Moim rodzicom, Robertowi i Isie, którym powinienem zadedykować książkę już
dawno temu.
O Autorze
Po raz pierwszy zetknąłem się z komputerem w wieku 11 lat. Od tamtej pory
nieustannie mi towarzyszy.Zajmuję się komputerami od dawna . Swą karierę
zawodową rozpocząłem jako inżynier elektronik, projektując centrale
telefoniczne i systemy bankowe. Pracowałem nad systemami zabezpieczeń, które
mają duże znaczenie w bankowości. Zajmowałem się kształceniem
korespondencyjnym, a następnie zostałem wykładowcą uniwersyteckim. PosiadamMam
ponadtrzydziestoletnie doświadczenie zawodowe w pracy w przemyśle, handlu i
edukacji. Rozpoczynałem jako inżynier elektronik, projektując centrale
telefoniczne i systemy bankowe. Później zajmowałem się kształceniem
korespondencyjnym, a następnie zostałem wykładowcą uniwersyteckim. Z komputerem
zetknąłem się już w wieku 11lat. W roku 1969 zostałem jednym z pierwszych
programistów mikroprocesorów (było to w roku 1969 — (tempus fugit), a wkrótce
także specjalistą od. Miałem trochę doświadczeń z sieciami komputerowychmi.
Dzięki swej pracy zdobyłem i, za swoje grzechy, mam certyfikaty Microsoftu:
Microsoft Certified Database Administrator, Systems Engineer plus Internet oraz
Trainer. Również przez większość mojej kariery zawodowej byłem związany z
systemami zabezpieczeń. Są one dość ważne w bankowości.
Ponadto przez 15 lat byłem redaktorem czasopisma technicznego i napisałem
więcej artykułów i skryptów akademickich niż chciałbym się do tego
przyznać.Obecnie prowadzę własną firmę consultingową, ku uciesze mamy, która
jest dumna, że w końcu mam . Wszystko jest OK. — moja matka uważa, że mam
prawdziwą pracę. Jest to moja dwunasta książka — sądzę, że po prostu nie lubię
zbytnio drzew. Byłem również przez piętnaście lat redaktorem czasopisma
technicznego i napisałem więcej artykułów i skryptów akademickich niż chciałbym
się do tego przyznać.
Wiele lat temu Oożeniłem się z uroczą irlandzką dziewczyną, a to, że — to, że
mnie wybrała mnie, kiedy miała szeroki wybór, jest dla mnie, wciąż jest źródłem
mojego zdumienia i radości. To wWprost niewiarygodne, że w ciągu 25-iu lat nie
uskarżała się i cierpliwie wspierała przy wszystkich 12-u książkach. Razem
mamyzniosła bez słowa skargi dwanaście książek i dwadzieścia pięć lat. Mam
dwoje wspaniałych dzieci. Są, obydwoje są już dorośli dorosłe i wiedzie im się
dużo lepiej, niż kiedykolwiek będzie powodziło się ich staremu ojcu.
Niniejsza książka jest dwunastą w moim dorobku pisarskim — sądzę, że po prostu
nie lubię zbytnio drzew.
Podziękowania
Pisanie książki jest wysiłkiem zespołowym, dlatego czasami wydaje mi się, że
autor ma najłatwiejsze zadanie. Ta książka Niniejsza publikacjawiele zawdzięcza
wybitnym pracownikom wydawnictwa The Coriolis Group. Stephanie Wall, redaktor
prowadzący, uwierzyła w moje zdolności pisarskie i prowadziła przez trudne
początki tworzenia. William McManus, redaktor ds. praw autorskich (copy
editor), nie tylko poprawił mój angielski, ale także zauważył wszystkie
nieścisłości, które przeoczyłem. Nade wszystko Dan Young, redaktor wydania
(project editor), służył wsparciem, radami i wskazówkami, zachęcał, był wzorem
profesjonalizmu oraz niewyczerpanym źródłem dobrego humoru orazemanował humorem
i optymizmem.
Specjalne podziękowania kieruję do Laury Wellander, specjalisty ds. koordynacji
(production coordinator); Jody Winkler, wykonawcy projektu okładki (cover
designer); April Nielsena, odpowiedzialnego za skład (layout designer) i Tracy
Schofield, specjalisty ds. sprzedaży (marketing specialist), którzy wspólnie,
pracując „za za kulisami” procesu twórczego, przyczynili się do powstania tej
książki.
Osobiście wiele zawdzięczam Johnowi Greenowi, redaktorowi naukowemu (technical
editor), który wspierał mnie swoimi cennymi uwagami i nieocenionymi radami,
doradzał , oraz i pomógł mi rozszyfrować i wyjaśnić niektóre z bardziej
tajemniczych akronimów.
