£ci i wybraµ zak│adkΩ Regu│y. Regu│y mo┐na dalej roz│o┐yµ na listy filtr≤w, akcje filtr≤w i w│a£ciwo£ci dodatkowe.
     Przy planowaniu zabezpiecze± IPSec nale┐y okre£liµ:      WiΩcej informacji na ten temat znajduje siΩ w Pomocy Windows 2000 Server i w publikacji Microsoft Windows 2000 Server Resource Kit û System Sieciowy TCP/IP.

Kwestie dotycz╣ce IPSec

     Gdy szyfrowanie wchodz╣cych i wychodz╣cych pakiet≤w wykonywane jest przez system operacyjny, to IPSec wyczerpuje dodatkowe zasoby procesorowe. Je£li ilo£µ dostΩpnych zasob≤w procesorowych jest du┐a lub je£li szyfrowanie obs│ugiwane jest przez karty interfejsu sieciowego, to wp│yw na wydajno£µ mo┐e byµ znikomy. Jednak w przypadku serwer≤w wspieraj╣cych du┐╣ liczbΩ r≤wnoczesnych po│╣cze± lub transmituj╣cych du┐e ilo£ci danych do innych serwer≤w, dodatkowy koszt szyfrowania jest znacz╣cy. Dlatego nale┐y zachowaµ ostro┐no£µ przy wdra┐aniu IPSec. Przed wdro┐eniem warto przeprowadziµ testy symuluj╣c spodziewany ruch w sieci. Testowanie jest wa┐ne tak┐e w przypadku, gdy zabezpieczenia IPSec zapewniane s╣ przy u┐yciu sprzΩtu lub oprogramowania producent≤w zewnΩtrznych.
     System Windows 2000 zawiera interfejsy urz╣dze± umo┐liwiaj╣ce przyspieszanie szyfrowania IPSec za pomoc╣ inteligentnych kart sieciowych. Producenci kart oferuj╣ r≤┐ne wersje kart klienckich i serwerowych. Niekt≤re mog╣ nie wspieraµ wszystkich kombinacji metod zabezpieczenia IPSec. W dokumentacji ka┐dej karty nale┐y sprawdziµ, czy wspierane s╣ odpowiednie metody zabezpieczenia i ilo£ci po│╣cze±.
     Zasady IPSec mog╣ byµ zdefiniowane na komputerze lokalnym lub dla ca│ej domeny albo jednostki organizacyjnej. Konfiguruj╣c zasady IPSec mo┐na:      Nale┐y rozwa┐yµ u┐ycie IPSec do zabezpieczenia nastΩpuj╣cych rodzaj≤w komunikacji:

Szyfrowy system plik≤w EFS

     EFS (Encrypting File System) jest now╣ funkcj╣ systemu Microsoft Windows 2000 umo┐liwiaj╣c╣ ochronΩ poufnych danych przechowywanych na dyskach opartych na systemie plikowym NTFS. EFS wykorzystuje szyfrowanie klucza symetrycznego w kombinacji z technologi╣ klucza publicznego. Dzia│a jako zintegrowana us│uga systemowa, dlatego jest │atwy w zarz╣dzaniu, trudny do przeprowadzenia skutecznego ataku oraz przejrzysty dla w│a£ciciela pliku i dla aplikacji. W│a£ciciel chronionego pliku mo┐e go otworzyµ i normalnie pracowaµ, ale inni u┐ytkownicy nie maj╣ do niego dostΩpu (z wyj╣tkiem uprawnionych administrator≤w odtwarzania, kt≤rzy w razie potrzeby mog╣ odtworzyµ chronione pliki).

Spos≤b dzia│ania EFS

     W systemie EFS pliki posiadaj╣ce w│╣czony atrybut szyfrowania s╣ przechowywane w formacie tekstu zaszyfrowanego. Gdy plik taki zostanie otworzony w aplikacji przez u┐ytkownika upowa┐nionego, EFS rozszyfruje go i dostarczy zwyk│y tekst aplikacji. Je£li u┐ytkownik dokona modyfikacji, EFS spowoduje automatyczne zapisanie zmian w postaci zaszyfrowanej. Inni u┐ytkownicy nie mog╣ ogl╣daµ ani modyfikowaµ plik≤w zaszyfrowanych przez EFS. Pliki EFS s╣ masowo szyfrowane dla ochrony przed intruzami, kt≤rzy omijaj╣ EFS i pr≤buj╣ odczytaµ pliki za pomoc╣ narzΩdzi dzia│aj╣cych bezpo£rednio na dyskach.
     Poniewa┐ EFS dzia│a w tle na poziomie systemu, aplikacje mog╣ czasem zapisaµ pliki tymczasowe w formie niezaszyfrowanej, co mo┐e byµ niebezpieczne. Dlatego zwykle nale┐y zastosowaµ szyfrowanie nie na poziomie pliku, lecz na poziomie folderu. W tym przypadku pliki dodawane do chronionych folder≤w zostaj╣ automatycznie zaszyfrowane. Aby zaznaczyµ folder jako chroniony w EFS, nale┐y otworzyµ stronΩ w│a£ciwo£ci folderu w Eksploratorze Windows.
     EFS wspierany jest tylko przez wersjΩ NTFS zawart╣ w systemie Windows 2000. Nie dzia│a on w innych systemach plikowych, ani we wcze£niejszych wersjach NTFS. WiΩcej informacji o EFS znajduje siΩ w Pomocy Windows 2000 Professional oraz w publikacji Microsoft Windows 2000 Server Resource Kit û Systemy Rozproszone.

Szyfrowanie plik≤w i technologia klucza publicznego

     Aby EFS dzia│a│, ka┐dy u┐ytkownik EFS musi posiadaµ wa┐ny certyfikat u┐ytkownika EFS i co najmniej jedno konto agenta odtwarzania EFS musi posiadaµ wa┐ny certyfikat odtwarzania EFS. Certyfikaty nie musz╣ byµ wydawane przez urz╣d certyfikacji (CA) û EFS automatycznie generuje w│asne certyfikaty dla u┐ytkownik≤w i dla domy£lnych kont odtwarzania. Klucz prywatny EFS jest generowany i zarz╣dzany przez Microsoft CryptoAPI wraz z podstawowym dostawc╣ us│ug kryptograficznych (CSP) dostarczonym przez Microsoft.
     Proces szyfrowania pliku przez EFS obejmuje nastΩpuj╣ce czynno£ci:      P≤ƒniej EFS u┐ywa prywatnego klucza u┐ytkownika do rozszyfrowania klucza szyfrowania masowego i do rozszyfrowania pliku. Poniewa┐ klucz prywatny znajduje siΩ w posiadaniu tylko danego u┐ytkownika, inni nie mog╣ rozszyfrowywaµ pola DDF.
     W przypadku utraty lub uszkodzenia prywatnego klucza u┐ytkownika EFS pozwala upowa┐nionym kontom agent≤w odtwarzania rozszyfrowaµ i odtworzyµ pliki nale┐╣ce do u┐ytkownika. Dla ka┐dego wyznaczonego agenta odtwarzania EFS wykonuje nastΩpuj╣ce czynno£ci:      Pole DRF mo┐e zawieraµ informacje dla kilku kont odtwarzania. Po dokonaniu ka┐dej operacji systemu plikowego, takiej jak otwarcie, skopiowanie lub przeniesienie pliku, EFS generuje i zapisuje nowe pole DRF przy u┐yciu najnowszych kluczy publicznych znajduj╣cych siΩ na aktualnych certyfikatach odtwarzania. Konta agent≤w odtwarzania mog╣ byµ okre£lane w Zasadach grup.

Odtwarzanie danych zaszyfrowanych

     Odtworzenie plik≤w zaszyfrowanych mo┐e byµ konieczne, na przyk│ad w przypadku zwolnienia pracownika lub uszkodzenia prywatnego klucza u┐ytkownika EFS. NarzΩdzie Cipher, uruchamiane z linii polecenia, s│u┐y do odtworzenia plik≤w na komputerze odtwarzania, na kt≤rym znajduje siΩ aktualne konto agenta odtwarzania wraz z certyfikatem i kluczem prywatnym. Aby odtworzyµ plik, administrator odtwarzania musi zalogowaµ siΩ pod kontem agenta odtwarzania i uruchomiµ Cipher. Konto agenta odtwarzania musi byµ zawarte w do│╣czonym do rozszyfrowywanego pliku polu DRF.
     Ustawienia Zasad grup dotycz╣ce agent≤w odtwarzania danych zaszyfrowanych znajduj╣ siΩ pod zasadami klucza publicznego. Konfiguruj╣c te ustawienia mo┐na okre£liµ konta agent≤w odtwarzania dla domen, jednostek organizacyjnych lub autonomicznych komputer≤w.
     Ustawienia Zasad grup dotycz╣ce agent≤w odtwarzania zawieraj╣ certyfikaty wszystkich wyznaczonych kont agent≤w odtwarzania. EFS korzysta z informacji zawartych w aktualnych ustawieniach Zasad grup do utworzenia i aktualizacji p≤l DRF. Certyfikat agenta odtwarzania zawiera klucz publiczny oraz informacje w spos≤b unikalny identyfikuj╣ce konto agenta.
     Domy£lnym kontem agenta odtwarzania dla komputer≤w sieciowych jest konto administratora domeny znajduj╣ce siΩ na pierwszym zainstalowanym kontrolerze domeny. Na komputerach autonomicznych domy£lnym kontem agenta odtwarzania jest konto administratora lokalnego. Dla domy£lnych kont administracyjnych EFS generuje certyfikaty odtwarzania automatycznie.

