По материалам Microsoft

Современный бизнес все больше перемещается в виртуальную сферу, а информационные технологии, в свою очередь, играют все более заметную роль в обеспечении жизнедеятельности предприятий. Однако наряду с многочисленными преимуществами расширение сферы применения компьютерных систем означает и высокие риски, связанные с безопасностью. В частности, разнообразные возможности доступа, повышая производительность и качество работы сотрудников, в то же время облегчают злоумышленникам проведение широкомасштабных атак в сети, а также делают корпоративные сети более уязвимыми для несанкционированного доступа.

Создание интерактивных Web-узлов, предоставляющих каждому посетителю индивидуальную информацию, усложняет задачи, стоящие перед разработчиками систем безопасности. Необходимость защиты личных сведений потребовала разработки новых нормативных актов, а угроза терроризма заставляет еще серьезнее задуматься о безопасности.

Недостаточная надежность систем безопасности ведет к значительным финансовым потерям. В то же время "обременительные" решения в этой сфере могут приносить ущерб в виде снижения производительности систем, задержек в доступе к информационным ресурсам и т. п. Таким образом, актуальной становится задача оптимизации структуры и уровня надежности систем безопасности.

Построение безопасной платформы

В начале 2002 года Microsoft объявила об инициативе построения защищенной информационной системы (Trustworthy Computing), которая базируется на четырех основных принципах - обеспечении безопасности, защите личных сведений, надежности и целостности. Одновременно корпорация предложила концепцию безопасности SD3+C (Secure by Design, Secure by Default, Secure in Deployment and Communications - Безопасность в архитектуре, Безопасность по умолчанию, Безопасность при установке и Взаимодействие).

Безопасность в архитектуре подразумевает устранение всех недостатков продукта с точки зрения безопасности до отправки его потребителю, а также введение средств, повышающих безопасность продукта. Для сокращения числа уязвимых мест в новых и уже существующих программах требуется постоянное совершенствование внутренних процессов разработки продукции.

Основа идеи обеспечения безопасности по умолчанию состоит в том, чтобы отправлять потребителям продукцию с более высокой степенью безопасности, что достигается путем отключения служб, остающихся невостребованными в большинстве пользовательских сценариев, и снижения числа автоматически предоставляемых разрешений. Это позволяет свести к минимуму область, доступную для внешних атак. Принятое самим пользователем осознанное решение об использовании этих служб повышает вероятность того, что управление ими будет осуществляться подобающим образом.

Принцип безопасности при развертывании подразумевает, что при установке нового ПО работа компьютеров и сетевых систем не должна прерываться.

Принцип взаимодействия подразумевает сотрудничество между разработчиком и потребителями - последние получают оперативную информацию о проблемах безопасности в приобретенных продуктах и о появлении соответствующих доработок. Кроме того, потребителям предоставляются необходимые консультации и предупреждения о возможных атаках и новых способах борьбы с ними.

ОС Windows Server 2003 - первый продукт, выпускаемый в рамках инициативы создания защищенных информационных систем. Посмотрим, как сформулированные выше элементы концепции SD3+C реализованы в этой ОС.

Безопасность в архитектуре

Прежде всего, в рамках решения этой задачи информационные службы Интернета (IIS) в Windows Server 2003 были переработаны с целью усовершенствования средств безопасности Web-транзакций. IIS 6.0 позволяет изолировать отдельное Web-приложение в самостоятельный процесс, что предотвращает негативное влияние одного нестабильного приложения на все Web-службы или другие Web-приложения на сервере. IIS 6.0 позволяет также отслеживать работоспособность системы, обнаруживая и восстанавливая поврежденные Web-приложения, а также предотвращая их выход из строя. Код приложения сторонних разработчиков в IIS 6.0 выполняется в изолированных рабочих процессах, использующих по умолчанию новую учетную запись сетевой службы с меньшими полномочиями. Изоляция рабочего процесса позволяет с помощью таблиц управления доступом (Access Control Lists, ACL) ограничить Web-узел или приложение рамками его корневого каталога.

Усовершенствованные средства безопасности сетевого подключения в новой системе дополняют средства безопасности самого узла. В Windows Server 2003 реализована поддержка протоколов строгой проверки подлинности, таких, как 802.1x (Wi-Fi), а также протокола PEAP (Protected Extensible Authentication Protocol), что повышает безопасность беспроводного подключения. В усовершенствованной системе безопасности IPSec (Internet Protocol Security - наборе служб защиты и протоколов безопасности на основе средств криптографии) используется более надежный алгоритм шифрования данных, передаваемых по локальным сетям.

