Концепции обеспечения безопасности в Microsoft Windows 2000

Содержание

Слайд 2

Главные задачи

Аутентификация пользователей
Авторизация доступа к ресурсам
Конфиденциальность информации
Целостность информации
Невозможность отказа от совершенных действий

Главные задачи Аутентификация пользователей Авторизация доступа к ресурсам Конфиденциальность информации Целостность информации

Слайд 3

Компоненты системы безопасности Windows 2000

Средства шифрования

Компоненты системы безопасности Windows 2000 Средства шифрования

Слайд 4

Службы аутентификации

Службы аутентификации

Слайд 5

Общие принципы

Прежде чем допустить пользователя к ресурсам система должна его идентифицировать
Учетная запись
Имя

Общие принципы Прежде чем допустить пользователя к ресурсам система должна его идентифицировать
пользователя
Пароль пользователя
Локальная регистрация на рабочей станции
Протокол NTLM
Регистрация в домене Active Directory
Протокол Kerberos v5 rev6

Слайд 6

Архитектура

SSPI
LSA

Kerberos SSP

Schannel SSP

NTLM SSP

Negotiate

Kerberos package

MSV1_0 SSP

Winlogon

GINA

Third- party SSP

Third-party package

Приложение

Архитектура SSPI LSA Kerberos SSP Schannel SSP NTLM SSP Negotiate Kerberos package

Слайд 7

Контроль доступа

Контроль доступа

Слайд 8

Субъект

Привилегии
Возможность выполнять ту или иную операцию на данном компьютере
Ассоциированы с пользователем
Права
Запреты и

Субъект Привилегии Возможность выполнять ту или иную операцию на данном компьютере Ассоциированы
разрешения на выполнение тех или иных действий с объектом
Ассоциированы с объектом
Пользователь
Однозначно определяется своей учетной записью в каталоге
Security Identifier (SID) пользователя

Слайд 9

Маркер доступа

Маркер доступа субъекта
Формируется для каждого субъекта
Ассоциируется с каждым потоком, исполняемым от

Маркер доступа Маркер доступа субъекта Формируется для каждого субъекта Ассоциируется с каждым
имени пользователя
Важнейшие компоненты
SID пользователя
SID-ы всех групп, в которые пользователь входит
Установленные на данном компьютере привилегии пользователю и группам, в которые он входит

Слайд 10

Объект

Объекты файловой системы
Файлы
Папки
Объекты каталога Active Directory
Пользователи
Компьютеры
Принтеры
Контейнеры
Свойства объекта определяются набором атрибутов

Объект Объекты файловой системы Файлы Папки Объекты каталога Active Directory Пользователи Компьютеры

Слайд 11

Дескриптор безопасности объекта

Discretionary Access Control List, DACL
Список запретов и разрешений, установленных

Дескриптор безопасности объекта Discretionary Access Control List, DACL Список запретов и разрешений,
для данного объекта
System Access Control List, SACL
Список назначений аудита
Access Control Entry, ACE
Каждая ACE содержит назначение прав для конкретного SID
ACL объекта Active Directory может содержать строки ACE, назначенные отдельным атрибутам

Слайд 12

OU 12

Наследование

Формирование ACL объекта в иерархии
Явные назначения
Наследование с верхних уровней
Статический механизм наследования
Делегирование

OU 12 Наследование Формирование ACL объекта в иерархии Явные назначения Наследование с
полномочий

OU 1

ACL1

ACL1

ACL2

ACL3

Слайд 13

Проверка прав

Унаследованные строки

Явные назначения

SID 65

SID 141

SID 172

SID 199

Пользователь

Объект

Access Denied


Проверка прав Унаследованные строки Явные назначения SID 65 SID 141 SID 172

Слайд 14

Средства шифрования

Средства шифрования

Слайд 15

CSP и CryptoAPI

CryptoAPI
Программные интерфейсы к криптографическим службам Windows 2000
Cryptographic Service Provider
Криптографические операции
Генерация

CSP и CryptoAPI CryptoAPI Программные интерфейсы к криптографическим службам Windows 2000 Cryptographic
и хранение ключей
Microsoft CSPs
Базовый набор
High Encryption Pack

Слайд 16

CSP и CryptoAPI

CSP #1

Advapi32.dll
Crypt32.dll

Приложение A

CSP #2

CSP #3

CSP #4

Приложение A

Приложение A

Слой приложений

Системный слой

Слой поставщиков

CryptoAPI

CryptoSPI

CSP и CryptoAPI CSP #1 Advapi32.dll Crypt32.dll Приложение A CSP #2 CSP

Слайд 17

Встроенные CSP

Стандартные криптопровайдеры
Microsoft Base CSP
Microsoft DSS CSP
Microsoft DSS and Diffie-Hellman CSP
Microsoft DSS