Kwestie dotycz╣ce EFS

     Przy planowaniu wdra┐ania systemu Windows 2000 nale┐y zwr≤ciµ uwagΩ na kwestie om≤wione poni┐ej. Mo┐na wy│╣czyµ EFS lub wyznaczyµ alternatywne konta agent≤w odtwarzania. Konieczne jest zapobieganie nadu┐yciu kluczy odtwarzania oraz archiwizacja przestarza│ych certyfikat≤w agent≤w odtwarzania i ich kluczy prywatnych.
Wy│╣czenie EFS dla okre£lonych komputer≤w
     EFS mo┐na wy│╣czyµ za pomoc╣ ustawienia Zasad grup dotycz╣cego domeny, jednostki organizacyjnej lub komputera autonomicznego. Normalnie Zasady grup okre£laj╣ agent≤w odtwarzania dla EFS. Je£li zastosowane zasady nie zawieraj╣ ┐adnych agent≤w, to EFS nie bΩdzie funkcjonowaµ.
Okre£lanie alternatywnych agent≤w odtwarzania
     Agent≤w odtwarzania mo┐na wyznaczyµ za pomoc╣ Zasad grup. Na przyk│ad r≤┐ne konta mog╣ byµ u┐ywane do odtwarzania na komputerach nale┐╣cych do r≤┐nych jednostek organizacyjnych. Odpowiednie ustawienia Zasad grup mo┐na skonfigurowaµ tak┐e na komputerach mobilnych, tak aby te komputery u┐ywa│y tych samych certyfikat≤w odtwarzania niezale┐nie od tego, czy s╣ po│╣czone z domen╣, czy funkcjonuj╣ jako komputery autonomiczne.
     WiΩcej informacji o konfiguracji ustawie± Zasad grup dotycz╣cych agent≤w odtwarzania znajduje siΩ w Pomocy Windows 2000 Professional lub Windows 2000 Server. Wyznaczenie alternatywnych agent≤w odtwarzania wymaga wdro┐enia systemu Windows 2000 Server i Us│ug certyfikat≤w, w celu wydania certyfikat≤w odtwarzania û wiΩcej informacji o Us│ugach certyfikat≤w znajduje siΩ w tomie Systemy Rozproszone publikacji Microsoft Windows 2000 Server Resource Kit w rozdziale äUs│uga certyfikacji Windows 2000 i infrastruktura klucza publicznegoö.
Zabezpieczanie kluczy odtwarzania
     Poniewa┐ zdarza siΩ, ┐e klucze odtwarzania s╣ nadu┐ywane, zaleca siΩ zastosowanie do nich dodatkowych zabezpiecze±. W pierwszej kolejno£ci nale┐y wy│╣czyµ domy£lne konta odtwarzania, eksportuj╣c certyfikat i klucz prywatny do bezpiecznego miejsca i wybieraj╣c opcjΩ powoduj╣c╣ usuniΩcie klucza prywatnego z komputera. Przechowywany certyfikat i klucz mog╣ byµ u┐ywane do operacji odtwarzania plik≤w w p≤ƒniejszym terminie. Jest to szczeg≤lnie wa┐ne w przypadku komputer≤w mobilnych lub innych komputer≤w, do kt≤rych dostΩp mog╣ uzyskaµ osoby nieupowa┐nione. WiΩcej informacji o eksporcie i zabezpieczeniu prywatnych kluczy odtwarzania znajduje siΩ w Pomocy Windows 2000 Professional i Windows 2000 Server.
Archiwizacja kluczy odtwarzania
     W systemie EFS informacje o agencie odtwarzania zostaj╣ od£wie┐one po ka┐dej operacji systemu plik≤w (takiej jak otwarcie, przeniesienie lub skopiowanie pliku). Je£li plik pozostaje przez d│ugi czas nieu┐ywany, to agenci odtwarzania wygasn╣. Dlatego konieczna jest archiwizacja (w bezpiecznym miejscu) certyfikat≤w i kluczy prywatnych agent≤w odtwarzania. Gdy klucze prywatne s╣ eksportowane dla archiwizacji, nale┐y okre£liµ has│o umo┐liwiaj╣ce dostΩp do przechowywanego klucza. Klucze s╣ przechowywane w formacie zaszyfrowanym.
     Aby odtworzyµ pliki po wyga£niΩciu danych agenta odtwarzania, nale┐y odzyskaµ certyfikat i klucz prywatny z archiwum i dokonaµ odtworzenia na komputerze lokalnym. Aby zobaczyµ dane agenta odtwarzania dla danego pliku, nale┐y u┐yµ narzΩdzia efsinfo (opisanego w Pomocy NarzΩdzi Windows 2000).

Technologia klucza publicznego

     System Windows 2000 zawiera infrastrukturΩ klucza publicznego (PKI) wspieraj╣c╣ szeroki asortyment zabezpiecze± opartych na kluczu publicznym. Infrastruktura PKI dostarcza podstawowych us│ug, technologii, protoko│≤w i standard≤w umo┐liwiaj╣cych wdro┐enie i zarz╣dzanie skutecznym, skalowalnym systemem zabezpieczaj╣cym informacje. Do podstawowych komponent≤w PKI nale┐╣ certyfikaty cyfrowe, listy odwo│a± certyfikat≤w i urzΩdy certyfikacji.
     Infrastruktura klucza publicznego w systemie Windows 2000 oparta jest na otwartych standardach zalecanych przez PKIX (zesp≤│ roboczy IETF zajmuj╣cy siΩ infrastrukturami PKI dla certyfikat≤w X.509). DziΩki temu, ┐e zabezpieczenia systemu Windows 2000 oparte s╣ na standardach otwartych, s╣ one kompatybilne z wieloma produktami i systemami oferowanymi przez producent≤w zewnΩtrznych.
     WiΩcej informacji o technologii klucza publicznego znajduje siΩ w publikacji Microsoft Windows 2000 Server Resource Kit û Systemy Rozproszone w rozdzia│ach äKryptografia w sieci i bezpiecze±stwo informacjiö, äWyb≤r rozwi╣za± bezpiecze±stwa stosuj╣cych technologiΩ klucza publicznegoö i äUs│ugi Certyfikacji Windows 2000 i infrastruktura klucza publicznegoö.

Przegl╣d zastosowa± klucza publicznego w systemie Windows 2000

     Technologia klucza publicznego jest wykorzystana przez wiele rozproszonych system≤w zabezpieczaj╣cych w Windows 2000.

Technologie zabezpieczaj╣ce oparte na kluczu publicznym

     TechnologiΩ klucza publicznego wykorzystuj╣ nastΩpuj╣ce systemy zabezpieczenia w Windows 2000:      Zabezpieczenia systemu Windows 2000 oparte na kluczu publicznym wykorzystuj╣ standardowe technologie, takie jak algorytm uzgadniania kluczy Diffiego-Hellmana, algorytmy opracowane przez RSA Data Security oraz algorytm Digital Signature. Wykorzystane s╣ tak┐e standardowe certyfikaty cyfrowe X.509 wersji 3 wydawane przez wybrane, zaufane urzΩdy certyfikacji. Wiele zabezpiecze± w systemie Windows 2000 wykorzystuje klucze publiczne wraz z certyfikatami do zapewnienia identyfikacji, integralno£ci, poufno£ci i nieodrzucenia.