Кроме того, ключевым элементом Windows Server 2003 стал модуль многоязыковой библиотеки времени выполнения (CLR - Common Language Runtime), помогающий обеспечить более высокую степень безопасности и надежности компьютерной среды. CLR тестирует приложение на возможность исполнения без ошибок и проверяет разрешения безопасности, гарантирующие, что программный код выполняет только допустимые операции. CLR уменьшает число сбоев и брешей в системе безопасности, вызванных ошибками программирования, сокращая количество уязвимых для атак мест.

Безопасность по умолчанию

Стараясь сузить область, доступную для атак в варианте Windows Server 2003 по умолчанию, разработчики отключили 19 служб и сократили набор полномочий в некоторых других службах. Так, службы IIS 6.0 не устанавливаются вместе с Windows Server 2003 по умолчанию, и администраторам необходимо явно выразить свое желание установить их - это снижает опасность атак на Web-инфраструктуру. Кроме того, по умолчанию службы IIS 6.0 во время установки переводятся в "блокированное" состояние. После установки служба IIS 6.0 принимает запросы только для статических файлов - до тех пор, пока она не будет настроена на обслуживание динамических элементов, а все таймауты и установки не будут переведены в состояние по умолчанию, обеспечивающее повышенную безопасность. Деактивировать IIS 6.0 можно также с помощью политик групп Windows Server 2003.

Далее, в таблицах управления доступом (ACL) по умолчанию установлены более строгие критерии, используемые операционной системой для защиты сетевых ресурсов. Например, создание новой таблицы ACL корневой папки системы и установка этой папки в качестве папки по умолчанию означает, что пользователи не могут больше записывать файлы в корневой каталог системного диска, - это предотвратит ложные атаки.

В Windows Server 2003 созданы две дополнительные учетные записи пользователей, позволяющие службам работать с меньшим набором полномочий, что помогает предотвратить возможность захвата системы через уязвимые места в службах. Новая учетная запись сетевой службы используется, например, для работы DNS-клиента и всех рабочих процессов IIS. Telnet работает теперь с использованием новой учетной записи локальной службы.

Безопасность при развертывании

Политика ограниченного использования программ (Software Restriction Policy, SRP) - реализованное в Windows Server 2003 и Windows XP средство, позволяющее администраторам проверять запущенное в их домене ПО и управлять возможностью его исполнения на основе заданных правил. Использование SRP позволяет администратору ограничить исполняемое ПО набором надежных приложений - тем самым предотвращается запуск нежелательных программ, скажем, вирусов или конфликтующих приложений. С помощью SRP можно также ограничить круг лиц, способных запустить определенные программы на общих компьютерах, оставив эти функции одному лишь администратору.

Редактор конфигурации безопасности (Security Configuration Editor, SCE) призван помочь организации обезопасить системы на основе Windows, выполняющие различные роли и сценарии установки, например, Web-сервер, подключенный как к Интернету, так и к безопасной внутренней сети. Службы, не требующиеся для работы файлового сервера (например, факс), могут быть отключены. Если необходимо построить политику безопасности для различных типов серверов или выполнить тестовую блокировку для проверки правильности функционирования системы, администраторы могут воспользоваться Мастером конфигурации безопасности в SCE.

Службы сбора аудита (Microsoft Audit Collection Services, MACS) - программное средство для отслеживания работы и аудита систем. Эти службы собирают информацию о событиях в сфере безопасности в сжатом и шифрованном виде и загружают эти события в базу данных для анализа. Данное средство будет работать на базе Windows XP и Windows 2000 Server, его выпуск намечен на конец 2003 г.

Взаимодействие

Перечислим несколько пособий и инструкций Microsoft, посвященных управлению системой безопасности в Windows Server 2003 и исправлениями.

Руководство Microsoft Solution for Securing Windows Server 2003 ("Решения корпорации Майкрософт для обеспечения безопасности Windows Server 2003", в продаже с апреля 2003 г.) содержит сведения по всем вопросам оценки и анализа рисков, обеспечения безопасности жизненно важных функций серверов и безопасной работы среды Windows Server 2003 после завершения начальных фаз блокировки.

Ресурс Microsoft System Architecture (http://www.microsoft.com/solutions/msa) включает инструкции, помогающие потребителям сконструировать компьютерную инфраструктуру на основе технологий, поставляемых корпорацией Microsoft и ее партнерами.