Встроенные CSP Стандартные криптопровайдеры Microsoft Base CSP Microsoft DSS CSP Microsoft DSS
and Diffie-Hellman/Schannel CSP
Microsoft RSA/Schannel CSP
Schlumberger CSP
GemPlus CSP
High Encryption Pack
Microsoft Strong CSP
Microsoft Enhanced CSP

Слайд 18

Алгоритмы

Симметричное шифрование
Data Encryption Standard (DES)
DES: 56 бит
DESX: 128 бит
Triple DES: 112 бит,

Алгоритмы Симметричное шифрование Data Encryption Standard (DES) DES: 56 бит DESX: 128
168 бит
Rivest’s Cipher (RC)
RC2, RC4: 40 бит, 56 бит, 128 бит
Обмен ключами
Diffie-Hellman Key Agreement
RSA Key Exchange

Слайд 19

Алгоритмы

Хеширование
Message Digest (MD)
MD2, MD4, MD5
Secure Hash Algorithm (SHA-1)
Hashed Message Authentication Code (HMAC)
Цифровая

Алгоритмы Хеширование Message Digest (MD) MD2, MD4, MD5 Secure Hash Algorithm (SHA-1)
подпись
Digital Signature Algorithm (DSA)
RSA Digital Signature

Слайд 20

Разработка CSP

Создание и тестирование модуля CSP с помощью Microsoft Cryptographic Service Provider

Разработка CSP Создание и тестирование модуля CSP с помощью Microsoft Cryptographic Service
Developer’s Kit (CryptoSDK)
http://msdn.microsoft.com/downloads/
Раздел “Security”
Цифровая подпись Microsoft
Модуль c описанием нужно передать Microsoft
Процесс подписи занимает 1 – 2 рабочих дня

Слайд 21

Инфраструктура открытых ключей

Инфраструктура открытых ключей

Слайд 22

Сертификат

Цифровое удостоверение
Стандарт X.509 версия 3
Информация, однозначно идентифицирующая субъекта
Его открытый ключ
Допустимые режимы использования
Информация,

Сертификат Цифровое удостоверение Стандарт X.509 версия 3 Информация, однозначно идентифицирующая субъекта Его
необходимая для проверки сертификата
Срок действия сертификата
Информация о службе, выдавшей сертификат
Цифровая подпись CA

Слайд 23

Microsoft Certificate Services

Certification Authority
Выдача сертификатов клиентам
Генерация ключей, если нужно
Отзыв сертификатов
Публикация Certificate Revocation

Microsoft Certificate Services Certification Authority Выдача сертификатов клиентам Генерация ключей, если нужно
List
Хранение истории всех выданных сертификатов
Web Enrollment Support
Запрос и получение сертификата через Web-интерфейс

Слайд 24

Архитектура CA

Certificate Services

Exit
Module

Entry
Module

Certificate
Templates

Policy Module

Protected Store

CSP

Личные ключи

Открытые ключи

Certificate Database

Запросы PKCS10

Сертификаты

CRL

Архитектура CA Certificate Services Exit Module Entry Module Certificate Templates Policy Module

Слайд 25

Microsoft CA

Enterprise CA
Интегрирован с Active Directory
Выдает сертификаты только объектам, имеющим учетные записи

Microsoft CA Enterprise CA Интегрирован с Active Directory Выдает сертификаты только объектам,
в каталоге
Использует шаблоны сертификатов
Stand-Alone CA
Не зависит от Active Directory
Может использоваться в качестве независимого центра сертификации для любых объектов

Слайд 26

Иерархия CA

Intermediate CA

Issuing CA

Issuing CA

Issuing CA

Certification Path

Иерархия CA Intermediate CA Issuing CA Issuing CA Issuing CA Certification Path

Слайд 27

Проверка сертификата


Проверка сертификата ✔

Слайд 28

Службы, базирующиеся на Windows 2000 PKI

Службы, базирующиеся на Windows 2000 PKI

Слайд 29

Secure Channel

“Microsoft Unified Security Support Provider”
Secure Sockets Layer (SSL) 3.0
SSL 2.0
Transport Layer

Secure Channel “Microsoft Unified Security Support Provider” Secure Sockets Layer (SSL) 3.0
Security (TLS) 1.0
Private Communication Technology (PCT) 1.0
Аутентификация и защита данных при связи через публичные сети
TLS - основной (рекомендуемый) протокол
Модернизация протокола SSL

Слайд 30

Концепции SSL/TLS

При установлении защищенного сеанса участники
Договариваются, какие криптографические алгоритмы будут использоваться в

Концепции SSL/TLS При установлении защищенного сеанса участники Договариваются, какие криптографические алгоритмы будут
рамках сеанса
RSA – при обмене ключами
RC4 – для шифрования данных
SHA и MD5 – для хеширования
Взаимно аутентифицируют друг друга с помощью сертификатов
Вырабатывают ключи для шифрования и хеширования