Zalety zabezpiecze± klucza publicznego

     Infrastruktura klucza publicznego w systemie Windows 2000 umo┐liwia wdro┐enie skutecznych rozwi╣za± opartych na certyfikatach cyfrowych i technologii klucza publicznego. Do mo┐liwych rozwi╣za± nale┐╣:

G│≤wne komponenty infrastruktury klucza publicznego

     Do g│≤wnych komponent≤w infrastruktury klucza publicznego w systemie Windows 2000 nale┐╣:

Us│ugi certyfikat≤w systemu Windows 2000

     Aby umo┐liwiµ wydawanie i zarz╣dzanie certyfikatami, organizacja mo┐e wdro┐yµ system Windows 2000 Server wraz z Us│ugami certyfikat≤w. Us│ugi certyfikacji s╣ dostΩpne tak┐e u r≤┐nych producent≤w zewnΩtrznych.
     Us│ugi certyfikat≤w Windows 2000 wspieraj╣ dwa rodzaje urzΩd≤w certyfikacji (CA): CA przedsiΩbiorstwa i CA autonomiczne. CA przedsiΩbiorstwa s╣ zintegrowane z Active Directory i okre£laj╣ rodzaje wydawanych certyfikat≤w za pomoc╣ szablon≤w certyfikat≤w. CA autonomiczne nie wymagaj╣ Active Directory i nie stosuj╣ szablon≤w certyfikat≤w. WiΩcej informacji o Us│ugach certyfikat≤w znajduje siΩ w tomie Systemy Rozproszone publikacji Microsoft Windows 2000 Server Resource Kit, w rozdziale äUs│ugi Certyfikacji Windows 2000 i infrastruktura klucza publicznegoö.

Microsoft CryptoAPI i dostawcy us│ug kryptograficznych

     Microsoft CryptoAPI zapewnia bezpieczny interfejs dla funkcji kryptograficznych dostarczonych przez instalowalne modu│y dostawc≤w us│ug kryptograficznych (CSP). Modu│y CSP wykonuj╣ wszystkie operacje kryptograficzne i zarz╣dzaj╣ kluczami prywatnymi. Us│ugi CryptoAPI i CSP s╣ u┐ywane przez Us│ugi certyfikat≤w systemu Windows 2000 i s╣ dostΩpne tak┐e dla wszystkich us│ug i aplikacji wymagaj╣cych us│ug kryptograficznych.
     CSP mo┐e byµ oparty na oprogramowaniu, na sprzΩcie lub na kombinacji obu element≤w. Bezpieczniejsze s╣ kryptografia i zarz╣dzanie kluczami oparte na sprzΩcie, poniewa┐ w tym przypadku operacje zwi╣zane z kryptografi╣ i z kluczami prywatnymi pozostaj╣ odizolowane od systemu operacyjnego. Z drugiej strony sprzΩtowe modu│y CSP (na przyk│ad, oparte na kartach inteligentnych) czΩsto przechowuj╣ tylko ograniczon╣ ilo£µ kluczy prywatnych i wymagaj╣ du┐ej ilo£ci czasu do generowania kluczy.
     Programowe modu│y CSP s╣ nieco mniej bezpieczne, ale s╣ bardziej elastyczne i spe│niaj╣ wiele r≤┐nych potrzeb. SprzΩtowe CSP s╣ u┐ywane tylko do wykonywania specjalnych funkcji, takich jak logowanie lub zabezpieczanie komunikacji internetowej za pomoc╣ kart inteligentnych.
     Wszystkie modu│y CSP stosowane w systemie Windows 2000 musz╣ byµ certyfikowane i cyfrowo podpisane przez firmΩ Microsoft.

Spos≤b przechowywania kluczy prywatnych

     Klucze prywatne dla dostawc≤w CSP Microsoft opartych na RSA, w tym dla CSP podstawowego i CSP rozszerzonego, znajduj╣ siΩ w profilu u┐ytkownika pod Katalog_g│≤wny\Dokumenty i ustawienia\nazwa_u┐ytkownika\Dane aplikacji\Microsoft\Crypto\RSA. W przypadku mobilnego profilu klucz przechowywany jest w folderze RSA na kontrolerze domeny i zostaje skopiowany tymczasowo do komputera, na kt≤rym u┐ytkownik pracuje.
     W przeciwie±stwie do odpowiednich kluczy publicznych, klucze prywatne wymagaj╣ zabezpieczenia. Dlatego wszystkie pliki w folderze RSA s╣ automatycznie zaszyfrowane przy u┐yciu losowego klucza symetrycznego nazywanego g│≤wnym kluczem u┐ytkownika. Klucz ten zostaje wygenerowany przez algorytm RC4 w CSP podstawowym lub rozszerzonym. W przypadku komputer≤w posiadaj╣cych CSP podstawowy RC4 generuje klucz 128-bitowy (o ile jest to zgodne z przepisami ograniczaj╣cymi eksport kryptografii), a w przypadku komputer≤w posiadaj╣cych CSP podstawowy (dostΩpny dla wszystkich komputer≤w Windows 2000) û klucz 56-bitowy. Klucz g│≤wny zostaje wygenerowany automatycznie i jest okresowo odnawiany. Klucz ten s│u┐y do automatycznego szyfrowania plik≤w tworzonych w folderze RSA.
     Folderu RSA nie nale┐y przenosiµ do innego miejsca, ani nie nale┐y zmieniaµ jego nazwy, poniewa┐ jest to jedyne miejsce, w kt≤rym modu│y CSP poszukuj╣ kluczy prywatnych. Zaleca siΩ wiΩc zapewnienie dodatkowych zabezpiecze±. Administrator mo┐e zastosowaµ dodatkowe zabezpieczenia systemu plikowego na komputerach u┐ytkownik≤w lub wykorzystaµ profile mobilne.
     Klucze prywatne s│u┐╣ce do odtwarzania kopii zapasowych nale┐y skopiowaµ wraz z certyfikatem do dyskietki lub innego bezpiecznego no£nika, a nastΩpnie usun╣µ z komputera. Aby rozszyfrowaµ plik danych, administrator odtwarzania importuje certyfikat i klucz z dyskietki do konta agenta odtwarzania. WiΩcej informacji o zabezpieczeniach kluczy odtwarzania znajduje siΩ w Pomocy systemu Windows 2000 Server.

Folder chroniony

     G│≤wny klucz u┐ytkownika zostaje automatycznie zaszyfrowany przez us│ugΩ Magazyn chroniony i umieszczony w profilu u┐ytkownika pod Katalog_g│≤wny\Dokumenty i ustawienia\nazwa_u┐ytkownika\Dane aplikacji\Microsoft\Chroniony. W przypadku profilu mobilnego klucz pozostaje na kontrolerze domeny i zostaje skopiowany tymczasowo do profilu u┐ytkownika na komputerze, na kt≤rym dany u┐ytkownik pracuje.
     G│≤wny klucz u┐ytkownika zostaje zaszyfrowany dwukrotnie, a zaszyfrowane wersje s╣ przechowywane w dw≤ch czΩ£ciach pliku chronionego. Pierwsza czΩ£µ, klucz szyfrowania has│a, jest warto£ci╣ hash generowan╣ przez funkcjΩ HMAC (Hash-Based Message Authentication Code) i funkcjΩ streszczania wiadomo£ci SHA1, na podstawie:      Druga czΩ£µ stanowi kopiΩ zapasow╣ klucza g│≤wnego. BΩdzie to potrzebne w przypadku, gdy has│o u┐ytkownika zmieni siΩ na jednym komputerze, a klucze znajduj╣ siΩ w profilu u┐ytkownika na drugim komputerze, lub w przypadku zresetowania has│a przez administratora. Us│uga Magazyn chroniony, kt≤ra nie wykrywa zmian hase│, odtworzy wtedy klucz szyfrowania has│a na podstawie zapasowej wersji tego klucza.
     Aby utworzyµ wersjΩ zapasow╣ klucza g│≤wnego, us│uga Magazyn chroniony na kontrolerze domeny generuje, za pomoc╣ funkcji HMAC i SHA1, warto£µ hash opart╣ na g│≤wnym kluczu u┐ytkownika oraz na g│≤wnym kluczu kopii zapasowej nale┐╣cym do kontrolera domeny, a nastΩpnie odsy│a tΩ warto£µ do komputera lokalnego, gdzie zostaje umieszczona w pliku chronionym. Transmisje te zostaj╣ podpisane i zaszyfrowane przez zdalne wywo│ania procedur, tak ┐e g│≤wny klucz u┐ytkownika nigdy nie jest transmitowany w sieci w postaci niezaszyfrowanej.
     G│≤wny klucz kopii zapasowej kontrolera domeny przechowywany jest w systemie jako globalna tajemnica LSA pod kluczem rejestrowym HKEY_LOCAL_MACHINE/SAM i zostaje powielony w sieci za pomoc╣ Active Directory. Globalne tajemnice LSA s╣ obiektami dostarczonymi przez lokalny organ zabezpiecze± (LSA) w celu umo┐liwienia bezpiecznego przechowywania danych przez us│ugi systemowe.
     Foldery Certyfikaty systemowe, RSA i Chroniony s╣ zaznaczone jako foldery systemowe. Zawarte w nich pliki nie s╣ wiΩc szyfrowane przez EFS (co uczyni│oby je niedostΩpnymi).

