Обеспечение безопасности в Windows NT

Виктор Кулагин
Сергей Матвеев
Александр Осадчук

Проблема компьютерной безопасности не нова. Каждый, кто использует компьютерные сети, нуждается в средствах обеспечения безопасности. Статистика показывает, что в большинстве случаев несанкционированного проникновения в систему можно и

Физическая защита

К физическим средствам защиты относится:

обеспечение безопасности помещений, где размещены серверы сети;
ограничение посторонним лицам физического доступа к серверам, концентраторам, коммутаторам, сетевым кабелям и другому оборудованию;
использование средств защиты от сбоев электросети.

Администрирование учетных записей

В функции Менеджера учетных записей входит поддержка механизма идентификации и проверки подлинности пользователей при входе в систему. Все необходимые настройки хр

учетные записи пользователей;

учетные записи групп;

учетные записи компьютеров домена;

учетные записи доменов.

База данных Менеджера учетных записей представляет собой куст системного реестра, находящегося в ветви HKEY_LOCAL_MACHINE, и называется SAM ( рис.1). Как и все ос

Рис. 1.

Наиболее интересным является раздел учетных записей пользователей: в них хранится информация об именах и паролях. Следует заметить, что пароли не хранятся в текстовом виде. Они защищены процедурой хеширова

При установке системы Windows NT доступ к файлу %Systemroot%\System32\Config\sam для обычных программ заблокирован. Однако, используя утилиту Ntbackup, любой пользователь с правом Back up files and d

Поэтому для защиты информации, хранящейся в базе данных SAM, необходимо следующее:

исключить загрузку серверов в DOS-режиме ( все разделы установить под NTFS, отключить загрузку с флоппи- и компакт-дисков, желательно установить на BIOS пароль ( хотя эта мера уже давно устарела, поскольку некоторые версии BIOS име

ограничить количество пользователей с правами Backup Operators и Server Operators;

после установки или обновления удалить файл Sam.sav;

отменить кэширование информации о безопасности на компьютерах домена (имена и пароли последних десяти пользователей, регистрировавшихся ранее на данном компьютере, сохраняются в его локальном реестре). Используя утилиту Regedt32

HKEY_LOCAL_MACHINE\Microsoft|Windows NT\CurrentVersion\WinLogon:

Параметр CachedLogonsCount

Тип REG_SZ

Значение 0

Один из популярных методов проникновения в систему — подбор пароля. Для борьбы с этим обычно устанавливают блокировку учетной записи пользователя (Account Lockout) после определенного числа неудачн

Рис. 2

Приятным исключением является учетная запись администратора. И если он имеет право на вход через сеть, это открывает лазейку для спокойного угадывания пароля. Для защиты рекомендуется переименовать пользователя Administrator, установ

необходимо ввести фильтрацию вводимых пользователем паролей, установить Service Pack 2 или 3 ( используется динамическая библиотека Passfilt.dll). Данная библиотека при создании нового пароля пр

длина пароля не менее шести символов;

содержит три набора из четырех существующих:

прописные группы латинского алфавита A, B,C,…,Z;

строчные группы латинского алфавита a,b,c,…,z;

арабские цифры 0,1,2,…,9;

не арифметические (специальные) символы, такие, как знаки препинания.

пароль не состоит из имени пользователя или любой его части.

Для включения данной фильтрации необходимо в реестре в разделе

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

добавить

Параметр	Notification Packages
Тип	REG_MULTI_SZ
Значение	PASSFILT

Если этот параметр уже существует и содержит величину FPNWCLNT (File Personal NetWare Client), то допишите новую строку под FPNWCLNT. Если же вам мало наборов фильтра, то создайте свою библиотеку, исполь

Защита файлов и каталогов (папок)

Операционная система Windows NT 4.0 поддерживает файловые системы FAT (File Allocation Table) и NTFS (New Technology File System). Напомним, что первая поддерживается такими известными операционными

Защиту ресурсов с использованием FAT можно организовать с помощью прав доступа: Чтение, Запись, Полный.

