Особенности системы защиты Windows 2000
Страница 2. Задачи новой системы безопасности


 

Задачи новой системы безопасности

Поскольку при создании Windows 2000 разработчики Microsoft стремились устранить недостатки NT, руководство корпорации рассматривает новую ОС как наиболее подходящую для электронной коммерции.

Во-первых, в Windows 2000 заметно усовершенствована система безопасности. Для замены уязвимой системы сетевой аутентификации NT LAN Manager (NTLM) добавлен протокол Kerberos; для снижения уровня риска, связанного с парольной защитой, можно применять PKI и смарт-карты при использовании закрытого ключа. Защита от физического доступа к жесткому диску вырастала в проблему, учитывая возможность кражи ноутбука. Для ее решения в Microsoft была реализована технология шифрования данных на диске Encrypting File System (EFS).

Во-вторых, Windows 2000 базируется исключительно на промышленных стандартах и протоколах. Разработчикам Microsoft пришлось смириться с тем, что компании не могут и не будут поддерживать нестандартные технологии и что иногда лучшее решение уже реализовано другими. Так, в каждой области взаимодействия между частями системы применяются общепринятые стандарты или протоколы. В Windows 2000 реализованы LDAP, Kerberos, Public Key Cryptography Standards (PKCS), PC/CS, DNS и IPSec вместо собственных NTLM, SAM, WINS и PPTP (кое-что поддерживается для обратной совместимости). Такой подход к использованию стандартов позволяет при необходимости заменять компоненты производства Microsoft лучшими из имеющихся на рынке и расширяет возможности системы в плане взаимодействия.

В-третьих, компании потребовалась платформа, способная обеспечить снижение стоимости разработки приложений. Процесс создания такой платформы начался в NT с реализации Security Support Provider Interface (SSPI) и CryptoAPI. В Windows 2000 разработчики могут использовать предоставляемые операционной системой службы (например, службу криптографии). Независимость от поставщика услуг защищает приложения от устаревания. Компоненты, предоставляющие приложению услуги, можно модернизировать по мере развития технологий, не оказывая при этом влияния на само приложение. Например, приложение, использующее CSP, легко сможет работать с другим новым алгоритмом шифрования.

Парадигма API способствует также развертыванию приложений других разработчиков, что позволяет расширить сферу применения Windows 2000 в тех областях, которые пока не охвачены Microsoft. Кроме того, специалисты корпорации пытаются сделать свои серверные продукты более отказоустойчивыми и пригодными к работе в корпоративных сетях. Так, служба каталогов AD отличается повышенной масштабируемостью и надежностью за счет поддержки разделов каталогов и мультисерверной репликации (multimaster replication). В свою очередь, иерархическая структура каталога и редактор политик групп (Group Policy Editor, GPE) способны облегчить работу с учетными записями пользователей и настройками системы не только в рамках подразделения.

Наконец, в целях решения задач электронной коммерции, все компоненты Windows 2000 поддерживают инфраструктуру PKI, в том числе регистрацию посредством смарт-карт, базирующийся на PKI доступ к Web-серверам, технологию виртуальных частных сетей (Virtual Private Networking — VPN), систему EFS, электронную почту и Authenticode. Это осуществляется с помощью распределенных служб безопасности Windows 2000: Active Directory, служб шифрования, Certificate Services, служб аутентификации, защищенных транспортных протоколов, EFS и смарт-карт. Рассмотрим эти компоненты более подробно.

 
Следующая статья »