Klucz systemowy

     Dodatkow╣ warstwΩ zabezpieczaj╣c╣ klucze g│≤wne i r≤┐ne inne tajemnice mo┐na zapewniµ za pomoc╣ klucza systemowego. Klucz systemowy chroni nastΩpuj╣ce informacje:      Domy£lnie klucz systemowy jest w│╣czony dla wszystkich komputer≤w nale┐╣cych do domeny, a wszystkie klucze g│≤wne i ochronne przechowywane na komputerze zostaj╣ zaszyfrowane przy u┐yciu unikalnego 128-bitowego symetrycznego losowego klucza systemowego. Aby rozszyfrowaµ klucz chroni╣cy has│o, klucz systemowy musi znajdowaµ siΩ w RAM systemu operacyjnego podczas uruchamiania systemu. Istniej╣ trzy sposoby konfiguracji klucza systemowego:      KonfiguracjΩ klucza systemowego mo┐na wybraµ w programie syskey. W przypadku komputer≤w nale┐╣cych do domeny, syskey mog╣ uruchomiµ tylko cz│onkowie grupy administrator≤w domeny. Na komputerach autonomicznych program syskey musi zostaµ uruchomiony z konta administratora lokalnego. Mo┐na zastosowaµ r≤┐ne konfiguracje klucza systemowego dla r≤┐nych komputer≤w w domenie.

Przechowalnie certyfikat≤w

     W systemie Windows 2000 certyfikaty przechowywane s╣ w przechowalniach fizycznych i w przechowalniach logicznych.
     Przechowalnie fizyczne zawieraj╣ obiekty zwi╣zane z kluczami publicznymi, takie jak listy odwo│a± certyfikat≤w (CRL) i listy zaufanych certyfikat≤w (CTL), przechowywane lokalnie w rejestrze systemowym lub zdalnie w Active Directory. Wiele obiekt≤w z przechowalni fizycznych jest udostΩpnianych u┐ytkownikom, us│ugom i komputerom za pomoc╣ przechowalni logicznych.
     Przechowalnie logiczne s│u┐╣ do pogrupowania certyfikat≤w w logiczne, praktyczne dla u┐ytkownik≤w, komputer≤w i us│ug kategorie. Logiczne przechowalnie certyfikat≤w zawieraj╣ wskaƒniki do przechowalni fizycznych. Certyfikatami w przechowalniach mo┐na zarz╣dzaµ za pomoc╣ konsoli certyfikat≤w (snap-in MMC). Zmiany dokonywane s╣ w odpowiednich przechowalniach fizycznych (w rejestrze lub w Active Directory).
     U┐ycie logicznych przechowalni certyfikat≤w pozwala unikn╣µ przechowywania duplikat≤w wsp≤lnych obiekt≤w, takich jak zaufane certyfikaty g│≤wne, listy CTL i CRL, dla r≤┐nych u┐ytkownik≤w, komputer≤w i us│ug. Wiele obiekt≤w tego typu jest wykorzystywanych wsp≤lnie przez u┐ytkownik≤w, us│ugi i komputer lokalny. S╣ one przechowywane w czΩ£ciach rejestru komputera lokalnego. Jednak niekt≤re obiekty s╣ wydane tylko dla okre£lonego u┐ytkownika, us│ugi lub komputera. Dlatego u┐ytkownicy, us│ugi i komputery potrzebuj╣ tak┐e prywatnych przechowalni certyfikat≤w.
     Niekt≤re obiekty, takie jak zaufane certyfikaty g│≤wne i listy CTL, mo┐na rozpowszechniµ za pomoc╣ Zasad grup. W tym przypadku obiekty s╣ przechowywane w specjalnych obszarach rejestru systemu i pojawiaj╣ siΩ w logicznych przechowalniach nale┐╣cych do u┐ytkownik≤w, komputer≤w i us│ug. Zasady grup pozwalaj╣ na utworzenie osobnych list CTL dla u┐ytkownik≤w, kt≤re nie s╣ udostΩpniane us│ugom ani komputerowi. Natomiast listy CTL utworzone dla komputer≤w s╣ udostΩpniane u┐ytkownikom i us│ugom.
     Logiczne przechowalnie certyfikat≤w obejmuj╣ nastΩpuj╣ce kategorie:
      Osobiste: zawiera prywatne certyfikaty nale┐╣ce do danego u┐ytkownika, us│ugi lub komputera. Certyfikaty u┐ytkownik≤w znajduj╣ siΩ w ka┐dym profilu u┐ytkownika pod £cie┐k╣ Dokumenty i ustawienia\nazwa_u┐ytkownika\Dane aplikacji\Microsoft\Certyfikaty systemowe\Moje\Certyfikaty. Po ka┐dym zalogowaniu u┐ytkownika na komputerze certyfikaty zostaj╣ skopiowane z profilu u┐ytkownika do jego prywatnej przechowalni w rejestrze systemowym. W przypadku profili mobilnych certyfikaty umieszczone s╣ na kontrolerze domeny, sk╣d mog╣ zostaµ skopiowane do dowolnego komputera domeny, na kt≤rym u┐ytkownik siΩ zaloguje.
      Zaufane g│≤wne urzΩdy certyfikacji: zawiera certyfikaty g│≤wnych urzΩd≤w CA. Certyfikaty posiadaj╣ce £cie┐kΩ certyfikacji prowadz╣c╣ do certyfikatu g│≤wnego CA s╣ zaufane przez komputer dla wszystkich dopuszczalnych cel≤w.
      Zaufane przez przedsiΩbiorstwo: zawiera listy CTL. Certyfikaty posiadaj╣ce £cie┐kΩ certyfikacji do listy CTL s╣ zaufane przez komputer dla cel≤w okre£lonych w CTL.
      Po£rednie urzΩdy certyfikacji: zawiera certyfikaty CA nie bΩd╣ce zaufanymi certyfikatami g│≤wnymi, potrzebne do zatwierdzenia £cie┐ek certyfikacji (na przyk│ad certyfikaty podrzΩdnych urzΩd≤w certyfikacji). Znajduj╣ siΩ tu tak┐e listy CRL do wykorzystania przez u┐ytkownika, us│ugΩ lub komputer.
      Obiekt u┐ytkownika Active Directory: zawiera certyfikaty opublikowane dla u┐ytkownika w Active Directory. W konsoli certyfikat≤w kategoria ta pojawia siΩ tylko w przechowalniach u┐ytkownik≤w, nie komputer≤w i us│ug.
      »╣dania: Zawiera wys│ane lub odrzucone ┐╣dania certyfikat≤w. Kategoria ta pojawia siΩ w konsoli certyfikat≤w dopiero po wys│aniu ┐╣dania certyfikatu dla danego u┐ytkownika, komputera lub us│ugi.
      SPC: Zawiera certyfikaty zaufanych przez komputer wydawc≤w oprogramowania. Podpisane przez tych wydawc≤w programy s╣ │adowane automatycznie, bez pytania u┐ytkownika. Domy£lnie przechowalnia ta jest pusta. Gdy Internet Explorer £ci╣ga po raz pierwszy podpisane oprogramowanie, u┐ytkownik musi okre£liµ, czy zaufane maj╣ byµ wszystkie programy podpisane przez danego wydawcΩ. Je£li tak, to certyfikat wydawcy oprogramowania (SPC) zostaje dodany do przechowalni SPC. Kategoria ta pojawia siΩ w konsoli certyfikat≤w tylko w przechowalni komputera lokalnego, nie u┐ytkownik≤w i us│ug.

Konsola certyfikat≤w

     Konsola Certyfikaty jest snap-in MMC s│u┐╣cym do zarz╣dzania przechowalni╣ certyfikat≤w dla u┐ytkownik≤w, komputer≤w i us│ug.
     W konsoli certyfikat≤w mo┐na wykonaµ nastΩpuj╣ce zadania:      WiΩcej informacji o konsoli certyfikat≤w znajduje siΩ w Pomocy Mened┐era certyfikat≤w.

Model zaufania urzΩd≤w certyfikacji

     Infrastruktura klucza publicznego w systemie Windows 2000 wspiera hierarchiczny model zaufania urzΩd≤w CA i list CTL. Hierarchie zaufania CA mo┐na utworzyµ za pomoc╣ Us│ug certyfikat≤w systemu Windows 2000.

Hierarchie urzΩd≤w certyfikacji

     Hierarchia certyfikacji wspierana przez infrastrukturΩ klucza publicznego Windows 2000 zapewnia skalowalno£µ, │atwo£µ administracji kompatybilno£µ z rosn╣c╣ liczb╣ us│ug producent≤w zewnΩtrznych i produkt≤w opartych na kluczach publicznych. Najprostsza hierarchia certyfikacji sk│ada siΩ z pojedynczego CA, ale zazwyczaj hierarchie zawieraj╣ kilka urzΩd≤w CA z okre£lonymi relacjami nadrzΩdny/podrzΩdny. Przyk│adowe hierarchie CA przedstawione s╣ na rysunku 13.1.
     

