Базы данных доменов Windows NT не поддерживают иерархической структуры и не могут быть распределены между несколькими серверами Windows NT. Эти обстоятельства существенно ограничивают максимальное количество объектов в домене. Однодоменная структура в Windows NT может быть реализована, если число пользователей измеряется десятками, максимум – одной-двумя сотнями. Для управления сетями Windows NT больших масштабов фирма Microsoft предлагает использовать многодоменную структуру и доверительные отношения между доменами. Доверительные отношения (Trust relationship) – механизм взаимодеййствия между доменами Windows NT, позволяющий пользователям и группам одного домена Windows NT получать доступ к ресурсам другого домена.
Доверительные отношения между доменами обеспечивает междоменное администрирование (рис. 3.5), позволяя предоставлять пользователям из одного домена получать доступ к ресурсам другого домена.
Рис. 3.5. Односторонние доверительные отношения между доменами
На рис. 3.5 домен В доверяет домену А. Поэтому пользователям и глобальным группам в домене А могут быть предоставлены права на ресурсы домена В. Поскольку домен А не доверяет домену В, пользователи издомена В не получат доступа к ресурсам домена А. Это одностороннее отношение доверия.
Можно установить двусторонние отношения доверия между доменами (рис. 3.6).
Пользователи и глобальные группы в домене А получают доступ к ресурсам домена В и наоборот. Доверительные отнотиения не транзитивны. Если домен А доверяет домену В, а домен В доверяет домену С, то это не означает, что домен А доверяет домену С. Следовательно, администрирование в многодоменной структуре связано с ручной установкой большого числа доверительных отношений между доменами, что крайне неудобно. Кроме того, доменной архитектуре присущ целый ряд серьезных недостатков, а именно:
1. Невозможность учета потребностей, возникающих при разработке крупномасштабных систем, поскольку домен представляет собой одномерную базу данных и не поддерживает иерархии объектов. Одномерная структура имен объектов хороша, когда число объектов управления не превышает 100-200 и совершенно не пригодна в том случае, когда их число измеряется тысячами.
2. Отсутствие механизмов для подключения к базе данных параметров, управляющих новыми сервисами. Номенклатура объектов NTDS и наборих свойств не могут быть изменены. Для управления новыми сервисами приходится организовывать новые базы данных.
3. Негибкость управляющей схемы. Невозможно дать одному пользователю права по управлениютолько данным конкретным объектом. Пользователь может быть включен в некорую адмистративную группу, которая осуществляет управление всеми объектами домена единообразно.
4. Сложность системы доверительных отношений, требующейся для организации управления многодоменной структурой.
5. Зависимость работы домена Windows NT от сервера, являющегося первичным контроллером домена. Все изменения в NTDS осуществляются на этом сервере. Далее первичный контроллер домена реплицирует эту информацию на один или несколько резервных контроллеров домена. Выход из строя данного сервера делает домен неуправляемым. Превращение резервного контроллера домена в первичный требует вмешательства администратора.
6. Невозможность добавления или уничтожения базы данных домена на сервере WindbwsNT без переинсталляции операционной системы с последующим воссозданием системы допусков пользователей к объектам файловой системы. Каждый сервер Windows NT может содержать базу данных только одного домена.
7. Отсутствие механизма перемещения объектов между доменами. Объект должен быть уничтожен и создан заново. Абсолютно невозможно слияние двух доменов в один.
Прекрасно понимая все эти недостатки, фирма Microsoft в версии Windows NT 5.0 использует так называемую активную директорию MAD (Microsoft Active Directory). MAD предполагается строить в соответствии с требованиями протокола Х.500 с использованием контейнеров типа “Организационная единица” (Organization Unit). MAD не использует реестр для хранения всей базы данных домена. Для этих целей будет применяться база данных Microsoft JET, аналогичная той, которая используется в Microsoft Exchange. Замена реестра на JET решает проблему масштабирования и ввода новых типов объектов. Для совместимости с предыдущими версиями Windows NT, в версии Windows NT 5.0 сохранен программный интерфейс SAM (Security Accounts Manager) между базой данных JET и программами, использующими информацию из этой базы (рис. 3.7).
Рис. 3.7. Репликация баз данных доменов в Microsoft Active Directory
Расширения в базе данных домена могут быть использованы только приложениями, ориентированными на MAD. Так например, существующая версия Microsoft Exchange не сможет воспользоваться информацией о почтовых ящиках пользователей, содержащейся в MAD.
MAD преодолевает проблемы, связанные с одномерной структурой доменов. Это обеспечивается введением фирмой Microsoft понятия “Организационная единица” (Organizational Unit – OU) (рис. 3.8).
MAD позволяет назначать права по управлению объектами не на весь домен в целом, а лишь на отдельные OU из этого домена. Назначать права по управлению конечным объектом по-прежнему нельзя.