Таким образом, можно рекомендовать создавать дисковые разделы NTFS вместо FAT. Если все же необходимо использовать раздел FAT, то его надо сделать отдельным разделом для приложений MS-DOS и не размещать в нем системные файлы

Поскольку файлы и каталоги в Windows NT являются объектами, контроль безопасности осуществляется на объектном уровне. Дескриптор безопасности любого объекта в разделе NTFS содержит два списка контроля досту

В операционной системе Windows NT управление доступом к файлам и каталогам NTFS возлагается не на администратора, а на владельца ресурса и контролируется системой безопасности с помощью маски доступа (access mask), содержащейся в запис

Маска доступа включает стандартные (Synchronize, Write_Owner, Write_Dac, Read_Control, Delete), специфические (Read (Write) _Data, Append_Data, Read(Write )_Attributes, Read(Write)_ExtendedAttributes, Execute) и родовые (Gener

В списке DACL определяется, каким пользователям и группам разрешен или запрещен доступ к данному ресурсу. Именно этим списком может управлять владелец объекта.

Список SACL задает определенный владельцем тип доступа, что заставляет систему генерировать записи проверки в системном протоколе событий. Только системный администратор управляет этим списком.

На самом же деле для администрирования используются не отдельные права доступа, а разрешения (permissions) NTFS. Разрешения подразделяются на:

индивидуальные — набор прав, позволяющий предоставлять пользователю доступ того или иного типа (табл.1.1);

стандартные — наборы индивидуальных разрешений для выполнения над файлами или каталогами действий определенного уровня (табл.1.2);

специальные — комбинация индивидуальных разрешений, не совпадающие ни с одним стандартным набором (табл.1.3).

Таблица 1.1

Разрешение	Права доступа	Операция над
Разрешение	Права доступа	Файлами	Папками
Read	Read_Control Read_Data Read_Atributes Read_EA Synchronize	Операции чтения файла, просмотр атрибутов, прав доступа, а также имени владельца	Операции отображения содержимого папки, просмотра атрибутов, прав доступа, а также имени ее владельца
Write	Read_Control Write_Data Append_Data Write_Atributes Write_EA Synchronize	Операции изменения файла и его атрибутов, просмотра прав доступа и имени владельца	Операции создания подпапок и файлов, изменения атрибутов файлов, просмотра прав доступа и имени владельца
Execute	Read_Control Read_Atributes Synchronize Execute	Операции запуска программы, просмотр атрибутов, прав доступа, а также имени владельца	Операции просмотра атрибутов и прав доступа, а также имени владельца и изменения подпапок
Delete	Delete	Операции удаления файла	Операции удаления папок
Change Permission	Write_Dac	Операции изменения прав доступа	Операции изменения прав доступа
Take Ownership	Write_Owner	Операции изменения владельца файла	Операции изменения владельца папки

Таблица 1.2

Разрешение	Индивидуальные разрешения	Операции
No Access	Нет	Запрещение доступа к файлу. Пользователь, для которого оно установлено, не может получить доступ к файлу даже в том случае, если он входит в группу пользователей, имеющих пр
Read	Read, Execute	Предоставление пользователю права на просмотр файлов и запуск приложений, хранящихся в папке.
Change	Read, Write, Execute, Delete	Разрешение (дополнительно к правам, предоставляемым правом Read) на создание и удаление файлов и папок, модификацию содержимого файлов.
Full Control	Все	Разрешение (дополнительно к правам, предоставляемым правом Change) на изменение прав доступа и вступление во владение файлами и папками.

