[ Pobierz całość w formacie PDF ]
.Us³ugi zabezpieczeñ (security services) kontrolera domeny (DC) pos³uguj¹ siêbezpieczn¹ kopi¹ danych uwierzytelniaj¹cych u¿ytkownika protoko³u NTLM w ActiveDirectory, aby u¿yæ ich do uwierzytelnienia za pomoc¹ protoko³u zabezpieczeñNTLM.Klienci systemu Windows 2000 wykorzystuj¹ dane uwierzytelniaj¹ce(credentials) protoko³u NTLM wprowadzone w trakcie logowanie siê po stronieklienta, podczas ³¹czenia siê klienta z serwerem Windows NT, stosuj¹cuwierzytelnianie za pomoc¹ protoko³u zabezpieczeñ NTLM.Dla zachowaniazgodnoœci, obs³uga danych uwierzytelniaj¹cych protoko³u NTLM przezzabezpieczenia systemu Windows 2000 jest taka sama, jak w przypadku systemuWindows NT 4.Zastosowanie danych uwierzytelniaj¹cych w przypadku stosowania protoko³uKerberosUwierzytelnianie za pomoc¹ protoko³u zabezpieczeñ Kerberos jest g³Ã³wnymsposobem uwierzytelniania dla domen systemu Windows 2000.Daneuwierzytelniaj¹ce protoko³u Kerberos sk³adaj¹ siê z nazwy domeny, nazwyu¿ytkownika (nazwy te mog¹ byæ podane w formie stosowanej w Internecie, np.ianm@company.com) i has³a zaszyfrowanego w sposób w³aœciwy dla protoko³uKerberos (Kerberos — style encrypted password).Podczas logowania u¿ytkownikado systemu, Windows 2000 otrzymuje przynajmniej jeden bilet (ticket) protoko³uKerberos, aby po³¹czyæ siê z us³ugami sieciowymi.Bilety (tickets) protoko³uzabezpieczeñ Kerberos przedstawiaj¹ sieciowe dane uwierzytelniaj¹ce (networkcredentials) przy uwierzytelnianiu na podstawie tego protoko³u.System Windows 2000 automatycznie zarz¹dza pamiêci¹ podrêczn¹ biletów protoko³uKerberos (Kerberos ticket cache) dla po³¹czeñ ze wszystkimi us³ugamisieciowymi.Bilety (tickets) maj¹ swoje okresy wa¿noœci (expiration time) i odczasu do czasu musz¹ byæ uaktualniane.Us³ugodawca zabezpieczeñ Kerberos izwi¹zane z nim us³ugi u¿ytkowe (application services) za³atwiaj¹ sprawêuniewa¿niania i wznawiania biletów.Wiêkszoœæ us³ug, takich jak us³ugaprzeadresowywania (redirector) w systemie plików, automatycznie aktualizujebilety sesji (session tickets).Regularne wznawianie biletów (ticket renewal)stanowi dodatkowe zabezpieczenie sesji dziêki okresowej zmianie klucza sesji.Zastosowanie par kluczy prywatny-publiczny i certyfikatów z par¹ kluczyprywatny-publicznyInternetowe dane uwierzytelniaj¹ce w postaci par kluczy prywatny-publiczny icertyfikatów z par¹ kluczy prywatny-publiczny s¹ zarz¹dzane przez u¿ytkownika.Active Directory s³u¿y do publikowania u¿ytkownikom certyfikatów z kluczempublicznym.Natomiast do ich znajdowania u¿ywa siê standardowych protoko³Ã³wdostêpu do katalogu (standard directory access protocols).Klucze prywatne(private keys) i certyfikaty wydane u¿ytkownikom (end users) przechowywane s¹ wmiejscach bezpiecznych, w systemie lokalnym lub na karcie elektronicznej (smartcard).Miejsca te s¹ znane jako magazyny chronione (Protected Store), a ichochronê zapewniaj¹ internetowe technologie zabezpieczeñ.Implementacjê magazynu chronionego (Protected Store) oparto na architekturzeinterfejsu CryptoAPI dla systemu Windows NT.Interfejs CryptoAPI zawierafunkcje do zarz¹dzania kluczami i pozosta³e, z zakresu kryptografii dotworzenia magazynów chronionych za pomoc¹ certyfikatów znajduj¹cych siê wmagazynie certyfikatów (Certificate Store).Protoko³y zabezpieczeñ, oparte nakluczu publicznym (public key-based security protocols) w wersjizaimplementowanej w systemie Windows 2000, wykorzystuj¹ klucze i certyfikatydostêpne w magazynie chronionym (Protected Store) i magazynie certyfikatów(Certificate Store), jako dane uwierzytelniaj¹ce u¿ytkownika dla uzyskaniadostêpu do serwerów internetowych.W wielu przypadkach okreœlone przezu¿ytkownika w³aœciwoœci certyfikatów znajduj¹cych siê w magazynie certyfikatów(Certificate Store) pozwalaj¹ protoko³om zabezpieczeñ na automatyczne dokonaniewyboru oraz u¿ycie poprawnego certyfikatu i klucza podpisu cyfrowego (signaturekey).Postêpy w zakresie internetowych protoko³Ã³w zabezpieczeñ, np.SSL3/TLSpozwalaj¹ serwerowi na ¿¹danie od klienta okreœlonych danychuwierzytelniaj¹cych (credentials), które s¹ automatycznie pobierane z magazynucertyfikatów (Certificate Store), o ile s¹ dostêpne.Informacje z magazynu chronionego (Protected Store) i magazynu certyfikatów(Certificate Store) s¹ dostêpne dla u¿ytkowników mobilnych (roaming users),poniewa¿ s¹ oni zabezpieczeni jako czêœæ profilu u¿ytkownika.Kiedy u¿ytkownikpo raz pierwszy loguje siê do komputera — -klienta systemu Windows, dane z jegoprofilu s¹ kopiowane do tego komputera.Jeœli u¿ytkownik otrzyma w trakcie tejsesji nowe klucze i certyfikaty, to przy wylogowywaniu siê nastêpujeaktualizacja profilu u¿ytkownika w serwerze centralnym [ Pobierz caÅ‚ość w formacie PDF ]