Niewieleu jest istot ludzi takbardziej aspołecznych, jak niż autor w trakcie
pracy nad książką. Nie osiągnąłbym niczego bez wsparcia mojej wspaniałej (pod
każdym względem) żony Anne, syna Drew i córki Bryony. Muszę tu również
wspomnieć dwa koty o imionach: Bryony, Bonnie i Clydezie, które pomogły mi w
trakcie pracy nad rozdziałem 4.
Przedmowa
Osiąganie odpowiedniego poziomu bezpieczeństwa sieci jest porównywalne jest z
jak próbąa utrzymywania przez akrobatę równowagi na linie, po któryej akrobata
przechodzi, jak po niej jakby była to dwunastopasmowej a autostradazie. Jako
Będąc administratorem, r nie nadasz można nadać praw ani uprawnień, dopóki nie
ma zdobędzie się pewności, że są one bezwzględnie konieczne. Użytkownicy muszą
mieć dostęp do zasobów, wystarczający im do wykonywania pracy. Jednak, ale
zawsze będą chcieli więcej, niż jest to rzeczywiście konieczne. Kierownicy
wyższego szczebla będą domagać domagają sięsię większych zabezpieczeń, ale pod
warunkiem, że oczywiście jeśli nie będzie to nic kosztowało i nie będzie ich
dotyczyć. Poza tym widoczne są ciągłe zmianywszystko się zmienia. To, co było
bezpieczne wczoraj, nie jest bezpieczne dzisiaj i stanowi otwarte drzwi dla
technologii jutra.
Posługując się analogią, można powiedzieć, że najniebezpieczniejszą rzeczą w
cyrku jest siatka zabezpieczająca. Jeśli myślisz, że jesteś bezpieczny, a w
siatce jest dziura, wówczas niebezpieczeństwo jest większe-to wtedy jesteś w
większym niebezpieczeństwie, niż w sytuacji, gdyjeśli wcale nie ma siatki, a na
arenę zostaną wypuszczone tygrysy. Czy można zaufać akrobatce na trapezie,
która podaje pomocną dłoń? Oczywiście, że tak można, aranżer programu ręczył za
nią. Ale czy można zaufać aranżerowi programu?
Paranoja Obłęd nie jest warunkiem zasadniczym, jeśli ma się aspiracje, by
zostać fachowcem specjalistą w dziedzinie bezpieczeństwa. Okaże się to dość
szybko.
W książce tej omówiono bezpieczeństwo sieciowe w sieciach Microsoft Windows
2000, chociaż wiele zasad bezpieczeństwa jest niezależnych od systemu. Jest
Publikacja ta ma charakter technicznyto książka techniczna, odnosząca odnosi
się do technicznej strony bezpieczeństwa,- ale zawsze należy pamiętać, że na
bezpieczeństwo w równym stopniu ma wpływ czynnik ludzki. Jak Gdyby
zabezpieczenia nie były inteligentnie zaprojektowane, zawsze znaleźlibyjdą się
użytkownicy, którzy zostawią bez nadzoru komputery, do których są zalogowani,
zapisujący hasła i przyklejający je na monitorach lub gubią cy portfele,
zawierające karty elektroniczne (smart cards) i kody PIN.
Zadaniem specjalisty od bezpieczeństwa sieciowego jest znalezienie równowagi
pomiędzy bezpieczeństwem a użytecznością, ustalenie takich kryteriów
bezpieczeństwa, które zostaną przyjęte przez wszystkich użytkowników jako
możliwe do wprowadzenia i rozsądne. Im bardziej surowe i uciążliwe są wymagania
bezpieczeństwa, tym bardziej prawdopodobnyme jest, że użytkownicy będą
poszukiwać sposobów ich obejścia.
Bezpieczeństwo w systemie Windows 2000
Bezpieczeństwo w systemie Windows 2000 jest oparte na zasadach bezpieczeństwa
występujących w systemie Windows NT 4. Tak jak w przypadku NT 4 jedno
zalogowanie się do domeny Windows umożliwia użytkownikowi dostęp do dowolnego
zasobu w sieci korporacyjnej. System zawiera łatwe w użyciu narzędzia
administracyjne do zarządzania kontami i ustalania założeń bezpieczeństwa
(security policy). Model domenowy jest elastyczny i umożliwia pozwala na
konfigurowanie sieci w szerokim zakresie; od pojedynczej domeny w jednym
miejscu do struktury z wieloma nadrzędnymi domenami kont (multimaster domains),
rozmieszczonymi na całym świecie.