Таблица 1.3

Разрешение	Разрешения к		Операции
Разрешение	Папкам	файлам	Операции
No Access	Нет	нет	Запрещение доступа к папке и содержащимся в ней файлам.
List	Read, Execute	Не устанавливает	Разрешение на просмотр имен файлов и содержимого папок, а также их структуры.
Read	Read, Execute	Read, Execute	Предоставление пользователю права на просмотр файлов и запуск приложений, хранящихся в папке.
Add	Write, Execute	Не устанавливает	Разрешения (дополнительно к правам, предоставляемым правом Read) создавать папки и файлы. Не позволяет отображать структуру папок.
Add & Read	Read, Write, Execute	Read, Execute	Предоставление прав, указанных в правах Add и Read.
Change	Read, Write, Execute, Delete	Read, Write, Execute, Delete	Разрешение (дополнительно к правам, предоставляемым правами Add и Read) создавать и удалять файлы и папки, модифицировать содержимое файлов.
Full Control	Все	Все	Разрешение (дополнительно к правам, предоставляемым правом Change) на изменение прав доступа и вступление во владение файлами и папками

По умолчанию при инсталляции Windows NT и файловой системы NTFS устанавливаются довольно “свободные” разрешения, позволяющие обычным пользователям получать доступ к ряду системных файлов и каталогам. Наприм

Каталоги %systemroot% и %systemroot%\system32 имеют по умолчанию разрешение Change для группы Everyone. Если после установки Windows NT FAT впоследствии был преобразован в NTFS, то данное разрешение для этой группы устанавливается на в

Таблица 2

Объект защиты	Учетная запись	Разрешение
%Systemroot%\Repair	Administrator	Full control
%Systemroot%\System32\Config	Administrator	Full control
	Creator Owner	Full control
	Users	List
	System	Full control
%Systemroot%\System32\SPOOL	Administrator	Full control
	Creator Owner	Full control
	Users	Read
	Power Users	Change
	System	Full control
%Systemroot%\COOKIES %Systemroot%\ FORMS %Systemroot%\ HISTORY %Systemroot%\ OCCACHE %Systemroot%\ PROFILES %Systemroot%\ SENDTO %Systemroot%\ Temporary Internet Files	Administrator	Full control
	Creator Owner	Full control
	Users	Special Directory Access – Read, Write and Execute, Special File Access – None
	System	Full control

Существует несколько файлов операционной системы, расположенных в корневой директории системного раздела, которые также необходимо защитить, назначив следующие разрешени

Таблица 3

Объект защиты	Учетная запись	Разрешение
\Boot.ini, \Ntdetect.com, \Ntldr	Administrators	Full Control
	SYSTEM	Full Control
\Autoexec.bat, \Config.sys	Administrators	Full Control
	SYSTEM	Full Control
	Любому пользователю	Read
\TEMP directory	Administrators	Full Control
	SYSTEM	Full Control
	CREATOR OWNER	Full Control
	Users	Special Directory Access – Read, Write and Execute, Special File Access – None

Имейте в виду, что такие разрешения затруднят пользователям установку программного обеспечения. Также будет невозможна запись в .ini файлы в системном каталоге.

Количество пользователей с правами администратора рекомендуется свести к минимуму. Учетную запись Guest лучше вообще удалить, хотя она при установке (по умолчанию) и так отключена, Защита реестра

Системный реестр (registry) Windows NT – это база данных, содержащая информацию о конфигурации и значениях параметров всех компонентов системы ( устройствах, операционной системе и приложениях). Основные кусты реестра находятся в ветв

Доступ пользователей к полям реестра следует разграничить. Это можно осуществить с помощью утилиты Regedt32 (рис. 3).

Рис. 3

Установленные в системе по умолчанию разрешения на доступ к разделам реестра нельзя модифицировать рядовым пользователям. Поскольку некоторые разделы реестра доступны членам группы Everyone, после установки

Таблица 4

Раздел	Объект защиты
HKEY_LOCAL_MACHINE	\Software
	\Software\Microsoft\RPC (и подразделы)
	\Software\Microsoft\Windows NT\ CurrentVersion
	\Software\Microsoft\Windows NT\ CurrentVersion\Profile List
	\Software\Microsoft\Windows NT\ CurrentVersion\AeDebug
	\Software\Microsoft\Windows NT\ CurrentVersion\Compatibility
	\Software\Microsoft\Windows NT\ CurrentVersion\Drivers
	\Software\Microsoft\Windows NT\ CurrentVersion\Embedding
	\Software\Microsoft\Windows NT\ CurrentVersion\Fonts
	\Software\Microsoft\Windows NT\ CurrentVersion\FontSubstitutes
	\Software\Microsoft\Windows NT\ CurrentVersion\Font Drivers
	\Software\Microsoft\Windows NT\ CurrentVersion\Font Mapper
	\Software\Microsoft\Windows NT\ CurrentVersion\Font Cache
	\Software\Microsoft\Windows NT\ CurrentVersion\GRE_Initialize
	\Software\Microsoft\Windows NT\ CurrentVersion\MCI
	\Software\Microsoft\Windows NT\ CurrentVersion\MCI Extensions
	\Software\Microsoft\Windows NT\ CurrentVersion\Port (и подразделы)
	\Software\Microsoft\Windows NT\ CurrentVersion\Type1 Installer
	\Software\Microsoft\Windows NT\ CurrentVersion\WOW (и подразделы)
	\Software\Microsoft\Windows NT\ CurrentVersion\Windows3.1MigrationStatus (и подразделы)
	\System\CurrentControlSet\Services\LanmanServer\Shares
	\System\CurrentControlSet\Services\UPS
	\Software\Microsoft\Windows\CurrentVersion\Run
	\Software\Microsoft\Windows\CurrentVersion\RunOnce
	\Software\Microsoft\Windows\CurrentVersion\Uninstall
HKEY_CLASSES_ROOT	\HKEY_CLASSES_ROOT (и подразделы)
HKEY_USERS	\.DEFAULT

Для доступа к разделу

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\ CurrentVersion\PerfLib можно вообще удалить группу Everyone, а вместо нее добавить группу INTERACTIVE с правом Read.

Для ограничения удаленного доступа к системному реестру Windows NT используется запись в разделе HKEY_LOCAL_MACHINE\System\CurrentcontrolSet\Control\SecurePipeServers\winreg. По умолчанию право удале

Безопасность сервера SMB

Доступ к файлам и принтерам по сети в операционной системе Windows NT обеспечивает сервер SMB (Server Message Block), называемый просто сервером или LAN Manager сервером. SMB осуществляет проверку подлинности клиента, пытающегося по

При проверке на уровне пользователя сервер выполняет идентификацию пользователя на основе базы учетных записей. Протокол SMB обеспечивает защиту в начальный момент сеанса, затем все данные пользователя передаются по сети в открытом вид

Сеансы протокола SMB можно подделать или перехватить. Шлюз может перехватить сеанс SMB и получить такой же доступ к файловой системе, как и легальный пользователь, инициирующий сеанс. Но шлюзы редко использ

Возможность передачи по сети пароля пользователя в открытом виде делает систему уязвимой. После установки Service Pack 3 в операционной системе автоматически отключает возможность передачи пароля в открытом виде, но существуют SMB-серв

HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\LanManServer\Parametrs

Параметр	EnablePlainTextPassword
Тип	REG_DWORD
Значение	1

Следует отметить, что корпорация Microsoft модифицировала протокол SMB, который назван SMB Signing. При этом клиент и сервер проверяют подлинность каждого сообщения, поступающего по протоколу SMB. Для этого в каждое сообщение SMB помещ

Для включения проверки электронных подписей в сообщения SMB необходимо установить Service Pack 3 и произвести установку параметров в реестре сервера и клиента, для сервера — в разделе HKEY_LOCAL_MACH

Параметр

EnableSecuritySignature

Тип

REG_DWORD

Значение

1

Если значение равно 0 (по умолчанию), то поддержка SMB Signing на сервере выключена. В отличие от сервера у клиента значение EnableSecuritySignature по умолчанию уже равно 1.

При инициализации сервера образуются папки административного назначения (Administrative shares), которые обеспечивают доступ к корневому каталогу тома. Доступ к этим ресурсам по умолчанию разрешен только членам групп Administra

Параметр

AutoShareServer

Тип

REG_DWORD

Установить значение

0

или, используя утилиту System Policy Editor, снять флажки с параметров Create Hidden Drive Shares в разделе Windows NT Network\Sharing (рис. 4).

Рис. 4

Необходимо ограничить права анонимного пользователя. Инсталляция Service Pack 3 закрывает доступ к реестру системы для анонимного пользователя.

Безопасность сервера IIS

Microsoft Internet Information Server (IIS) был создан для унификации работы всех служб Internet. Он представляет собой высокоинтегрированный пакет серверных сл

Защита IIS основана на средствах обеспечения безопасности Windows NT. В их число входят:

учетные записи пользователей. Для предотвращения несанкционированного доступа к узлу IIS следует контролировать учетные записи пользователей. К основным методам защиты также относятся: примен
установка NTFS;

права доступа. Основным механизмом доступа через сервер IIS является анонимный доступ. Из механизмов проверки подлинности лишь Windows NT Challenge-Response, используемый сервером HTTP, можно с
уменьшение числа протоколов и отключение службы Server. Уменьшив число протоколов, которыми пользуются сетевые адаптеры, вы заметно усилите защиту. Чтобы пользователи не смогли просматривать ра
защита информации в FTP. FTP всегда использует защиту на уровне пользователя. Это значит, что для доступа к серверу FTP пользователь должен пройти процедуру регистрации. Сервис FTP серве

Проблема раскрытия паролей устраняется при таких конфигурациях сервера FTP, когда он разрешает анонимный доступ. При анонимном входе пользователь должен ввести в качестве пользовательского имени anonymous

Кроме того, к сервису FTP сервера IIS Windows NT можно разрешить исключительно анонимный доступ. Такой вариант хорош тем, ч

контроль доступа по IP-адресу. Существует дополнительная возможность контроля доступа к серверу IIS — разрешение или запрещение доступа с конкретных IP-адр

Рис. 5. Ограничение доступа по IP- адресам

схемы шифрования. Чтобы обеспечить безопасность пакетов во время их пересылки по сети, приходится применять различные схемы шифрования. Необходимость в такой защите вызвана тем, что при перес

Аудит

Аудит — одно из средств защиты сети Windows NT. С его помощью можно отслеживать действия пользователей и ряд системных событий в сети. Фиксируются следующие параметры, к

выполненное действие;

имя пользователя, выполнившего действие;

дата и время выполнения.

Аудит, реализованный на одном контроллере домена, распространяется на все контроллеры домена. Настройка аудита позволяет выбрать типы событий, подлежащих регистрации, и определить, какие именно параметры будут регистрироваться.

В сетях с минимальным требованиям к безопасности подвергайте аудиту:

успешное использование ресурсов, только в том случае, если эта информация вам необходима для планирования;
успешное использование важной и конфиденциальной информации.
В сетях со средними требованиями к безопасности подвергайте аудиту:
успешное использование важных ресурсов;
удачные и неудачные попытки изменения стратегии безопасности и административной политики;
успешное использование важной и конфиденциальной информации.
В сетях с высокими требованиями к безопасности подвергайте аудиту:
удачные и неудачные попытки регистрации пользователей;
удачное и неудачное использование любых ресурсов;
удачные и неудачные попытки изменения стратегии безопасности и административной политики.

Аудит приводит к дополнительной нагрузке на систему, поэтому регистрируйте лишь события, действительно представляющие интерес.

Windows NT записывает события в три журнала:

Системный журнал (system log) содержит сообщения об ошибках, предупреждения и другую информацию, исходящую от операционной системы и компонентов сторонних производителей. Список событий, реги
Журнал безопасности (Security Log) содержит информацию об успешных и неудачных попытках выполнения действий, регистрируемых средствами аудита. События, регистрируемые в этом журнале, определяют
Журнал приложений (Application Log) содержит сообщения об ошибках, предупреждения и другую информацию, выдаваемую различными приложениями. Список событий, регистрируемых в этом журнале, определ

Все журналы размещены в папке %Systemroot%\System32\Config.

При выборе событий для проведения аудита следует учитывать возможность переполнения журнала. Для настройки журнала используйте диалоговое окно Event Log Settings (рис. 6).

Рис. 6

С помощью этого окна можно управлять:

размером архивируемых журналов (размер по умолчанию – 512 Кбайт, можно изменить размер от 64 до 4 194 240 Кбайт.);

методикой замещения устаревших записей журнала;

Overwrite Events as Need – в случае заполнения журнала при записи новых событий операционная система удаляет самые старые события;

Overwrite Events Older then X Days – в случае заполнения журнала при записи новых событий удаляются самые события, но только если они старше Х дней, иначе новые события будут проигнорированы;

Do not Overwrite Events – в случае заполнения журнала новые события не фиксируются. Очистка журнала производится вручную.

Для просмотра информации об ошибках и предупреждениях, а также об успешных и неудачных запусках задач используется программа Event Viewer. Организация доступа к журналам описана в табл. 5.

Таблица 5

Журнал	Учетная запись	Разрешение
System Log	System	Read, Write, Clear
	Administrators	Read, Write, Clear
	Server Operators	Read, Clear
	Everyone	Read
Security Log	System	Read, Write, Clear
	Administrators	Read, Clear
Application Log	System	Read, Write, Clear
	Administrators	Read, Write, Clear
	Server Operators	Read, Write, Clear
	Everyone	Read, Write

По умолчанию аудит выключен, и журнал безопасности не ведется.

Первый этап планирования стратегии аудита — выбор подлежащих аудиту событий в диалоговом окне Audit Policy утилиты User Manager for Domains (User Manager) (рис. 7).

Рис. 7

Приведем типы событий, которые могут регистрироваться:

Logon and Logoff – регистрация пользователя в системе или выход из нее, а также установка и разрыв сетевого соединения;

File and Object Access – доступ к папкам, файлам и принтерам, подлежащим аудиту;

Use of User Rights – использование привилегий пользователей (кроме прав, связанных с входом и выходом из системы);

User and Group Management – создание, изменение и удаление учётных записей пользователей и групп, а также изменения в ограничениях учётной записи;

Security Policy Changes — изменения в привилегиях пользователей, стратегии аудита и политике доверительных отношений;

Restart, Shutdown and System — перезапуск или выключение компьютера пользователем; возникновение ситуации, влияющей на безопасность системы;

Process Tracking — события, которые вызывают запуск и завершение программ.

Настройка функций аудита описана в документации по Windows NT. Дополнительно рассмотрим следующие типы аудита:

Аудит базовых объектов. Кроме файлов и папок, принтеров и разделов системного реестра в Windows NT есть базовые объекты, которые рядовому пользователю не видны. Они доступны только разработчикам приложений или драйверов устройств. Для

Ветвь

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

Имя

AuditBaseObjects

Тип

REG_DWORDЗначение 1

Аудит привилегий. Среди возможных прав пользователя существуют некоторые привилегии, которые в системе не проверяются даже тогда, когда аудит на использовании привилегии включен. Эти привилегии приведены в табл. 6.

Таблица 6

Право	Учётная запись	Описание
Bypass traverse checking	everyone	Возможность получать доступ к файлам и вложенным папкам, даже если у пользователя нет доступа к родительской папке
Debug programs	administrators	Возможность отладки разных объектов низкого уровня, такие как потоки
Create a token object	no one	Процесс может создать маркер доступа
Replace process level token	no one	Возможность модификации маркера доступа процесса.
Generate Security Audits	no one	Процесс может генерировать записи
Backup files and directories	administrators and backup operators	Возможность делать резервные копии файлов и каталогов в обход разрешений файловой системы
Restore files and directories	administrators and backup operators	Возможность, используя резервную копию, восстанавливать файлы и папки в обход разрешений файловой системы.