Ресурс Patch Management Service Offering (http://www.microsoft.com/solutions/msm) предоставляет помощь в установке исправлений и обновлений.

Microsoft и ее сертифицированные центры технического обучения проводят также обучение ИТ-персонала по вопросам обнаружения угроз безопасности и снижения их воздействия (см. http://www.microsoft.com/traincenter).

Новые средства безопасности в Windows Server 2003

Проверка подлинности

В новой версии Windows появилось несколько средств проверки подлинности для виртуальной организации.

Доверие "лесов". Windows Server 2003 поддерживает доверительные отношения между различными "лесами", что упрощает деловые отношения с другими компаниями, использующими службу Active Directory. Эта функция позволяет явным образом оказывать доверие определенным (или всем) пользователям либо группам, не жертвуя удобством однократной регистрации.

Диспетчер учетных данных. Эта функция обеспечивает надежное хранение учетных данных (имен пользователей и паролей), а также ссылок на сертификаты и ключи. Благодаря ей пользователи, в том числе и мобильные, получают возможность согласованной однократной регистрации.

Принудительное делегирование. Механизм делегирования позволяет службе использовать учетную запись пользователя или компьютера для получения доступа к ресурсам всей сети. С помощью новой функции Windows Server 2003 можно ограничить набор делегируемых прав. Например, если службе первоначально были делегированы права доступа к базе данных от имени пользователя, затем ее полномочия могут быть сужены и ограничены лишь правом доступа к этой базе данных - без права доступа к другим компьютерам или службам.

Смена протокола. Подлинность пользователей интрасети обычно проверяется на основе протокола Kerberos, но аутентификация пользователей Интернета выполняется таким способом значительно реже. В Windows Server 2003 можно изменить протокол идентификации, не используя при этом пароль пользователя и не заставляя последнего проходить процедуру проверки подлинности с помощью Kerberos. Таким образом, подлинность пользователя, работающего в Интернете, можно проверить любым заданным методом, после чего он проходит идентификацию Windows.

Интеграция .NET Passport с Active Directory. Чтобы предоставить своим партнерам и потребителям возможность однократной регистрации для получения доступа к приложениям и ресурсам на основе Windows, можно воспользоваться проверкой подлинности при помощи службы Passport.

Управление доступом

В Windows Server 2003 представлены новые функции управления доступом на основе ролей, адреса URL, а также с привлечением политики ограниченного использования программ.

Управление доступом на основе ролей. Роль - это именованный набор участников с одинаковыми полномочиями в отношении безопасности (скажем, кассир или менеджер банка). Безопасность на основе ролей зачастую используется для ужесточения политики: например, можно ввести ограничение на размер обрабатываемой транзакции в зависимости от того, какой пользователь выполняет запрос - кассир или менеджер. Новый механизм позволяет системному администратору эффективно управлять доступом к информационным ресурсам, а разработчикам - внедрять в приложения существующие модели безопасности на основе роли.

Управление доступом на основе адреса URL. Это средство позволяет организации управлять доступом к Web-приложениям, ограничивая доступ пользователей к адресам URL. Например, для неизвестного пользователя доступ может быть ограничен несколькими приложениями, а известному можно предоставить право запускать и другие приложения.

Политика ограниченного использования программ. Если управление доступом позволяет ограничивать доступ к ресурсам, политика ограниченного использования программ, SRP, позволяет управлять запуском приложений в системе. Это дает системному администратору возможность регулировать запуск неизвестного или подозрительного ПО, указывая, какие программные продукты могут запускаться в системе, или устанавливая уровень безопасности по умолчанию с правилами для определенных исключений.

Аудит

С помощью усовершенствованных средств аудита в Windows Server 2003 организация может сконструировать эффективную систему обнаружения вторжений в режиме реального времени. Это поможет отслеживать использование системы и выявлять подозрительное поведение.

Аудит операций. Средства Windows Server 2003 позволяют детально отслеживать операции пользователей, записывая события определенных типов в журнал безопасности сервера или рабочей станции. Эта функция, в частности, позволяет не только определить, кто работал с файлом, но и какие операции над этим файлом были проведены.

Выборочный аудит пользователей. В дополнение к общей политике аудита системы в Windows Server 2003 можно задать отдельную политику аудита для конкретного пользователя.