Слайд 31

Смарт-карты

Микрочип, интегрированный в пластиковую карточку
Сертификат пользователя
Личный ключ пользователя
Идентификация владельца
Персональный идентификационный номер

Смарт-карты Микрочип, интегрированный в пластиковую карточку Сертификат пользователя Личный ключ пользователя Идентификация
(PIN)
Поддержка Smart Cards в Windows 2000
Gemplus
Schlumberger

Слайд 32

Аутентификация

Сертификат вместо пароля
Надежность аутентификации Kerberos зависит от качества паролей
PKINIT
Расширение Kerberos для интерактивной

Аутентификация Сертификат вместо пароля Надежность аутентификации Kerberos зависит от качества паролей PKINIT
аутентификации с помощью Smart Card
Соответствие сертификата учетной записи домена
SSL/TLS, EAP-TLS
Возможна аутентификация пользователей, не имеющих учетных записей в домене

Слайд 33

Шифрующая файловая система (EFS)

Шифрование данных, на уровне файловых операций NTFS
Прозрачный доступ к

Шифрующая файловая система (EFS) Шифрование данных, на уровне файловых операций NTFS Прозрачный
зашифрованным данным из приложений
Возможность восстановления зашифрованных данных
Emergency Data Recovery Policy

Слайд 34

Архитектура EFS

Вызовы File System Run-Time Library (FSRTL)

I/O Manager

EFS.SYS

Win32 subsystem

User mode

Kernel mode

NTFS

CryptoAPI

Взаимодействие через

Архитектура EFS Вызовы File System Run-Time Library (FSRTL) I/O Manager EFS.SYS Win32
LPC

EFS Service

Слайд 35

Безопасность IP (IPSec)

Защита данных на уровне сетевых пакетов
Прозрачно для приложений
Два уровня защиты
Обеспечение

Безопасность IP (IPSec) Защита данных на уровне сетевых пакетов Прозрачно для приложений
целостности пакета
Authentication Header (AH)
Шифрование данных, передаваемых в пакете
Encapsulating Security Payload (ESP)
Возможность туннелирования
Защищенный канал между маршрутизаторами удаленных подсетей

Слайд 36

Процессы IPSec

IKE

IPSec Driver

IPSec Filter

IPSecPolicy

IPSec Driver

IPSec Filter

IKE

Инициация переговоров

Переговоры и генерация SA

IPSecPolicy

Защищенные

Процессы IPSec IKE IPSec Driver IPSec Filter IPSecPolicy IPSec Driver IPSec Filter
пакеты

Слайд 37

Система безопасности Windows 2000

Защита на всех уровнях
Аутентификация
Контроль доступа к ресурсам
Конфиденциальность данных в

Система безопасности Windows 2000 Защита на всех уровнях Аутентификация Контроль доступа к
хранилище
Конфиденциальность и целостность коммуникаций
Модульность и возможность расширения
Подключение модулей шифрования CSP
Собственные механизмы аутентификации
Имя файла: Концепции-обеспечения-безопасности-в-Microsoft-Windows-2000.pptx
Количество просмотров: 548
Количество скачиваний: 1
- Предыдущая
Управление коллективом Работа в команде. Стиль руководства.
Следующая -
RazvedkaCamp#2 InfoWars Предложение для спонсоров и информационных партнеров 29 октября 2011 Киев

Похожие презентации

Теория насилия ТГП
Российский государственный университет нефти и газа имени И.М.Губкина Кафедра машин и оборудования нефтяной и газовой промышленн
Lātvijas pērles
Методика организации игр - исследований с младшими школьниками
     Нижегородский институт развития образованиямуниципальное образовательное учреждение основная общеобразовательная шко
Сложение чисел с помощью координатной прямой
Тема: Личность менеджера, власть и стили управления
Дорогие мои старики
Research Question ( Week 3) (1)
Как делают наши обои
Корзина для хранения
НОРМОКОНТРОЛЬ ПРОЕКТНО-СМЕТНОЙ ДОКУМЕНТАЦИИ
Направления консалтинговой деятельности
Использование системы управления содержимым Joomla! в процессе обучения Зачем преподавателю веб-сайт ? Какие задачи можно решить при
Большая буква в именах собственных
LVMH sales grow despite global slowdown
Знатоки Олимпизма
Биография Тургенева
Профильные классы в 2011-2012 учебном году
Внимание - дети!
Дошкольное отделение
Фонд целевого капитала: краткое введение Санкт-Петербург, 9 февраля 2012 года
Презентация на тему Ледяные пустыни Арктика и Антарктика
SDL Trados Studio 2009 SP3 SDL Trados Team SDL MultiTerm Team
Процессуальное положение пожарно-технического эксперта
Введение в философию
Юные герои Первой мировой войны
Ювенальная юстиция в Германии
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть