Об авторе
Роберта Брагг (Roberta Bragg) управляет собственной консалтинговой фирмой с экзотическим названием Have Computer Will Travel с 1985 года (причем у нее нет собственного портативного компьютера). Кроме того, ей доводилось работать продавцом, системным администратором, программистом, автором книг и статей, преподавателем и техническим консультантом. Среди ее многочисленных сертификатов — MCSE (Windows NT 3.51, 4.0 и 2000), MCT, MCP+Internet и CTT. Среди первых достижений Роберты можно отметить освоение знаменитой игры "Посадка на Луну" на больших ЭВМ, перетаскивание колод перфокарт и программирование на языке FORTRAN. Что касается будущего, то, скорее всего, она постарается как можно быстрее перебраться в виртуальное киберпространство. Уже сегодня Роберту Брагг можно встретить в Web в качестве редактора рубрики, посвященной безопасности, по адресу www.mcpmag.com, в качестве преподавателя — по адресу www.spu.edu и пропагандиста систем безопасности — по адресу www.peaceweaver.com.
Введение
В наши дни обеспечение безопасности информационных систем — это проблема, которая касается всех и каждого. Сегодня уже недостаточно знать, как выбрать пароль и установить разрешения для своих файлов и папок. Если вы администрируете, проектируете, создаете, устанавливаете или просто используете компьютерные системы, вы можете и должны как можно лучше защищать их, а также хранящуюся в них и обрабатываемую ими информацию.
Операционная система (ОС) Windows 2000 проектировалась с учетом всех требований к системе безопасности. В ней появились новые средства защиты, отсутствующие у ее предшественницы Windows NT 4.0, а средства, хорошо известные по предыдущим версиям, были значительно улучшены. При условии соответствующей и корректной реализации средства защиты Windows 2000 могут обеспечить безопасность данных и систем на довольно высоком уровне. Однако для того, чтобы задействовать все их возможности, недостаточно знать, как называются средства защиты и как их применять: нужно знать также, зачем и в каких случаях следует ими пользоваться. Необходимо подчеркнуть, что новые технологии безопасности Windows 2000 нельзя подогнать под готовые "рецепты": в каждом конкретном случае нужно применять свои подходы. Наконец, немаловажным является и то, что развернутые вами средства защиты должны быть понятными и удобными в эксплуатации для других пользователей.
В данной книге содержится информация обо всех аспектах системы безопасности Windows 2000. Конечно, она не заменит собой других книг по этой ОС, так как изложенный в ней материал рассматривается прежде всего с точки зрения имеющихся в Windows 2000 возможностей и инструментов защиты сети.
Для кого предназначена эта книга
Эта книга будет полезной всем, кто занимается администрированием и сопровождением сетей Windows 2000, а также планирует переход на Windows 2000 в ближайшем будущем. Вы найдете в ней большой объем информации об инструментах, средствах и структурах системы безопасности Windows 2000. Приверженцам Windows NT 4.0 при чтении книги пригодится их опыт работы с предыдущей версией Windows, однако для понимания представленных здесь концепций необязательно знать ни Windows NT, ни ее систему безопасности.
С другой стороны, подразумевается, что у читателя имеются базовые знания в области сетевых технологий. Кроме того, архитектура Active Directory описана в книге лишь в общих чертах. Поскольку данные темы заслуживают целых книг, подразумевается, что те, кому нужна более подробная информация, смогут ее найти в других многочисленных источниках (некоторые из источников перечислены в приложении). В то же время от читателя не требуется каких-либо знаний в области криптографии: в части I приведены все базовые сведения для тех, кто никогда не сталкивался с подобными вопросами.
Наконец, в книге представлены все детали системы безопасности Windows 2000, которые наверняка будут интересны специалистам в области защиты информации и (или) аудита систем защиты. Читатели, которые имеют необходимые знания, смогут пропустить вводные главы, посвященные криптографии, и сразу перейти к последующим частям, в которых описаны детали реализации системы безопасности Windows 2000.
Структура книги
Книга состоит из двадцати глав, распределенных по четырем частям, и приложения, в котором приведены источники дополнительной информации.
Часть I. Основные концепции и определения
В данной части содержатся главы, посвященные основным концепциям безопасности, криптографии, связанных с безопасностью протоколов, системы PKI (Public Key Infrastructure) и протокола Kerberos. Те, кому эти темы известны, могут сразу перейти к последующим частям, в которых приведена информация, имеющая непосредственное отношение к Windows 2000. Однако во время многочисленных бесед с администраторами Windows NT и сетей Windows автор выяснила, что многие из них не обладают достаточной подготовкой в перечисленных областях. Им просто-напросто никогда не приходилось сталкиваться с Kerberos или PKI либо выбирать тот или иной криптографический алгоритм. Именно поэтому главы данной части были включены в книгу. Кроме того, благодаря приведенной в них информации в последующих главах, посвященных реализации в Windows 2000 того или иного стандарта, у автора не было необходимости прерывать изложение для пояснения деталей этого стандарта, а у читателя нет необходимости самостоятельно пробираться сквозь дебри непонятных терминов и аббревиатур. Если вы свободно оперируете понятиями, изложенными в части I, можете сразу же перейти к части II. Даже если при чтении вам встретится незнакомый термин или неизвестная ранее концепция, вы всегда сможете вернуться к началу книги за более детальной информацией.
Часть II. Защита операционной системы
В любой программе разворачивания системы безопасности на первом месте стоит защита основной операционной системы. В данной части рассматриваются общие для всех вариантов Windows 2000 средства защиты, а также вопросы обеспечения безопасности изолированных систем. В частности, здесь описываются механизм аутентификации в Windows 2000 по протоколу Kerberos, система EFS (Encrypting File System), NTFS, локальные политики безопасности компьютера, а также инструменты защиты, поставляемые в составе Windows 2000.
Часть III. Защита локальной сети Microsoft Network
В наши дни редко можно встретить компьютер, не подключенный ни к одной сети. Сегодня сетевые соединения устанавливаются на всех уровнях, начиная от домашних компьютеров и портативных ПК, подключающихся с помощью коммутируемых линий к корпоративным серверам или Internet, и заканчивая глобальными сетями, объединяющими множество операционных систем. В данной части рассматриваются вопросы защиты локальной сети Windows и излагаются сведения об администрировании системы безопасности домена. Кроме того, в ней приводится информация о методах защиты клиентов Windows нижнего уровня, а также появившейся в составе Windows 2000 системы DFS (Distributed File System).
Часть IV. Защита сети предприятия при взаимодействии с внешними сетями и клиентами
Сети предприятий часто являются гетерогенными и (или) физически размещаются в разных городах и даже странах. В данной части раскрываются возможности Windows 2000 по обеспечению их безопасности, приводятся сведения о методах защиты средств удаленного доступа с помощью серверов RADIUS и RRAS, инфраструктуре системы управления открытыми ключами предприятия, защите Web-служб и обеспечении взаимодействия Windows 2000 с другими ОС.
О структуре глав
В конце практически каждой главы данной книги имеются разделы "Заключительные советы" и "Дополнительная информация". В разделах, озаглавленных "Заключительные советы", приводятся рекомендации специалистов компании Microsoft и автора книги о том, как лучше применять на практике материал, изложенный в соответствующих главах. Разделы "Дополнительная информация" используются для того, чтобы ускорить поиск информации, имеющей отношение к теме главы, в других главах книги.