Усовершенствованные процедуры аудита входа и выхода и управления учетными записями. События, связанные с входом в систему и выходом, теперь содержат IP-адрес и сведения о вызывающем объекте. Кроме того, теперь программа аудита управления учетными записями может предоставить точные сведения о характере изменения учетной записи и новом значении ее измененного параметра.

Система сбора аудита MACS. Это приложение типа клиент-сервер, включающее усовершенствованные функции аудита. MACS собирает сведения о событиях в сфере безопасности в режиме реального времени и хранит их в готовом к анализу виде в базе данных SQL. Разделяя роли администратора и аудитора, MACS позволяет пользователям централизованно собирать информацию, в которую администратор не может внести изменения.

Инфраструктура открытого ключа

Новые возможности Windows Server 2003 делают инфраструктуру открытого ключа и связанные с нею технологии более управляемыми и простыми в установке и работе.

Система перекрестной сертификации, называемая также квалифицированным подчинением, позволяет накладывать ограничения на подчиненные центры сертификации и издаваемые ими сертификаты. Можно также устанавливать доверительные отношения между центрами сертификации в различных иерархиях.

Списки Delta CRL. Delta CRL - это список, включающий только сертификаты, статус которых изменился с момента последней компиляции полного (базового) списка CRL (Certificate Revocation List - список отозванных сертификатов). Он значительно меньше полного списка CRL, и его можно часто публиковать без какого бы то ни было воздействия (или с незначительным воздействием) на клиентские компьютеры или сетевую инфраструктуру. Сервер сертификатов, являющийся частью Windows Server 2003, поддерживает списки Delta CRL, что повышает эффективность публикации отозванных сертификатов x.509.

Архивация ключей. Часто перед восстановлением данных необходимо провести восстановление ключа. В Windows Server 2003 для архивации и восстановления закрытого ключа, связанного с отдельным запросом сертификата, может использоваться центр сертификации. Это обеспечивает организациям большую гибкость по сравнению с Windows 2000 Server. В предшествующей версии для расшифровки файлов, закодированных с помощью шифрованной файловой системы или безопасной почты с помощью протокола S/MIME, использовался агент восстановления данных.

Автоматическая регистрация. Автоматическая регистрация сертификатов и автоматическое обновление в Windows Server 2003 значительно снижают ресурсоемкость управления сертификатами шифрования x.509. Эти функции также упрощают и ускоряют установку смарт-карт и увеличивают безопасность беспроводных подключений (IEEE 802.1x), автоматически обновляя сертификаты, срок действия которых истек.

Сетевая безопасность

Для повышения безопасности беспроводных подключений в Windows Server 2003 предусмотрена поддержка протоколов 802.1x и PEAP, для совершенствования проводных подключений повышена безопасность протокола IP (IPSec).

Карантин. Управление карантином доступа к сети (Network Access Quarantine Control) - новая функция Windows Server 2003, которая задерживает предоставление удаленного доступа к локальной сети в обычном режиме на время проведения проверки настроек удаленного компьютера и утверждения ее сценарием администратора. Функция призвана оградить локальную сеть от подключения компьютеров с небезопасными настройками, но она не позволяет защитить сеть от злоумышленников с действующими учетными данными.

Протокол 802.1x. Встроенная поддержка протокола проверки подлинности IEEE 802.1x (Wi-Fi) позволяет идентифицировать компьютеры и пользователей, динамически создавать ключи и осуществлять централизованную проверку подлинности. Поддержка протокола расширенной проверки подлинности (Extended Authentication Protocol, EAP) в Wi-Fi упрощает развертывание безопасного мобильного доступа, в том числе при помощи смарт-карт.

Протокол PEAP. Хотя крупные организации часто используют в беспроводных подключениях протокол EAP-TLS (EAP-Transport Level Security), некоторые компании не имеют необходимой для него инфраструктуры открытого ключа. Для работы систем, основанных на схемах с паролями, можно использовать механизм проверки подлинности PEAP (Protected EAP) в рамках реализации протокола 802.1x.

Усовершенствование протокола IPSec (Internet Protocol security). В Windows Server 2003 предусмотрена поддержка более стойкого механизма криптозащиты - обмена 2048-разрядными ключами Диффи -Хелмана. В Windows XP и семействе Windows Server 2003 монитор IP-безопасности - это часть консоли управления Microsoft Management Console, он позволяет отслеживать информацию протокола IPSec как для локальных, так и удаленных компьютеров. Кроме того, теперь для управления режимом безопасности компьютера можно создавать и назначать постоянную политику IPSec, если локальная политика IPSec или политика IPSec на основе службы Active Directory неприменима.