System Windows 2000 stanowi również podstawę zintegrowanego bezpieczeństwa
aplikacji z rodziny BackOffice, włącznie z Microsoft Exchangieme, SQL Serverem,
SNA Serverem i Microsoft System Management Serverem. Model bezpieczeństwa
systemu Windows 2000 umożliwia organizacjom bezpieczną współpracę z partnerami,
dostawcami i klientami za pomocą technologii internetowych, wykorzystujących
relacje zaufania (trust relationships). W systemie Windows 2000 zmieniono
definicję relacji bezpieczeństwa, ułatwiając ich wykorzystywanie i ustawianie w
stosunku do systemu Windows NT 4.
Technologie zabezpieczeń rozwijają się szybko. Certyfikaty z kluczem publicznym
(public key certificates) i hasła dynamiczne (dynamic passwords) pomagają
zaspokoić potrzeby bezpieczeństwa w przedsiębiorstwie. Zdalny Ddostęp zdalny
poprzez sieci publiczne i komunikowanie się pomiędzy przedsiębiorstwami
(business-to-business communication) poprzez Internet, są siłą napędową
ewolucji technologii zabezpieczeń. Tam, gdzie używanie haseł było wątpliwym
zabezpieczeniem, hasła zastąpiono je kartami elektronicznymi (smart cards), a
biometria (biometrics) -— wykorzystywanie unikatowych cech człowieka, takich
jak linie papilarne czy identyfikacji na podstawie badania tęczówki oka zamiast
kodu PIN -— stanowi solidną mocną podstawę bezpieczeństwa kont, połączoną z
łatwością stosowania. Należy zauważyć, że napisano „solidnąmocną”, a nie
„nienaruszalną”. Nie ma systemów nienaruszalnych!
Dla kogo jest przeznaczona niniejsza książka?
Książka ta jest przeznaczona dla osób zajmujących się zawodowo sieciami
komputerowymi, możliwie z doświadczeniem z zakresu Windows NT 4, NetWare’a lub
Uniksa, które administrują lub mają zamiar zająć się administrowaniem sieciami
Windows 2000, -a zwłaszcza bezpieczeństwem systemu Windows 2000. Może być
również przydatna dla pracownikom ów działów pomocy technicznej oraz
konsultantom ów i projektantówom zajmującychm się rozwojem i ustanawianiem
bezpieczeństwa w sieci. Układ książki jest idealny czytelny przede wszystkim
dla tych, którzy chcą poznać fakty, wykonać zamieszczone przykłady i szybko
rozwiązywać problemy.
Jest wiele wspaniałych książek na temat Windows NT, a może jeszcze więcej na
temat sieci komputerowych. Nie mam zamiaru odtwarzać informacji zawartych w
tych publikacjach. Przyjąłem, że czytelnik wie, jak działają relacje zaufania w
systemie NT 4, zetknął się z Menedżerem użytkowników Użytkowników domeny Domeny
(UuUser MmManager for DdDomains), Menedżerem serwera Serwera (SsServer
mMManager), Edytorem założeń Założeń systemowych Systemowych (SsSystem PpPolicy
EeEditor) oraz Podglądem zdarzeń Zdarzeń (EeEvent VvViewer), a także zna w
praktyce protokół TCP/IP i ograniczenia standardu 10BaseT.
Nowości w systemie zabezpieczeń Windows 2000
Bezpieczeństwo Windows 2000, lub, według określenia firmy Microsoft,
Zabezpieczenia rozproszone, zawiera wiele nowych elementów, upraszczających
administrowanie domeną, poprawiających wydajność i łączących techniki
zabezpieczeń internetowych opartych oparte o szyfrowanie z wykorzystaniem
klucza publicznego. Elementy te opisane są szczegółowo w niniejszej książce
książce, ai jest ich zbyt wiele, by wyliczyć je w przedmowie. Jednakże jest
kilka elementów szczególnie ważnych. Firma Microsoft określa je jako „punkty
główne” („highlights”):.
Iintegracja z Windows 2000 Active Directory zapewnia elastyczne zarządzanie
kontami w dużych domenach, z precyzyjną kontrolą dostępu (fine-grain access
control) i delegowaniem administrowania,.
Pprotokół uwierzytelniania Kerberos 5 -— standard bezpieczeństwa w Internecie —
jest domyślnym protokołem uwierzytelniania w sieci i stanowi podstawę zgodności
procedur uwierzytelniania (authentication interoperability),.