Rysunek 13.1 Hierarchie certyfikacji

     Urz╣d znajduj╣cy siΩ na g≤rze hierarchii nazywa siΩ g│≤wnym CA. G│≤wne CA u┐ywaj╣ certyfikat≤w podpisanych przez siebie. S╣ to CA w najwy┐szym stopniu zaufane przez przedsiΩbiorstwo i zaleca siΩ zastosowanie dla nich najwy┐szego poziomu zabezpieczenia. PrzedsiΩbiorstwo nie musi posiadaµ pojedynczego g│≤wnego CA na najwy┐szym poziomie. Zaufanie CA zale┐y od zasad zaufania okre£lonych dla ka┐dej domeny, jednak┐e urzΩdy CA zawarte w tej samej hierarchii mog╣ nale┐eµ do r≤┐nych domen.
     PodrzΩdne CA s╣ certyfikowane przez nadrzΩdne CA. PodrzΩdny CA mo┐e byµ po£rednim CA (wydaj╣cym certyfikaty tylko innym CA) lub mo┐e byµ ko±cowym CA (wydaj╣cym certyfikaty u┐ytkownikom, komputerom lub us│ugom).
     Liczba mo┐liwych poziom≤w hierarchii certyfikacji jest nieograniczona, ale w wielu organizacjach wystarczaj╣ trzy poziomy (g│≤wny CA, po£redni CA, ko±cowy CA).

îcie┐ka certyfikacji

     W hierarchii certyfikacji │a±cuch zaufania │╣cz╣cy certyfikat z g│≤wnym CA nazywa siΩ £cie┐k╣ certyfikacji. Na rysunku przedstawiona jest czteropoziomowa £cie┐ka certyfikacji odpowiadaj╣ca trzypoziomowej hierarchii przedstawionej na rysunku 13.1.
     

Rysunek 13.2 îcie┐ka certyfikacji

     W tym przyk│adzie certyfikat agenta odtwarzania EFS wydany przez CA-D po│╣czony jest £cie┐k╣ certyfikacji z g│≤wnym CA 2. Certyfikat agenta odtwarzania EFS jest zaufany, poniewa┐ certyfikat g│≤wnego CA 2 znajduje siΩ w przechowalni Zaufanych certyfikat≤w g│≤wnych.
     Zanim dany certyfikat bΩdzie potraktowany jako zaufany, Microsoft CryptoAPI sprawdzi ka┐dy certyfikat w jego £cie┐ce certyfikacji. Ka┐dy certyfikat zawiera informacje o nadrzΩdnym CA, kt≤ry go wyda│. CryptoAPI odnajduje certyfikat ka┐dego CA z odpowiedniej przechowalni lub z adresu sieciowego (na przyk│ad HTTP albo LDAP) okre£lonego w certyfikacie. Je£li CryptoAPI wykryje problem z kt≤rym£ certyfikatem na £cie┐ce lub nie odnajdzie kt≤rego£ certyfikatu, to £cie┐ka nie bΩdzie zaufana.
     Gdy podczas zatwierdzania £cie┐ki certyfikacji CryptoAPI pobierze certyfikat podrzΩdnego CA nie znajduj╣cego siΩ w przechowalni po£rednich urzΩd≤w CA, to API doda go do tej przechowalni. W przypadku komputer≤w u┐ytkowanych w trybie offline, takich jak komputery mobilne, konieczny mo┐e byµ import certyfikat≤w podrzΩdnych CA do przechowalni po£rednich urzΩd≤w CA. W przeciwnym przypadku mog╣ one okazaµ siΩ niedostΩpne przy zatwierdzaniu £cie┐ek certyfikacji.
     Na rysunku 13.3 przedstawiony jest przyk│ad niezaufanej £cie┐ki certyfikacji û certyfikat g│≤wny nie znajduje siΩ w przechowalni Zaufanych g│≤wnych urzΩd≤w certyfikacji.


Rysunek 13.3 Niezaufana £cie┐ka certyfikacji

     Domy£lnie certyfikaty wydane przez zaufane CA s╣ zaufane dla wszystkich cel≤w wymienionych w certyfikacie. Aby ograniczyµ cele, dla kt≤rych certyfikaty lokalne mog╣ byµ u┐ywane, nale┐y otworzyµ okno dialogowe Szczeg≤│y o certyfikacie. Do okre£lenia zaufania certyfikat≤w i do ograniczenia cel≤w, dla kt≤rych mog╣ one byµ u┐ywane, mo┐na u┐yµ list CTL.

Listy zaufania certyfikat≤w (CTL)

     Listy zaufania certyfikat≤w (CTL) mo┐na utworzyµ za pomoc╣ kreatora dostΩpnego w snap-in MMC Zasady grup (pod Zasadami klucza publicznego). Listy CTL umo┐liwiaj╣ zaufanie certyfikat≤w posiadaj╣cych £cie┐kΩ certyfikacji do g│≤wnych CA wymienionych w CTL. Listy CTL mo┐na utworzyµ dla komputer≤w i dla u┐ytkownik≤w. Listy CTL dla komputer≤w dotycz╣ wszystkich komputer≤w, u┐ytkownik≤w i us│ug podlegaj╣cych Zasadom grup. CTL dla u┐ytkownik≤w dotycz╣ tylko u┐ytkownik≤w podlegaj╣cych Zasadom grup. Rysunek 13.4 przedstawia przyk│ad £cie┐ki certyfikacji zawieraj╣cej listΩ CTL.


Rysunek 13.4 Zaufana £cie┐ka certyfikacja zawieraj╣ca CTL

     W tym przyk│adzie przedstawiona £cie┐ka certyfikacji jest taka sama jak na rysunku 10.3 z tym, ┐e certyfikat g│≤wnego CA 2 nie znajduje siΩ w przechowalni Zaufanych g│≤wnych urzΩd≤w CA. îcie┐ka zawiera tak┐e CTL, certyfikat podpisywania CTL oraz g│≤wny CA wydaj╣cy certyfikat podpisywania. Certyfikat agenta odtwarzania jest zaufany, dlatego ┐e w przechowalni znajduje siΩ certyfikat g│≤wnego CA wydaj╣cego certyfikat podpisywania CTL.
     Lista CTL musi byµ podpisana przez administratora posiadaj╣cego aktualny certyfikat podpisywania list zaufania. Domy£lnie listy CTL staj╣ siΩ nieaktualne z wyga£niΩciem certyfikatu podpisywania. Istnieje tak┐e opcja umo┐liwiaj╣ca skr≤cenie czasu wa┐no£ci listy CTL.
     Domy£lnie uprawnienia rejestracji w celu otrzymania certyfikat≤w administracyjnych/podpisywania list zaufania nadawane s╣ cz│onkom grup zabezpieczenia Administratorzy domeny i Administratorzy przedsiΩbiorstwa. Aby zmieniµ ustawienia domy£lne, nale┐y zmodyfikowaµ listy kontroli dostΩpu dotycz╣ce szablon≤w certyfikat≤w administracyjnych/podpisywania list zaufania.
     Na rysunku 13.5 przedstawiona jest sytuacja, w kt≤rej lista CTL nie jest zaufana z powodu braku wa┐nego certyfikatu podpisywania list zaufania. Mo┐e to wynikaµ z wyga£niΩcia certyfikatu podpisywania lub z braku zaufanej £cie┐ki │╣cz╣cej certyfikat podpisywania z zaufanym certyfikatem g│≤wnym.


Rysunek 13.5 Niewa┐na lista CTL

     Listy CTL znajduj╣ siΩ w przechowalni Zaufane przez przedsiΩbiorstwo i mog╣ byµ ogl╣dane w konsoli certyfikat≤w.
     Listy CTL s│u┐╣ tak┐e do ograniczenia cel≤w, dla kt≤rych certyfikaty mog╣ byµ u┐ywane. CzΩsto stosuje siΩ listy CTL w celu ograniczenia zaufania certyfikat≤w wydanych i zarz╣dzanych przez organizacje zewnΩtrzne. Na przyk│ad mo┐na okre£liµ zaufanie CA kontrahenta tylko dla cel≤w podpisywania kodu i identyfikacji klienta w sieci.

Proces zatwierdzania certyfikat≤w

     System System Windows 2000 sprawdza wa┐no£µ certyfikat≤w i wa┐no£µ ich £cie┐ek certyfikacji. Podstawowy proces zatwierdzania certyfikat≤w przedstawiony jest na rysunku 13.6.


Rysunek 13.6 Podstawowy proces zatwierdzania certyfikatu

     Do przyczyn, dla kt≤rych certyfikaty mog╣ nie byµ zatwierdzone, nale┐╣:

Metody rejestracji i odnawiania certyfikat≤w

     Us│ugi certyfikat≤w systemu Windows 2000 wspieraj╣ nastΩpuj╣ce metody rejestracji i odnawiania certyfikat≤w:      Informacje o metodach rejestracji i rodzajach certyfikat≤w wspieranych przez zewnΩtrzne us│ugi certyfikacji nale┐y uzyskaµ od producenta.

RΩczne ┐╣dania certyfikat≤w dla klient≤w Windows 2000

     Do ┐╣dania i odnawiania certyfikat≤w u┐ytkownik≤w, komputer≤w i us│ug Windows 2000 s│u┐y Kreator ┐╣dania certyfikat≤w, dostΩpny w konsoli certyfikat≤w. Aby kreator dzia│a│, nale┐y uzyskaµ po│╣czenie z odpowiednim urzΩdem certyfikacji. Listy ACL dotycz╣ce szablon≤w certyfikat≤w okre£laj╣ konta, kt≤re mog╣ zarejestrowaµ siΩ w celu otrzymania r≤┐nych rodzaj≤w certyfikat≤w.
     Przy odnawianiu certyfikat≤w mo┐na wybraµ opcjΩ zachowania klucza prywatnego i publicznego, pod warunkiem, ┐e nie doprowadzi to do przekroczenia maksymalnego bezpiecznego czasu wa┐no£ci kluczy.

Automatyczna rejestracja i odnawianie certyfikat≤w komputer≤w

     Kreator automatycznego ┐╣dania certyfikat≤w (dostΩpny w konsoli Zasady grup pod has│em Klucz publiczny) s│u┐y do konfiguracji automatycznej rejestracji w celu otrzymania certyfikat≤w dla komputer≤w (certyfikat≤w Komputera, Kontrolera domeny oraz IPSec). Automatyczna rejestracja nie dotyczy certyfikat≤w u┐ytkownik≤w i wymaga uzyskania po│╣czenia z odpowiednim CA.
     Gdy w│╣czona jest automatyczna rejestracja, to okre£lone certyfikaty s╣ wydawane automatycznie wszystkim komputerom podlegaj╣cym Zasadom grup klucza publicznego i posiadaj╣cym uprawnienia rejestracji w stosunku do danego rodzaju certyfikatu. Certyfikaty zostaj╣ wydane po zalogowaniu komputera w sieci.
     Na przyk│ad w│╣czenie automatycznej rejestracji dla certyfikat≤w Komputera spowoduje wydanie certyfikat≤w wszystkim komputerom nale┐╣cym do grupy zabezpieczenia Komputery domeny i podlegaj╣cym Zasadom grup klucza publicznego. Domy£lnie wszystkie komputery z systemem Windows 2000 nale┐╣ do grupy Komputery domeny, z wyj╣tkiem kontroler≤w domeny, serwer≤w us│ugi Routing i dostΩp zdalny oraz serwer≤w IAS. Aby zmodyfikowaµ listΩ komputer≤w otrzymuj╣cych certyfikaty Komputera, nale┐y zmieniµ listy ACL dotycz╣ce szablon≤w certyfikat≤w Komputera, na przyk│ad przez nadanie okre£lonej grupie komputer≤w uprawnie± rejestracji.
     Automatyczna rejestracja mo┐e byµ tak┐e ograniczona do okre£lonych grup komputer≤w. Na przyk│ad mo┐na utworzyµ jednostkΩ organizacyjn╣ (OU) sk│adaj╣c╣ siΩ z klient≤w Windows 2000, kt≤rzy identyfikuj╣ siΩ za pomoc╣ certyfikat≤w IPSec. Automatyczn╣ rejestracjΩ dla certyfikat≤w IPSec mo┐na w≤wczas ograniczyµ do danej jednostki organizacyjnej.
     Gdy automatyczna rejestracja jest w│╣czona, to automatycznie wydane certyfikaty Komputera s╣ tak┐e automatycznie odnawiane przez ten sam CA. Certyfikaty mo┐na r≤wnie┐ odnowiµ rΩcznie za pomoc╣ Kreatora odnawiania certyfikat≤w lub ze stron Wsparcia rejestracji internetowej w Us│ugach certyfikat≤w.

Strony Wsparcia rejestracji internetowej

     Strony Wsparcia rejestracji internetowej w Us│ugach certyfikat≤w systemu Windows 2000 sk│adaj╣ siΩ ze stron ASP i kontrolek ActiveX oferuj╣cych u┐ytkownikowi interfejs z urzΩdem CA. Domy£lnie strony Wsparcia rejestracji internetowej zostaj╣ zainstalowane automatycznie na tym samym komputerze co CA, ale mo┐na zainstalowaµ je na innym komputerze z systemem Windows 2000 Server.
     Na stronach Wsparcia rejestracji internetowej mo┐na wykonaµ nastΩpuj╣ce zadania:      W przeciwie±stwie do CA przedsiΩbiorstwa, autonomiczne urzΩdy CA nie stosuj╣ szablon≤w certyfikat≤w û wszystkie informacje o certyfikacie i o osobie zamawiaj╣cej musz╣ byµ okre£lone w ┐╣daniu certyfikatu. Strony Wsparcia rejestracji internetowej dla autonomicznych CA wspieraj╣ r≤┐ne typy certyfikat≤w wykonuj╣ce w wiΩkszo£ci przypadk≤w funkcje podobne do funkcji certyfikat≤w opartych na szablonach. Jednak certyfikaty wydawane w ramach automatycznej rejestracji i certyfikaty s│u┐╣ce do logowania za pomoc╣ kart inteligentnych musz╣ byµ wydawane przez CA przedsiΩbiorstwa.
     Strony Wsparcia rejestracji internetowej s╣ kompatybilne z Internet Explorer 4 i Internet Explorer 5. Rozszerzony dostawca kryptografii Microsoft jest kompatybilny tylko z przegl╣darkami Internet Explorer, kt≤rych funkcje kryptograficzne nie podlegaj╣ eksportowi.
     Netscape Navigator 4.i Netscape Communicator 4.s╣ kompatybilne z wiΩkszo£ci╣ stron Wsparcia rejestracji internetowej. Przegl╣darki Netscape nie wspieraj╣ formularza zaawansowanych ┐╣da± certyfikat≤w ani stacji rejestracji karty inteligentnej, poniewa┐ strony te wykorzystuj╣ kontrolki ActiveX. Ponadto przegl╣darki Netscape wykorzystuj╣ w│asne modu│y kryptograficzne, kt≤re mog╣ nie wspieraµ wszystkich funkcji dostΩpnych w dostawcach us│ug kryptograficznych Microsoft.

Zasady grup klucza publicznego

     Ustawienia Zasad grup dotycz╣ce kluczy publicznych s│u┐╣ do okre£lenia automatycznej rejestracji: certyfikat≤w komputer≤w, zaufanych certyfikat≤w g│≤wnych, list CTL dla komputer≤w i u┐ytkownik≤w oraz agent≤w odtwarzania EFS. Zasady grup mog╣ byµ zastosowane na poziomie lokacji, domeny lub jednostki organizacyjnej.
     Konsola Zasady grupowe (snap-in MMC) zawiera ustawienia umo┐liwiaj╣ce:      WiΩcej informacji o Zasadach grup znajduje siΩ w Pomocy systemu Windows 2000 Professional i Windows 2000 Server.

Listy odwo│a± certyfikat≤w

     System Windows 2000 wspiera standardowe listy CRL typu X.509 wersji 2. Ka┐dy CA utrzymuje i udostΩpnia listΩ CRL dotycz╣c╣ wydanych przez siebie certyfikat≤w. Punktami dystrybucji CRL mog╣ byµ strony internetowe, dzier┐awy sieciowe lub us│uga Active Directory. Certyfikat X.509 wersji 3 zwykle zawiera informacje o punkcie dystrybucji u┐ywanym przez wydaj╣cy go CA.
     Sprawdzanie odwo│a± certyfikat≤w jest wspierane przez us│ugi mapowania Active Directory, Internet Explorer 5 i Internet Information Services. Gdy sprawdzanie odwo│a± jest w│╣czone, listy CRL s╣ automatycznie buforowane na komputerach lokalnych w celu zwiΩkszenia wydajno£ci. Je£li certyfikat zawiera informacjΩ o punkcie dystrybucji CRL, proces sprawdzania odwo│a± najpierw bΩdzie poszukiwa│ CRL w buforze, a nastΩpnie w danym punkcie dystrybucji. Je£li punkt dystrybucji CRL nie jest okre£lony, proces sprawdzania spr≤buje pozyskaµ CRL od CA, kt≤ry certyfikat wyda│. Mo┐liwe jest tak┐e zam≤wienie od CA najnowszej listy CRL za pomoc╣ stron Wsparcia rejestracji internetowej.
     Certyfikaty zostaj╣ usuniΩte z listy CRL po ich wyga£niΩciu. W niekt≤rych du┐ych organizacjach listy CRL mog╣ osi╣gn╣µ nadmierne rozmiary, powoduj╣c znaczne obci╣┐enie sieci i komputer≤w podczas publikacji CRL. Aby ograniczyµ wielko£µ list CRL, nale┐y wdro┐yµ wiΩcej urzΩd≤w certyfikacji oraz wydawaµ certyfikaty o ograniczonym czasie wa┐no£ci.

