Страница 5 из 5 Шифрование Единственный способ защиты размещенной на жестком диске или в сети конфиденциальной информации — шифрование. В случае Windows NT 4.0 данные ничего не стоит перехватить с помощью систем прослушивания сети или же скопировать с диска такими средствами прямого доступа, как утилита NTFSDOS производства Systems Internals. Разработанная же для Windows 2000 система EFS дает возможность шифровать файлы простой установкой соответствующего флажка. При этом кодирование и декодирование выполняются абсолютно прозрачно для пользователя и приложения, что позволяет защитить данные любой прикладной программы. EFS интегрирована с PKI Windows 2000 и поддерживает восстановление данных в том случае, когда секретный ключ пользователя утерян или стал недоступен. EFS незаменима для мобильных пользователей, которые хотят обезопасить себя на случай кражи ноутбука. В то же время EFS — единственный компонент Windows 2000, в котором разработчики Microsoft, вероятно, не смогут реализовать в первой версии ОС все запланированные возможности. Так что следует ожидать весьма слабой поддержки алгоритмов шифрования, за исключением лишь Data Encryption Standard X (DESX), равно как и поддержки хранения секретных ключей EFS на смарт-картах (или вообще полное отсутствие таковой).
| Рисунок 5. Положение IPSec в архитектуре Windows 2000. | Как показано на Рисунке 5, чтобы прозрачно для пользователя и приложения защитить сетевые данные, Windows 2000 использует протокол IPSec. Этот протокол обеспечивает аутентификацию, конфиденциальность, целостность данных и фильтрацию для TCP/IP трафика. IPSec реализован ниже протоколов прикладного уровня и позволяет защищать сеанс связи любого приложения без его модификации. IPSec — это надежный протокол Internet, имеющий сильную отраслевую поддержку. IPSec входит в состав Windows 2000, что облегчает его развертывание и управление. Параметры политики IPSec хранятся в AD, а управлять протоколом можно с помощью GPE. Помимо известных возможностей работы с VPN здесь реализована защита сетевого трафика внутри предприятия. Например, могут потребоваться аутентификация трафика внутри отдела разработок, шифрование трафика, проходящего между этим и другими отделами, а также запрет на доступ в Internet из указанного отдела. При этом, хотя перечисленные требования влияют на работу многих систем, всем можно управлять централизованно через Active Directory. Развитая система безопасности При построении архитектуры системы безопасности Windows 2000 специалисты Microsoft использовали надежные отраслевые стандарты и протоколы в сочетании с модульностью и абстракцией. Благодаря этому в Windows 2000 удалось обеспечить высокий уровень безопасности, открытости, надежности, а также поддержку электронной коммерции и снизить стоимость разработки приложений. Microsoft широко использует возможности AD в Windows 2000, а кроме того, планирует в следующих версиях BackOffice задействовать AD в качестве центрального хранилища данных каталога и информации о политиках. На мой взгляд, проект Windows 2000 — высшее достижение Microsoft в части анализа потребностей бизнеса и удовлетворения интересов пользователей. Хочется верить, что Windows 2000 на сегодня является образцом качества выпускаемых корпорацией программных продуктов. Р. Франклин Смит |