Шифрование данных

Windows Server 2003 дает организации большую гибкость в развертывании решений безопасности на основе шифрования данных.

Поддержка нескольких пользователей. Новая ОС поддерживает работу нескольких пользователей с одним зашифрованным файлом. Такая работа может упростить сотрудничество, при этом пользователям не требуются общие закрытые ключи.

Поддержка стандарта WebDAV. Шифрованная файловая система (EFS, Encrypted File System) в сочетании с Web-папками стандарта WebDAV (Distributed Authoring and Versioning) обеспечивает простой и безопасный способ работы нескольких пользователей с конфиденциальными данными без развертывания сложной инфраструктуры и привлечения дорогостоящих технологий. WebDAV - протокол доступа к файлам, описанный в спецификации XML.

Зашифрованные автономные папки. Windows Server 2003 позволяет проводить шифрование автономных файлов и папок с помощью EFS. Благодаря этому мобильный пользователь может просматривать файлы, не будучи подключен к сети. Когда он позднее подключается к серверу, система выполняет согласование старых файлов с вариантами, хранящимися на сервере.

Более надежный алгоритм шифрования. По умолчанию в шифрованной файловой системе для всех файлов используется алгоритм AES-256 (Advanced Encryption Standard). Клиент также может воспользоваться алгоритмом, совместимым со стандартом FIPS 140-1 (Federal Information Processing Standards), таким, как алгоритм 3DES, включенный в Windows XP Professional.

 

Решение проблем безопасности требует комплексных мер

Весной Москву с деловым визитом посетил директор по исследованиям и старший вице-президент IDC Джон Гантц (John Gantz). В его ведении, помимо прочего, находятся исследования в области безопасности ИТ-систем. Г-н Гантц ответил на несколько вопросов журнала "BYTE/Россия", который представлял заместитель главного редактора Андрей Колесов.

"BYTE/Россия": Одна из наиболее злободневных тем современной ИТ-индустрии - безопасность информационных систем. Но у этой проблемы есть много различных аспектов. Например, физическая защита зданий, аппаратуры и коммуникаций от угроз террористов или природных катаклизмов, защита информации от конкурентов, защита систем от атак хакеров и т. п. Есть и проблема повышения надежности кода операционных систем и приложений - т. е. защиты от самих поставщиков ПО. Какие из этих проблем кажутся Вам наиболее актуальными?

Джон Гантц: Количество хакеров всегда будет расти, всегда будет угроза пожаров, наводнений, землетрясений. Вопросы защиты сводятся к необходимости достижения компромисса между инвестициями и вероятностью потери информации или утраты работоспособности систем. Есть средства, позволяющие снизить риски.

Но самый сложный вопрос - как заставить организацию понять комплексный характер ИТ-безопасности, подойти к ней как к части общего бизнеса предприятия, а не просто как к ИТ-проблеме. Тут может оказаться не столь важно, используете вы распределенную или централизованную схему ИТ-ресурсов. Гораздо критичнее может быть то, что вы не уделили должного внимания подготовке кадров или планам работы в нештатных обстоятельствах.

Мы советуем своим заказчикам начинать с формирования общей стратегии обеспечения безопасности предприятия. При этом затраты на поддержку собственно ИТ-систем, скорее всего, окажутся совсем не самыми большими. В то же время наши прогнозы таковы: темпы роста затрат на ИТ-безопасность будут расти вдвое быстрее, чем на ИТ в целом.

"BYTE/Россия": Если говорить о безопасности с точки зрения надежности кода программных продуктов, в первую очередь операционных систем, какая из моделей - традиционная, основанная на закрытых кодах или набирающая популярность Open Source - обеспечивает более высокий уровень защиты (в частности, на примере Windows и Linux)?

Джон Гантц: Тут ситуация очень непростая. Так, возможность анализа кода огромным числом людей помогает оперативнее находить ошибки. Но вполне вероятно, что еще быстрее, чем предприятие исправит код, кто-то сможет воспользоваться найденной брешью.

Недавно я ознакомился с информацией о том, что группа противодействия киберпреступлениям одного известного университета публикует больше предупреждений о проблемах безопасности Linux, чем Windows. Короче говоря, ни одна из моделей не дает заметных преимуществ с точки зрения безопасности. Каждая из них имеет свои достоинства и недостатки.