Особенности системы защиты Windows 2000

ОГЛАВЛЕНИЕ

Разрабатывая архитектуру системы безопасности Windows NT 4.0, специалисты Microsoft заложили в нее возможность дальнейшего расширения. Архитектура построена на базе четко разграниченных модулей и включает несколько прикладных программных интерфейсов (API), обеспечивающих возможность добавления служб (например, шифрования и аутентификации), причем совершенно безболезненно для операционной системы.

Читателей наверняка интересует вопрос, в чем, собственно, заключается новизна архитектуры системы безопасности Windows 2000? Отвечая на него, сначала я расскажу о тех возможностях, которые демонстрирует система безопасности Windows 2000 по сравнению с аналогичной системой версии 4.0, а также о том, какие недостатки были устранены в процессе работы над ней. Затем я поясню, на основании каких новых функций Windows 2000 разработчики Microsoft намерены представить ее как операционную систему для решения задач электронной коммерции, и наконец, отдельно остановлюсь на каждом архитектурном компоненте и его функциях.

Стартовая площадка — Windows NT

Чтобы понять защитную архитектуру Windows 2000, нужно вспомнить особенности архитектуры Windows NT 4.0, которая разрабатывалась для решения ряда общих проблем, возникающих при работе в локальной сети. Так, она обеспечила возможность однократного входа в сеть (по крайней мере, для всех Windows-систем) и, в определенной степени, централизованное администрирование с помощью организации доменов.

Кроме того, в Microsoft были разработаны модуль идентификации и аутентификации (Graphical Identification and Authentication, GINA), модули уведомлений о смене пароля (notification packages) и модуль Cryptographic Service Provider (CSP), что обеспечило расширяемость системы NT. Модуль GINA отвечает за авторизацию пользователей в ходе начальной регистрации. Для выполнения дополнительных функций службы регистрации, например отображения времени последнего входа в сеть или поддержки однократного входа в сеть (Single Sign-On, SSO), допускается создание собственных вариантов GINA. В частности, в компании Novell такой модуль реализован для Windows NT-клиента операционной системы IntranetWare.

Модули уведомлений о смене пароля представляют собой встраиваемые DLL, которые позволяют определять изменение пароля и синхронизировать эту информацию с другими службами для проверки пароля на соответствие принятым правилам. Впервые библиотеки уведомлений были реализованы в службе File and Print Services for NetWare (FPNW) из состава Windows NT.

Модуль CSP позволяет приложениям перекладывать тяжесть решения задач шифрования на операционную среду. По мере появления новых стандартов шифрования или при использовании прикладной системы за пределами США, приложение может задействовать соответствующий метод шифрования безо всякой модификации. Благодаря четко определенным интерфейсам взаимодействия возможна даже замена компонентов ядра, таких, как SAM. Так, разработчики Novell замещают части ядра службами Novell Directory Services (NDS) for NT, что обеспечивает тесную интеграцию службы каталогов NDS с Windows NT.

Хотя в Windows NT 4.0 система безопасности была достаточно надежной, те администраторы, которые устанавливали NT как систему уровня предприятия, обнаружили ряд недостатков. Например, без подключения неуклюжих программных надстроек нельзя реализовать распределенную систему поддержки однократного входа в сеть (SSO). Кроме того, уязвимым местом в системе защиты NT стала обратная совместимость с LAN Manager. Возможности делегирования прав (т. е. присвоения пользователю ограниченных административных привилегий управления некоторым набором учетных записей) оказались удручающе слабыми. Так, невозможно предоставить сотрудникам службы технической поддержки право смены паролей пользователей, не наделив их правами администратора в полном объеме.

Нельзя также надлежащим образом смоделировать существующую организационную иерархию и административную структуру компании на основе плоской доменной модели Windows NT. Кроме того, NT 4.0 имеет ряд недостатков в плане масштабирования, например число пользователей в домене ограничено. Операционная система не позволяет хранить специфичную для приложений информацию в учетных записях пользователей. Функциональные возможности PKI, и без того весьма скромные, ограничены работой в Web-окружении и поддержкой соединений в Exchange Server, а функции NT PKI интегрированы в операционную систему не полностью.