Для включения аудита данных привилегий необходимо, используя редактор реестра, добавить следующий параметр:

Ветвь	HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Control\Lsa:
Имя	FullPrivilegeAuditing
Тип	REG_BINARY
Значение	1

Службы безопасности Windows NT 5.0

Система безопасности Windows NT 5.0 позволяет реализовать все новые подходы к проверке подлинности пользователя и защиты данных. В ее состав входит:

полное интегрирование с активным каталогом Windows NT 5.0 для обеспечения масштабируемого управления учетными записями в больших доменах с гибким контролем доступа и распределением административных полномочий;

протокол проверки подлинности Kerberos версии 5 — стандарт безопасности для Internet, реализуемый как основной протокол проверки подлинности входа в сеть;

проверка подлинности с применением сертификатов, основанных на открытых ключах;

безопасные сетевые каналы, базирующиеся на стандарте SSL;

файловая система с шифрованием.

Распределенные службы безопасности Windows NT 5.0 сохраняют сведения об учетных записях в активном каталоге. Достоинства активного каталога:

Учетные записи пользователей и групп можно распределить по контейнерам — подразделениям (Organization Unit, OU). Домен в рамках иерархического пространства имен может содержать любое колич
Активный каталог поддерживает гораздо большее количество объектов и с более высокой производительностью, чем реестр. Дерево объединенных доменов Windows NT способно поддерживать существенно более сложные организационные структуры.
Администрирование учетных записей улучшено благодаря новым графическим средствам управления активным каталогом, а также обращающихся к СОМ- объектам активного каталога сценариям.

Службы тиражирования каталога поддерживают множественные копии учетных записей. Теперь обновление информации можно выполнить для любой копии учетной записи (не требуется разделения контроллеров домена на главный и резервные). Прото

Для того чтобы обеспечить совместимость с существующими клиентами, предоставить более эффективные механизмы безопасности и сделать возможным взаимодействие в гетерогенных сетях, в Windows NT поддерживается несколько протоколов безопасн

Windows NT 5.0 будет поддерживать:

протокол проверки подлинности Windows NT LAN Manager (NTLM), используемый в Windows NT 4.0 и в предыдущих версиях Windows NT;

протокол проверки подлинности Kerberos версии 5, заменяющий NTLM в роли основного протокола для сетевого доступа к ресурсам доменов Windows NT 5.0;

протокол распределенной проверки подлинности паролей (Distributed Password Authentication, DPA); благодаря DPA пользователь, получивший один пароль при регистрации, может подсоединяться к любому уз
протоколы, основанные на открытых ключах и применяемые в основном для связи между программами просмотра и Web-серверами. Стандартом de facto здесь стал протокол Secure Sockets Layer (SSL).

Для единообразного обращения к различным протоколам разработан новый интерфейс прикладного программирования Win32 — интерфейс поставщиков поддержки безопасности (Security Support Provider Interface, SSPI). SSPI

управление мандатами (Credential Management) работу с информацией о клиенте (пароль, билет и т. д.);

управление контекстом (Context Management) — создание контекста безопасности клиента;

поддержку передачи сообщений (Message Support) — проверку целостности переданной информации (работает в рамках контекста безопасности клиента);

управление пакетами (Package Management) — выбор протокола безопасности.

Протокол проверки подлинности Kerberos определяет взаимодействие между клиентами и службой проверки подлинности Центром распределения ключей (Key Distribution Center, KDC). Домен Windows NT 5.

более быстрое подсоединение клиента к серверу; поскольку сервер для проверки подлинности пользователя не должен связываться с контроллером домена, улучшение масштабируемости компьютерной сети;

транзитивные доверительные отношения между доменами упрощают администрирование сложной сети.

В Windows NT 5.0 появится новое средство защиты информации файловая система с шифрованием (Encrypted File System, EFS), позволяющая хранить файлы и папки в зашифрованном виде. Благодаря этому к

Сайт создан в системе uCoz

Параметр	EnableSecuritySignature
Тип	REG_DWORD
Значение	1

Параметр	AutoShareServer
Тип	REG_DWORD
Установить значение	0