Uuwierzytelnianie z zastosowaniem certyfikatów z kluczem publicznym (public key
certificates), kanały bezpieczne (secure channels), (secure channels)
korzystające z protokołu szyfrowania Secure Socket Layer 3(SSL) 3) oraz
interfejsu aplikacji kryptograficznych CryptoAPI dostarczających standardowych
protokołów, zapewniających integralność i poufność danych w sieciach
publicznych.
Powyższe elementy ioraz wiele innych są zostały szczegółowo omówione w
niniejszej książce.
Układ książki
Rozdział pierwszy przybliża hasła i akronimy, spotykane przy wdrażaniu
zabezpieczeń w systemie Windows 2000 oraz zawiera ogólny opis tematów,
omówionych szczegółowo w dalszych rozdziałach oraz określenia i akronimy
spotykane przy wdrażaniu zabezpieczeń w systemie Windows 2000. Rozdział ten
pozwala na zaznajomienie się z pojęciami i podjęcie decyzji, któray z kolejnych
rozdziałów części książki jest szczególnie interesujący dla czytelnika.
Niniejsza książka traktuje o rozwiązywaniu problemów. Rozdział 1. dostarcza
wiedzy na temat tego, gdzie zacząć, czego szukać i gdzie to znaleźć.
W rozdziale 2. opisano usługi katalogowe Active Directory, określające
strukturę sieci Windows 2000 i umożliwiające wprowadzanie systemowych,
wielopoziomowych stref bezpieczeństwa kontrolowanych dokładniej niż to było to
możliwe w poprzednich wersjach systemu MS Windows. Rozdział ten podaje, w jaki
sposób usługi Active Directory mogą być przystosowane do własnych potrzeb, jak
skonfigurować Ustawienia kontroli Kontroli dostępu Dostępu (Access CcControl
SsSettings) oraz przedstawia przystawki Konsoli zarządzania Zarządzania firmy
Firmy Microsoft (Microsoft Management Console -— MMC- snap-ins), które są
wykorzystywane do administrowania wszystkimi elementami systemu Windows 2000,
łącznie z założeniami bezpieczeństwa.
W rozdziale 3. opisano założenia grupowe oraz sposoby, jakaby ustawienia
zawarte w Obiektach założeń Założeń grupowych Grupowych (Group Policy Objects
-— GPOs) mogąły być zastosowane do obiektów Active Directory, np.takich jak
siedziby (sites), domeny (domains) i jednosteki organizacyjneych
(Organizational Units -— OUs). Rozdział ten zawiera omówienie dziedziczenia
założeń (policy inheritance), w jaki sposób założenia obowiązujące na poziomie
domeny (domain- level policies) mogą być wymuszane lub blokowane na niższych
poziomach struktury Active Directory oraz w jaki sposób odpowiednie ustawienie
uprawnień członków grup zabezpieczeń (security group filtering) umożliwia
delegowanie administrowania określonymi jednostkami organizacyjnymi (OUs),
zachowując ważność założeń dla całej domeny.
W rozdziale 4. omówiono protokoły bezpieczeństwa systemu Windows 2000 (Windows
2000 Security Protocols) i ich zastosowanie. W szczególności przedstawiono
Kerberos 5, domyślny protokół uwierzytelniania w systemie Windows 2000.
Rozdział ten zawiera omówienie obustronnego uwierzytelniania za pomocą
protokołów z kluczem tajnym (shared secret protocol) oraz i kluczy wspólnych
(shared keys), oraz kluczee sesji (session keys), ośrodki dystrybucji kluczy
(key distribution centers), bilety (tickets) uwierzytelniające systemu
Kerberos, usługę generowania biletu uwierzytelniającego (ticket granting
service), jaka i oraz uwierzytelnianie wzajemne pomiędzy domenami (cross-domain
authentication). Zasady i ich stosowanie w praktyce opisane w tym rozdziale są
głównymi pojęciami dotyczącymi bezpieczeństwa w systemie Windows 2000.
W rozdziale 5. został naszkicowany problem nieautoryzowanego dostępu do
istotnych danych i opisano jego rozwiązanie w systemie Windows 2000, tzn.
System szyfrowania Szyfrowania plików Plików (Encrypting File System -— EFS).
System EFS zwykle zazwyczaj nie jest widoczny dla użytkownika, który ma dostęp
do swoich plików i może je edytować w normalny sposób, podczas gdy pliki
pozostają niedostępne dla innych użytkowników. Występują tu pewne problemy,
więc dlatego również omówiono wykorzystywanie agentów odzyskiwania (recovery
agents) plików zaszyfrowanych.
