[ Pobierz całość w formacie PDF ]
.LSASS przekazuje ¿¹danie dostêpu do klienta Windows, który do³¹cza ¿¹danie doinicjuj¹cej wiadomoœci SMB, która z kolei jest wysy³ana do serwera docelowego.Serwer docelowy (zwany równie¿ serwerem zatwierdzaj¹cym), wydobywa ¿¹daniedostêpu i przekazuje je do w³asnego LSASS, który wywo³uje lokalny modu³zabezpieczeñ Kerberos do sprawdzenia wa¿noœci biletu.Lokalny modu³ zabezpieczenia dekoduje czêœæ zaszyfrowanego biletu wraz zeskróconym has³em u¿ytkownika.Je¿eli zdekodowana wiadomoœæ nie pasuje do CRC wdanej wiadomoœci, jest natychmiast odrzucana.Ze zdekodowanej wiadomoœci modu³zabezpieczenia wydobywa klucz sesji dla biletu.Nastêpnie u¿ywaj¹c kluczadekoduje element uwierzytelniania.Je¿eli klucze sesji pasuj¹ do siebie, modu³sprawdza znacznik czasu i okreœla wa¿noœæ biletu.Po pomyœlnym sprawdzeniu wszystkich zabezpieczeñ, serwer docelowy dajeu¿ytkownikowi dostêp do serwera.Klient buforuje swoj¹ kopiê biletu izwi¹zanego z nim klucza sesji.Buforowany bilet jest u¿ywany dla wszystkichtransakcji Kerberos zwi¹zanych z serwerem docelowym, a¿ do momentu wygaœniêciawa¿noœci biletu.W tym momencie klient musi uzyskaæ nowy bilet z centrumdystrybucji kluczy.Ponowne uwierzytelnianie jest jedn¹ z najmocniejszych stronsystemu Kerberos.Szczegó³y implementacji systemu KerberosWszystkie wspania³e w³aœciwoœci systemu Kerberos poci¹gaj¹ za sob¹ tylko kilkawymagañ operacyjnych.Komputery Windows 2000 zawsze korzystaj¹ z systemuKerberos podczas uwierzytelniania innych komputerów i domeny Windows 2000.Administrator nie musi wykonywaæ ¿adnych czynnoœci konfiguracyjnych, jakrównie¿ nie musi nadzorowaæ transakcji.Przechodnie relacje zaufania nie wymagaj¹ ¿adnych dodatkowych konfiguracji.Wtrybie w³asnym domeny Windows 2000, grupy i u¿ytkownicy zaufanych domen mog¹automatycznie uzyskiwaæ dostêp do danych zasobów.W domenach trybu mieszanego,w których u¿ywana jest kombinacja systemu Kerberos i NTLM Challenge-Response,dostêp do zasobów jest uzale¿niony od komputera, do którego uzyskuje siê prawadostêpu.Nie ma ¿adnych wskazówek w interfejsie u¿ytkownika dotycz¹cychmechanizmu uwierzytelniania u¿ywanego przez dane po³¹czenie.Us³uga centrum dystrybucji kluczy i us³uga klienta Kerberos nie posiadaj¹swoich w³asnych programów wykonawczych i s¹ wyœwietlane na liœcie procesów.Obie us³ugi s¹ ³adowane jako czêœæ LSASS.Parametry rejestru kontroluj¹ceus³ugê centrum dystrybucji s¹ zlokalizowane wHKLM|System|CurrentControlSet|Services|KDC, jakkolwiek klucz ten nie zawieraspecjalnych wartoœci sterowania.Windows 2000 Resource Kit zawiera dwa narzêdzia — KSETUP i KTPASS, które s¹u¿ywane w konfiguracji kontrolera domeny po to, aby móg³ dzia³aæ jako centrumdystrybucji kluczy MIT Kerberos 5.Trzeba przyznaæ, ¿e Kerberos jest szybkim, cichym systemem, nie przysparzaj¹cymwielu problemów.Niestety, nie mo¿na powiedzieæ tego samego dla za³o¿eñzabezpieczeñ, które wchodz¹ w grê po zakoñczeniu pracy systemu Kerberos.Wnastêpnej czêœci rozdzia³u przedstawione zostanie zagadnienie konfiguracjizasad zabezpieczeñ.Konfiguracja zasad zabezpieczeñMicrosoft definiuje zasadê jako „zbiór za³o¿eñ okreœlaj¹cych wzajemnewspó³dzia³anie pomiêdzy tematem i obiektem”.Zasady zabezpieczeñ s¹ czêœci¹ca³ego mechanizmu zabezpieczeñ nosz¹cego nazwê zasady grup.Zasady grup s¹nastêpn¹ grup¹ za³o¿eñ Windows bêd¹c¹ kontynuacj¹ za³o¿eñ systemowychzaprezentowanych w Windows 95 i NT4.Za³o¿enia systemowe sk³adaj¹ siê ze zbioruwpisów do rejestru, kontrolowanego przez jedno narzêdzie — System Policy Editor(Edytor za³o¿eñ systemowych).Na przyk³ad za³o¿enie systemowe w klasycznym NT³¹czy ró¿ne klucze i wartoœci rejestru, aby zmieniæ pow³okê Eksploratora wjedno za³o¿enie œrodowiska systemu.Klasyczne za³o¿enia systemowe posiadaj¹ jednak wiele ograniczeñ, wszczególnoœci dotycz¹cych rozprzestrzeniania konfiguracji zabezpieczeñ.Za³o¿enie systemowe stale aktualizuje wpisy w rejestrze.Czêste zmiany mog¹ byæprzyczyn¹ powa¿nych problemów.Je¿eli przez przypadek rozprzestrzeniszaktualizacjê zabezpieczenia, która blokuje u¿ytkownikom korzystanie z ichkomputerów, rezultatem mo¿e byæ koniecznoœæ odwiedzenia 10 000 komputeróww celu naprawienia pomy³ki.Za³o¿enia systemowe mog¹ byæ rozprzestrzeniane tylko w jednym pliku— NTCONFIG.POL.Ta sytuacja przeszkadza zdolnoœci do tworzenia za³o¿eñsystemowych przeznaczonych dla okreœlonych po³¹czeñ u¿ytkownika.Za³o¿eniasystemowe mog¹ byæ kierowane do okreœlonych grup, lecz powoduje to koniecznoœæutworzenia olbrzymiego pliku NTCONFIG.POL, który jest bardzo nieporêczny wzarz¹dzaniu.Zakres wpisów w rejestrze, które mog¹ byæ zmienione przez za³o¿enia systemowe,jest ograniczony przez wsteczn¹ kompatybilnoœæ z klasycznym NT.Za³o¿enia systemowe s¹ dalej wspomagane przez Windows 2000, lecz zosta³y wzasadzie w pe³ni zast¹pione przez zasady grup.Dowolny parametr systemubazuj¹cy na wpisie do rejestru mo¿e byæ kontrolowany przez zasady grup.Wszystkie zmiany s¹ wykonywane szybko i ³atwo i nie wymagaj¹ ka¿dorazowegozmieniania lokalnych rejestrów.Usuniêcie zasad grup powoduje przywróceniepierwotnych wpisów rejestru.Zasady grup mog¹ byæ u¿ywane do kontroli wielu konfiguracji, takich jakustawienia zabezpieczeñ, us³ugi systemowe, parametry interfejsu u¿ytkownika iustawienia aplikacji.Dodatkowo za³o¿enia mog¹ byæ u¿ywane do kontroli:przydzielania obszaru dysku u¿ytkownikowi,odzyskiwania systemu plików,przeadresowywania folderów,logowania i roz³¹czania skryptów,instalacji oprogramowania.Oparte na rejestrze zasady grup, które wp³ywaj¹ na ustawienia komputera, s¹zapisywane w grupie HKEY_Local_Machine, a zasady dotycz¹ce ustawieñ u¿ytkownika— w ga³êzi HKEY_Current_User.Zasady grup u¿ywane s¹ przy ka¿dym logowaniuu¿ytkownika albo komputera i s¹ odœwie¿ane co 90 minut, a¿ do momenturoz³¹czenia.Niektóre za³o¿enia mog¹ byæ u¿ywane tylko podczas roz³¹czania.Zasady grup s¹ udostêpniane komputerom na dwa sposoby:Zasady lokalne.Zasady te s¹ przechowywane na dysku lokalnym w katalogu\WINNT\System32\GroupPolicy i s¹ wykorzystywane w momencie logowaniau¿ytkownika do komputera.Zasady Active Directory.Te zasady s¹ przechowywane w dwóch miejscach.G³Ã³wnezasady s¹ umieszczane w ka¿dym kontrolerze domeny w katalogu\WINNT\Sysvol\Sysvol\.Pozosta³a czêœæ jest przechowywanaw katalogu, w zbiorze kontenerów zasad grupowych (GPCs — Group PolicyContainers).Zasady mog¹ byæ zwi¹zane z kontenerem Domain (Domena), Sites(Okrêgi) albo z dowolnym kontenerem Organization Unit (Jednostkaorganizacyjna).Wiêcej informacji na ten temat znajdziesz w rozdziale 7.„Us³ugi Active Directory”
[ Pobierz całość w formacie PDF ]