WstΩpnie zainstalowane zaufane certyfikaty g│≤wne

     Przechowalnia Zaufanych g│≤wnych urzΩd≤w CA na komputerze z systemem Windows 2000 zawiera wiele wstΩpnie zainstalowanych certyfikat≤w dostarczonych przez Microsoft i przez r≤┐ne firmy zajmuj╣ce siΩ wydawaniem certyfikat≤w. Certyfikaty wydane przez te zaufane CA s╣ zaufane na komputerze lokalnym dla wszystkich dopuszczalnych cel≤w.
     Aby dodaµ lub usun╣µ certyfikaty zaufanych g│≤wnych urzΩd≤w CA na komputerze lokalnym, nale┐y u┐yµ konsoli certyfikat≤w. Zaufane g│≤wne certyfikaty dla grup komputer≤w mo┐na dodaµ za pomoc╣ ustawie± klucza publicznego w Zasadach grup.
     Korzystaj╣c z Internet Explorer Administration Kit (IEAK) mo┐na utworzyµ i wdro┐yµ niestandardowe konfiguracje Internet Explorer zawieraj╣ce tylko ┐╣dane certyfikaty g│≤wne. Mo┐na utworzyµ r≤┐ne konfiguracje dla r≤┐nych grup komputer≤w. WiΩcej informacji o IEAK znajduje siΩ w publikacji Microsoft Windows 2000 Server Resource Kit w tomie Internet Explorer Resource Guide.

Wsparcie kart inteligentnych

     Karty inteligentne zawieraj╣ karty uk│adu scalonego (ICC) s│u┐╣ce do przechowywania certyfikat≤w i kluczy prywatnych oraz do wykonywania operacji kryptograficznych opartych na kluczu publicznym, takich jak identyfikacja, cyfrowe podpisywanie i wymiana kluczy. Karty inteligentne nios╣ nastΩpuj╣ce korzy£ci:      Zamiast hase│ karty inteligentne wykorzystuj╣ numery PIN. U┐ytkownik wk│ada kartΩ do do│╣czonego do komputera czytnika i wpisuje PIN. W przeciwie±stwie do standardowych hase│, numery PIN nigdy nie s╣ transmitowane w sieci, dlatego nie s╣ nara┐one na przechwycenie.
     System Windows 2000 wspiera standardowe karty inteligentne i czytniki Plug and Play kompatybilne ze specyfikacjami grupy roboczej PC/SC (Personal Computer/Smart Card). Karta inteligentna u┐ywana na komputerze z systemem Windows 2000 musi spe│niµ fizyczne i elektryczne wymagania okre£lone w standardach ISO 7816-1, 7816-2 i 7816-3.
     Czytniki kart inteligentnych s╣ po│╣czone ze standardowymi interfejsami urz╣dze±, takimi jak RSû232, PS/2, PCMCIA i USB. Czytniki s╣ standardowymi urz╣dzeniami systemu Windows 2000 posiadaj╣cymi deskryptor zabezpieczenia i identyfikator Plug and Play. Czytniki s╣ sterowane przez standardowe sterowniki Windows, instalowane i usuwane za pomoc╣ Kreatora sprzΩtu.
     System Windows 2000 zawiera sterowniki dla r≤┐nych czytnik≤w Plug and Play certyfikowanych jako kompatybilne z Windows. Niekt≤rzy producenci oferuj╣ sterowniki innych czytnik≤w, kt≤re dzia│aj╣ w systemie Windows 2000, ale dla zapewnienia trwa│ego wsparcia produkt≤w Microsoft zalecany jest zakup tylko czytnik≤w posiadaj╣cych logo kompatybilno£ci z Windows.
     System Windows 2000 zawiera dostawc≤w us│ug kryptograficznych wspieraj╣cych karty inteligentne, dostarczone przez Gemplus SCA i Schlumberger Limited. Dostawcy wspieraj╣ karty swoich producent≤w oraz wszystkie czytniki posiadaj╣ce logo kompatybilno£ci z Windows.
     Przed wdro┐eniem kart inteligentnych nale┐y zainstalowaµ i uruchomiµ oprogramowanie inicjacyjne dostarczone przez producenta kart. Oprogramowanie to umo┐liwia skonfigurowanie numer≤w PIN i ustawienie dopuszczalnej liczby nieudanych pr≤b wpisania PIN, po kt≤rych karta zostanie zablokowana. To samo oprogramowanie s│u┐y tak┐e do odblokowywania kart.
     WiΩcej informacji o kartach inteligentnych znajduje siΩ w publikacji Microsoft Windows 2000 Server Resource Kit û Systemy Rozproszone w rozdziale äWyb≤r rozwi╣za± bezpiecze±stwa stosuj╣cych technologiΩ klucza publicznegoö.

Kwestie dotycz╣ce zabezpiecze± klucza publicznego

     Przy planowaniu wdra┐ania systemu Windows 2000 nale┐y zwr≤ciµ uwagΩ na kwestie om≤wione poni┐ej. Mo┐na wybraµ opcje umo┐liwiaj╣ce stosowanie kart inteligentnych, mapowanie certyfikat≤w do kont u┐ytkownik≤w w Active Directory lub wdro┐enie zabezpiecze± poczty w Outlook Express.

Wdra┐anie kart inteligentnych

     Wdro┐enie kart inteligentnych i czytnik≤w zapewni bezpieczniejsz╣ identyfikacjΩ u┐ytkownik≤w oraz nieodrzucenie w wielu sytuacjach, w tym przy logowaniu sieciowym, poufnej komunikacji internetowej lub zabezpieczaniu wiadomo£ci e-mail.

Opcje konfiguracji kart inteligentnych

     Przy wdra┐aniu kart inteligentnych mo┐na wybraµ opcje opisane poni┐ej.
Narzucenie u┐ytkownikom logowania za pomoc╣ karty inteligentnej
     Podczas wdra┐ania kart inteligentnych nale┐y zezwoliµ na zastosowanie metody zalogowania polegaj╣cej na naci£niΩciu klawiszy CTRL+ALT+DEL. Po przeszkoleniu u┐ytkownik≤w i przetestowaniu procesu logowania opartego na kartach inteligentnych mo┐na skonfigurowaµ konta pojedynczych u┐ytkownik≤w (ale nie grupy zabezpieczenia) tak, aby metoda klawiszy CTRL+ALT+DEL by│a wy│╣czona i u┐ytkownicy byli zmuszeni do zastosowania kart. Konta u┐ytkownik≤w mo┐na skonfigurowaµ w snap-in MMC U┐ytkownicy i komputery Active Directory.
Wymuszenie blokowania system≤w po usuniΩciu karty
     Zablokowanie systemu po usuniΩciu przez u┐ytkownika karty inteligentnej pomo┐e zapobiec u┐ytkowaniu komputera przez osoby nieupowa┐nione. Jest to szczeg≤lnie wa┐ne w przypadku komputer≤w u┐ytkowanych w £rodowisku, w kt≤rym wiele os≤b mia│oby do nich dostΩp. Aby wymusiµ zablokowanie komputer≤w po usuniΩciu kart, nale┐y skorzystaµ z ustawie± Zasad grup dotycz╣cych zabezpiecze±.

Wdra┐anie bezpiecznej poczty

     W systemie Windows 2000 bezpieczna poczta oparta jest na protokole S/MIME (Secure/Multipurpose Internet Mail Extensions), rozszerzeniu wcze£niejszego standardu MIME. W S/MIME zaszyfrowane i cyfrowo podpisane wiadomo£ci mog╣ byµ wymieniane przez klient≤w S/MIME dzia│aj╣cych na dowolnej platformie lub systemie operacyjnym. Klienci bezpiecznej poczty mog╣ przesy│aµ wiadomo£ci S/MIME przez Internet bez wzglΩdu na rodzaj serwer≤w obs│uguj╣cych wiadomo£ci, poniewa┐ wszystkie funkcje kryptograficzne wykonywane s╣ na komputerach klienckich, nie na serwerach. Serwery pocztowe przekazuj╣ wiadomo£ci S/MIME w taki sam spos≤b, jak w przypadku standardowych wiadomo£ci MIME.