Таким образом, достаточно простая для NDS задача предоставления всем пользователям одного контейнера доступа к файловому серверу, расположенному в другом контейнере, в MAD является не решаемой (рис. 3.9.).
Введение в защиту информации. Источники, риски и формы атак на информацию
1.1. Защита компьютерной информации: основные понятия и определения
Безопасность информации – степень (мера) защищенности информации, хранимой и обрабатываемой в автоматизированной системе (АС), от негативного воздействия на нее с точки зрения нарушения ее физической и логической целостности (уничтожения, искажения) или несанкционированного использования.
Автоматизированная система – организованная совокупность средств, методов и мероприятий, используемых для регулярной обработки информации в процессе решения определенного круга прикладных задач.
Защищенность информации – поддержание на заданном уровне тех параметров информации, находящейся в автоматизированной системе, которые обеспечивают установленный статус ее хранения, обработки и использования.
Защита информации (ЗИ) – процесс создания и использования в автоматизированных системах специальных механизмов, поддерживающих установленный статус ее защищенности.
Комплексная защита информации – целенаправленное регулярное применение в автоматизированных системах средств и методов защиты информации, а также осуществление комплекса мероприятий с целью поддержания заданного уровня защищенности информации по всей совокупности показателей и условий, являющихся существенно значимыми с точки зрения обеспечения безопасности информации.
Безопасная информационная система – это система, которая, во-первых, защищает данные от несанкционированного доступа, во-вторых, всегда готова предоставить их своим пользователям, в-третьих, надежно хранит информацию и гарантирует неизменность данных. Таким образом, безопасная система по определению обладает свойствами конфиденциальности, доступности и целостности.
Конфиденциальность – гарантия того, что секретные данные будут доступны только тем пользователям, которым этот доступ разрешен (такие пользователи называются авторизованными).
Доступность – гарантия того, что авторизованные пользователи всегда получат доступ к данным.
Целостность – гарантия сохранности данными правильных значений, которая обеспечивается запретом для неавторизованных пользователей каким-либо образом изменять, модифицировать, разрушать или создавать данные.
Требования безопасности могут меняться в зависимости от назначения системы, характера используемых данных и типа возможных угроз. Трудно представить систему, для которой были бы не важны свойства целостности и доступности, но свойство конфиденциальности не всегда является обязательным.
Понятия конфиденциальности, доступности и целостности могут быть определены не только по отношению к информации, но и к другим ресурсам вычислительной сети, например внешним устройствам или приложениям. Существует множество системных ресурсов, возможность “незаконного” использования которых может привести к нарушению безопасности системы. Например, неограниченный доступ к устройству печати позволяет злоумышленнику получать копии распечатываемых документов, изменять параметры настройки, что может привести к изменению очередности работ и даже к выводу устройства из строя. Свойство конфиденциальности, примененное к устройству печати, можно интерпретировать так: доступ к устройству имеют те и только те пользователи, которым этот доступ разрешен, причем они могут выполнять только те операции с устройством, которые для них определены. Свойство доступности устройства означает его готовность к использованию всякий раз, когда в этом возникает необходимость, а свойство целостности может быть определено как свойство неизменности параметров настройки данного устройства.
Важным для понимания дальнейших определений являются такие понятия, как объект, субъект, доступ.
Объект – пассивный компонент системы, хранящий, принимающий или передающий информацию. Субъект – активный компонент системы, обычно представленный в виде пользователя, процесса или устройства, которому может потребоваться обращение к объекту или системе. Доступ – взаимодействие между субъектом и объектом, обеспечивающее передачу информации между ними, или изменение состояния системы.
Доступ к информации – обеспечение субъекту возможности ознакомления с информацией и ее обработки, в частности, копирования, модификации или уничтожения информации.
Идентификация – присвоение субъектам и объектам доступа уникального идентификатора в виде номера, шифра, кода и т.п. с целью получения доступа к информации.
Аутентификация – проверка подлинности субъекта по предъявленному им идентификатору для принятия решения о предоставлении ему доступа к ресурсам системы.
Угроза – любое действие, направленное на нарушение конфиденциальности, целостности и/или доступности информации, а также на нелегальное использование других ресурсов информационной системы (ИС).
Уязвимость информации – возможность возникновения на каком-либо этапе жизненного цикла автоматизированной системы такого ее состояния, при котором создаются условия для реализации угроз безопасности информации.
Атака – реализованная угроза.
Риск – это вероятностная оценка величины возможного ущерба, который может понести владелец информационного ресурса в результате успешно проведенной атаки. Значение риска тем выше, чем более уязвимой является существующая система безопасности и чем выше вероятность реализации атаки.
Изначально защищенная информационная технология – информационная технология, которая изначально содержит все необходимые механизмы для обеспечения требуемого уровня защиты информации.
Качество информации – совокупность свойств, обусловливающих пригодность информации удовлетворять определенные потребности в соответствии с ее назначением.