Zagadnienia poruszane w rozdziałach 6. i 7. łączą się ze sobą. Używanie kluczy
publicznych (public keys), kluczy prywatnych (private keys) i certyfikatów
bezpieczeństwa (security cerificates) daje wysoki stopień zabezpieczeństwa w
trakcie przesyłania istotnych danych w tak wrogim środowisku, jakim jest
Internet. W rozdziale 6. omówiono infrastrukturę klucza publicznego (public key
infrastrukture -— PKI), wykorzystanie protokołu SSL 3 do ustanowienia
bezpieczeństwa witryn internetowych oraz stosowanie podpisów elektronicznych
(digital signatures) i szyfrowania (encryption) do ochrony ważnych listów
elektronicznych. Rozdział 7. zawiera opis jednostek certyfikujących
(certificate authorities -— CAs), włącznie z usługami certyfikacji firmy
Microsoft (Microsoft Certificate Services) oraz niezależnych jednostek
certyfikujących (third party CAs), takich jak VeriSign i Thawte. W rozdziale
tym opisanozaprezentowano, jak zainstalować jednostkę certyfikującą (CA) i
listę certyfikatów unieważnionych (certificate revocation list — CRL), oraz jak
otrzymać certyfikat i jak zainstalować listę certyfikatów unieważnionych
(certificate revocation list-CRL).
W rozdziałach 8. i 9. omówiono rozwiązywanie problemów uwierzytelniania
użytkowników (user authentication) w sytuacjach, kiedy gdy ochrona za pomocą
hasła nie jest najlepszym rozwiązaniem. Rozdział 8. zawiera opis
przyporządkowywania certyfikatów (certificate mapping). W ten sposób
wprowadzane jest w życie zabezpieczanie logowania za pomocą certyfikatów
(certificate-based security for logons) we tak wrogim środowisku jak Internetu.
W rozdziale tym przedstawiono sposób uwierzytelniania logowania się przez
partnerów i firmy zależne, które nie mają indywidualnych kont w danej domenie.
Karty elektroniczne (smart cards), omówione w rozdziale 9., szybko stają się
najlepszym sposobem uwierzytelniania, szczególnie w wielkich organizacjach, w
których nie dawano sobie rady z zabezpieczeniem za pomocą haseł.
Dane kluczowe są najmniej bezpieczne w trakcie przesyłania ich poprzez sieć.
Podczas gdy przeglądarki (browsers) mogą wykorzystywać szyfrowanie SSL 3,
konieczne jest, by aplikacje również były zabezpieczane przez mechanizmy SSL 3.
Protokół Internet Protocol Security (IPSec), omówiony w rozdziale 10., jest
niewidocznym dla użytkownika sposobem zabezpieczenia ruchu w sieci przed
osobami postronnymi i niecnymi niepożądanymi działaniami użytkowników tej
sieci. Podczas przesyłania przez sieci zewnętrzne, tak, jak Internet,
tunelowanie (tunneling) poprzez wirtualne Wirtualne sieci Sieci prywatne
Prywatne (Virtual Private Networks -— VPNs), omówione w rozdziale 11., jest
niekosztownym rozwiązaniem problemów bezpieczeństwa.
Rozdział 12. zawiera opis narzędzi do konfigurowania bezpieczeństwa lokalnego
za pomocą szablonów Szablonów bezpieczeństwa Bezpieczeństwa (security Security
templatesTemplates), do modyfikacji parametrów bezpieczeństwa, tworzenia nowych
szablonów i analizy ustawień zabezpieczeń. Na zakończenie, w dodatku A,
zamieszczono słowniczek wyjaśniający określenia techniczne pojawiające się w
niniejszej książce, a obszerny indeks pozwala czytelnikowi szybko znaleźć
określone pojęcia i zagadnienia, ułatwiając korzystanie z książkipublikacji.
W jaki sposób korzystać z niniejszej książki
Niniejsza książka może być czytana kolejno; od początku do końca, co pozwoli
nauczyć się podstawowych zagadnień bezpieczeństwa w systemie Windows 2000.
Jednak można również pomijać niektóre zagadnienia, szukać przykładów i
procedur, które mogą być pomocne w rozwiązywaniu problemów napotkanych w
rzeczywistości. Książka ta jest środkiem zaradczym. Proszę korzystać z niej w
sposób najlepiej odpowiadający potrzebom i doświadczeniu czytelnika.
Komentarze i konstruktywna krytyka będą mile widziane. Proszę przesyłać je na
adres ianm@cableinet.co.uk, zamieszczając tytuł książki w temacie wiadomości.
Wyszukiwarka
Podobne podstrony:
TI 00 05 30 B pl(1)TI 00 05 17 T B pl(1)TI 00 05 25 T pl(1)TI 00 05 04 T plTI 00 05 19 T B pl(1)TI 00 05 30 T pl(1)więcej podobnych podstron