Klienci bezpiecznej poczty

     Protok≤│ S/MIME wspierany jest w kliencie zawiadamiania i wsp≤│pracy Outlook 98 oraz w Outlook Express 4 i Outlook Express 5.
     Bezpieczna poczta S/MIME opiera siΩ na standardowych certyfikatach cyfrowych X.509 wersji 3 i technologii klucza publicznego. Przed przes│aniem wiadomo£ci nadawca mo┐e podpisaµ j╣ w│asnym kluczem prywatnym, a adresat mo┐e sprawdziµ ten podpis za pomoc╣ klucza publicznego nadawcy. Aby przesy│aµ podpisane wiadomo£ci, klient musi posiadaµ aktualny certyfikat bezpiecznej poczty. Aby sprawdziµ podpis, adresat musi posiadaµ kopiΩ certyfikatu bezpiecznej poczty nadawcy (zawieraj╣c╣ jego klucz publiczny).
     Aby zaszyfrowaµ wiadomo£ci, klienci bezpiecznej poczty generuj╣ losowe, tajne, masowe (symetryczne) klucze szyfrowe, kt≤re szyfruj╣ za pomoc╣ klucza publicznego adresata i do│╣czaj╣ do zaszyfrowanej wiadomo£ci. W tym przypadku nadawca musi posiadaµ kopiΩ certyfikatu bezpiecznej poczty adresata (zawieraj╣c╣ jego klucz publiczny). Adresat rozszyfruje tajny klucz za pomoc╣ swojego klucza prywatnego, a nastΩpnie rozszyfruje wiadomo£µ za pomoc╣ tajnego klucza.
     Poziom kryptografii dostΩpnej klientom bezpiecznej poczty zale┐y od przepis≤w obowi╣zuj╣cych w wielu krajach ograniczaj╣cych import lub eksport kryptografii. Generalnie technologia podlegaj╣ca eksportowi zapewnia ni┐szy poziom zabezpieczenia ni┐ technologia, kt≤rej nie wolno eksportowaµ.

Zaufanie w bezpiecznej poczcie

     Aby bezpieczna poczta dzia│a│a, ka┐dy klient musi posiadaµ aktualny certyfikat bezpiecznej poczty i musi mieµ zaufanie do g│≤wnych CA w £cie┐kach certyfikacji certyfikat≤w pozosta│ych klient≤w. Certyfikaty mog╣ byµ publikowane w katalogach LDAP, folderach publicznych lub na stronach internetowych. W systemie Windows 2000 certyfikaty bezpiecznej poczty publikowane s╣ w Active Directory. Alternatywnie mo┐na skonfigurowaµ Us│ugi certyfikat≤w tak, aby publikowaµ certyfikaty w folderach publicznych, na stronach internetowych lub w innych us│ugach katalogowych kompatybilnych z LDAP. U┐ytkownicy posiadaj╣cy klient≤w pocztowych wspieraj╣cych LDAP, takich jak Outlook 98 lub Outlook Express, mog╣ przegl╣daµ us│ugi katalogowe w celu odnalezienia certyfikat≤w opublikowanych przez innych u┐ytkownik≤w.
     Je£li bezpieczn╣ pocztΩ skonfigurowano tak, aby zaufane by│y tylko g│≤wne CA wewn╣trz organizacji, u┐ytkownicy mog╣ skorzystaµ z zabezpieczonej komunikacji tylko z innymi u┐ytkownikami wewnΩtrznymi. Aby umo┐liwiµ bezpieczn╣ komunikacjΩ z organizacjami zewnΩtrznymi, nale┐y zaufaµ ich g│≤wnym CA bezpiecznej poczty.

Us│ugi certyfikat≤w dla bezpiecznej poczty

     Us│ugi certyfikat≤w mo┐na wdro┐yµ tak, aby wydawa│y certyfikaty bezpiecznej poczty wspierane przez klient≤w kompatybilnych z S/MIME, takich jak Outlook 98 lub Outlook Express. Na stronach Wsparcia rejestracji internetowej mo┐na zarejestrowaµ u┐ytkownik≤w i wydawaµ certyfikaty bezpiecznej poczty. WiΩcej informacji o Us│ugach certyfikat≤w znajduje siΩ w publikacji Microsoft Windows 2000 Server Resource Kit û Systemy Rozproszone.
     Do zarz╣dzania bezpieczn╣ poczt╣ mo┐na wykorzystaµ us│ugΩ pocztow╣, tak╣ jak Microsoft Exchange Server 5.5 (zawiadamianie klient/serwer, groupware). Po wdro┐eniu Exchange Server mo┐na u┐yµ serwera zarz╣dzania kluczami (KM) do zarz╣dzania rejestracj╣ klient≤w bezpiecznej poczty dla Us│ug certyfikat≤w. Serwer KM mo┐na wykorzystaµ tak┐e do zapewnienia us│ug odtwarzania kluczy, opisanych w nastΩpnej czΩ£ci rozdzia│u. WiΩcej informacji o serwerze KM znajduje siΩ w Pomocy Exchange Server i w publikacji Microsoft BackOffice Resource Kit.

Ochrona danych u┐ytkownik≤w na komputerach mobilnych

     Aby ochroniµ dane u┐ytkownik≤w na wypadek kradzie┐y komputera mobilnego, mo┐na:

Szyfrowanie danych

     Aby zastosowaµ zabezpieczenia EFS do danych na komputerze mobilnym, nale┐y:

Konfiguracja klucza systemowego

     Prywatne klucze EFS mo┐na ochroniµ za pomoc╣ klucza systemowego Windows 2000 (SysKey). SysKey korzysta z mocnych system≤w szyfrowania do podwy┐szenia poziomu zabezpieczenia danych przechowywanych przez u┐ytkownik≤w, w tym kluczy prywatnych u┐ywanych w EFS. Po w│╣czeniu szyfrowania opartego na kluczu systemowym nie mo┐na go wy│╣czaµ.

Aby skonfigurowaµ klucz systemowy, nale┐y:
  1. Wys│aµ polecenie syskey. Pojawi siΩ okno dialogowe przedstawione na rysunku 13.7.


    Rysunek 13.7 Okno dialogowe klucza systemowego

  2. Zaznaczyµ opcjΩ Szyfrowanie w│╣czone i klikn╣µ przycisk OK. Pojawi siΩ komunikat przypominaj╣cy o konieczno£ci utworzenia nowego awaryjnego dysku naprawczego, a nastΩpnie opcje dotycz╣ce klucza bazy danych kont (rysunek 13.8). Opcj╣ domy£ln╣ jest has│o generowane przez system i przechowywane lokalnie.


    Rysunek 13.8 Okno dialogowe klucza bazy danych kont

  3. Po wybraniu ┐╣danej opcji klikn╣µ przycisk OK.
  4. Zrestartowaµ komputer.
     Po restarcie, w zale┐no£ci od wybranej opcji, mo┐e pojawiµ siΩ pro£ba o podanie klucza systemowego. Windows 2000 wykryje pierwsze u┐ycie klucza systemowego i wygeneruje nowy, losowy klucz szyfrowania hase│, kt≤ry zostanie ochroniony za pomoc╣ klucza systemowego. Od tego momentu wszystkie informacje o ha£le konta s╣ dobrze zaszyfrowane.
     Po kolejnych uruchomieniach:      Polecenia syskey mo┐na u┐yµ ponownie w celu zmiany sposobu przechowywania klucza systemowego lub zmiany has│a.

Zabezpieczanie prywatnego klucza odtwarzania

     Prywatne klucze kont agent≤w odtwarzania powinny zostaµ skopiowane do no£nik≤w wymiennych (przechowywanych w bezpiecznym miejscu) i usuniΩte z komputer≤w. Tak samo nale┐y post╣piµ z domy£lnymi kluczami odtwarzania, przed dokonaniem zmian zasad odtwarzania.
     Aby wykonaµ powy┐sze zadanie, nale┐y u┐yµ Kreatora eksportu certyfikat≤w, dostΩpnego w konsoli certyfikat≤w. WiΩcej informacji na ten temat znajduje siΩ w Pomocy systemu Windows 2000 Professional lub Windows 2000 Server.
     Aby u┐yµ kreatora, nale┐y zalogowaµ siΩ jako Administrator, poniewa┐ certyfikat agenta odtwarzania EFS znajduje siΩ w przechowalni nale┐╣cej do konta Administratora. Kreator pomo┐e wyeksportowaµ certyfikat i klucz prywatny do no£nika wymiennego.
     Aby usun╣µ klucz prywatny z komputera, nale┐y zaznaczyµ opcjΩ Usu± klucz prywatny, je┐eli eksport zosta│ zako±czony pomy£lnie na stronie kreatora dotycz╣cej formatu pliku. Po eksporcie certyfikat i klucz znajd╣ siΩ w pliku o rozszerzeniu .pfx w okre£lonym folderze lub napΩdzie. NastΩpnie nale┐y skopiowaµ plik .pfx na dyskietkΩ (chyba ┐e ju┐ znajduje siΩ na dyskietce), usun╣µ go z dysku twardego i utworzyµ kopiΩ zapasow╣ na drugiej dyskietce. Obie dyskietki powinny byµ przechowywane w oddzielnych, bezpiecznych miejscach.
     Aby wykonaµ operacje odtwarzania, nale┐y u┐yµ konsoli certyfikat≤w do importu pliku .pfx do komputera, na kt≤rym odtwarzanie bΩdzie wykonywane. Po odtworzeniu plik≤w klucz nale┐y ponownie zabezpieczyµ.

Zasoby dodatkowe