Организация безопасности сети

Вход и проверка подлинности. Доступ к сетевым ресурсам реализуется рядом функций, образующих службу входа в систему. Вход в сеть еще не означает, что клиенту одновременно разрешается доступ к ресурсам сети. При этом он как бы находится в некоторой пограничной зоне, предназначенной для проверки его подлинности.

Вход в сеть представляет собой двухфазный процесс, при котором пользователи или устройства должны предоставить два фактора проверки подлинности: идентификатор (учетную запись) и пароль. Но сама система не может определить, кто ввел пароль, - сам пользователь или человек, который украл пароль и выдает себя за пользователя. Помимо имени и пароля, в качестве средств двухфакторной проверки можно привести смарт- и магнитные карты. Однако они так же, как и пароли не обеспечивают 100 % защиты, так как карты могут быть украдены, а пароли взломаны. Большой уровень безопасности и удобства обеспечивает однофакторная проверка подлинности. Ее идея состоит в том, что для проверки подлинности используются не имя и пароль, а физические характеристики самого пользователя (отпечатки пальцев, снимок сетчатки глаза).

Доверительные отношения между доменами. Домены – это контейнеры сети, контролирующие доступ ко всем ресурсам, находящимся в ведении домена. Работой доменов управляют контроллеры доменов. Они отвечают за ведение баз данных, которые используются при проверке подлинности клиентов. В ряде случаев пользователю приходится иметь дело одновременно с несколькими доменами. При этом необходимо обеспечить доступ к ресурсам одного домена из другого. Для этого между доменами должны существовать доверительные отношения. Домен, которому доверяет другой, называют доверительным доменом, а домен, который доверяет другому домену, - доверяющим доменом. Если доверительные отношения односторонние, они называются доверительными однонаправленными отношениями. При таком отношении домен А доверяет домену Б, но Б не доверяет А. Когда доверие становится взаимным, доверительные отношения переходят в двунаправленные или двусторонние. Домен А доверяет Б, а Б доверяет А. Такие отношения позволяют пользователям или устройствам из одного домена обращаться к ресурсам другого. Существуют переходные и непереходные доверительные отношения между несколькими доменами. При переходных отношениях домен А доверяет доменам Б и В, Б доверяет А и В, В доверяет А и Б. Вход в любой из доменов разрешает пользователю доступ к ресурсам всех доменов. При непереходных отношениях доступ к ресурсам домена, с которым нет доверительных отношений, возможен только через домен, с которым имеются доверительные отношения.

Служба учета

Аудит – это отслеживание всех событий по контролю доступа к системе и обеспечения ее безопасности. Microsoft определяет событие как любой значительный случай в ОС и ее приложениях, о которых требуется оповестить пользователей (особенно администратора). События фиксируются в журнале событий. Аудит дает возможность отслеживания успеха или отказа определенных событий. Например, можно проводить аудит попыток зарегистрироваться, отслеживая, кто удачно зарегистрировался и когда, а чья попытка была неудачной. Можно также отслеживать доступ к определенной папке или файлу, наблюдая, кто из пользователей ими пользуются и какие задачи с ними выполняют.

Существует несколько категорий событий, по которым проводится аудит.

1. Регистрация события с помощью учетных записей – отслеживание регистрации, подключения и отсоединения пользователей.

2. Управление учетными записями – отслеживание, когда учетная запись создается, изменяется или аннулируется, устраняется или изменяется пароль.

3. Событие регистрации - отслеживание событий регистрации и предъявления полномочий, таких как сетевое использование ресурсов или регистрация подключений к удаленной службе с помощью учетной записи локальной системы.

4. Доступ к объектам – отслеживание доступа к объектам и типы этого доступа. Например, использования папок, файла, принтера.

5. Изменение политики – отслеживание изменений прав пользователей или политики аудита.

6. Использование полномочий – отслеживание событий, когда пользователь применил право, которое не связано с регистрацией и отключением.

7. Отслеживание процессов – отслеживание событий, связанных с выполнением процессов, например выполнением программ.

8. Системные события – отслеживание таких системных событий, как перезапуск, запуск, выключение или событий, которые воздействуют на безопасность системы.

Настройка аудита

В зависимости от событий, для которых настройка аудита необходима, она может быть одно- или двухэтапным процессом.

Во всех случаях, кроме доступа к объектам, аудит выполняется в одношаговом режиме, при этом требуется определить политику аудита данной категории. Для проведения аудита доступа к объектам необходим еще один шаг – настройка аудита конкретных объектов. Например, задание политики аудита доступа к объектам (первый шаг) не приведет к выполнению аудита всех папок и файлов. Чтобы завершить аудит (второй шаг), необходимо отдельно настроить каждую папку или файл. Перед началом аудита конкретных событий необходимо разрешить аудит той категории, к которой принадлежат эти события. Настройка аудита осуществляется с помощью локальной политики безопасности, имеющейся на каждом компьютере, а также с помощью групповой политики или обеих одновременно.

Если установлена политика аудита домена, то она перекрывает любую другую политику аудита. Рассмотрим процедуру настройки аудита групповой политики применительно к ОС Windows 2000. Здесь для разрешения аудита используется консоль Domain Security Policy (политика безопасности домена). Политика аудита содержит перечень элементов аудита: вход в систему, доступ к объектам, доступ к службе, изменение политики, использование программ, отслеживание программ, фиксация событий, вход в систему событий и управление учетными записями.

Чтобы ввести значения параметров какой-либо политики, необходимо в консоли дважды щелкнуть на ее узле. В открытом дополнительном окне необходимо выбрать параметры политики аудита. Например, для задания аудита доступа к объектам в окне можно отметить один из параметров: успех, неуспех или оба. Введение параметров фиксируется после нажатия кнопки OK. После закрытия консоли локальная политика безопасности в специальном журнале безопасности будет фиксировать записи аудита событий. Для этого журнала с учетом требований аудита необходимо выполнить настройку его размера и поведения в случае переполнения.