Групповые политики безопасности \ gpo \ windows \ ad \ часть первая

Источник:

Честно спионерено из интернета... ссылки могут уже не работать :(

http://XAKEP.RU
http://WWW.INTUIT.RU/DEPARTMENT/SECURITY/NETWORKSEC2 - КУРС «ПРОТОКОЛЫ БЕЗОПАСНОГО СЕТЕВОГО ВЗАИМОДЕЙСТВИЯ» (MUST READ!);
http://WWW.IETF.ORG/HTML.CHARTERS/IPSEC-CHARTER.HTML – СТРАНИЦА РАБОЧЕЙ ГРУППЫ IETF;
http://WWW.VR-ONLINE.RU/CSCRIPT/DOCS/AD4WIN2003.RAR - AD НА ПЛАТФОРМЕ WIN2003;
http://WWW.NETWORKDOC.RU/FILES/INSOP/AD/ADTECHS.DOC - ТЕХНИЧЕСКОЕ ОПИСАНИЕ AD;
http://WWW.VR-ONLINE.RU/CSCRIPT/DOCS/IPSEC.RAR - IPSEC - ЗАЩИТА СЕТЕВОГО ТРАФИКА; 
http://WWW.WINSECURITY.RU - ПОРТАЛ ПО БЕЗОПАСНОСТИ WINDOWS;
http://WWW.N-ADMIN.COM, http://WWW.HUB.RU, - ПОРТАЛ ДЛЯ СИСАДМИНОВ;
http://WWW.SYSADMINS.RU – НЕСОМНЕННО, ЛУЧШИЙ ФОРУМ СИСАДМИНОВ;
http://WWW.SAMAG.RU - НЕПЛОХОЙ ЖУРНАЛ «СИСТЕМНЫЙ АДМИНИСТРАТОР».

«БЕЗОПАСНОСТЬ - ЭТО НЕ ПРОДУКТ, ЭТО ПРОЦЕСС...» (С) БРЮС ШНАЙЕР - ИЗВЕСТНЫЙ СПЕЦИАЛИСТ В ОБЛАСТИ КРИПТОГРАФИИ И КОМПЬЮТЕРНОЙ БЕЗОПАСНОСТИ

РЕДАКТОР ГРУППОВОЙ ПОЛИТИКИ WIN2000 НАСЧИТЫВАЕТ ОКОЛО 650 ПАРАМЕТРОВ НАСТРОЙКИ, WINXP SP2 - ПРИМЕРНО 1 500, В WINDOWS VISTA ПЛАНИРУЕТСЯ 3000!

КОМПОНЕНТЫ СЛУЖБ, СВЯЗАННЫХ С IPSEC, БЫЛИ РАЗРАБОТАНЫ КОРПОРАЦИЕЙ MICROSOFT СОВМЕСТНО С CISCO SYSTEMS

27 ФЕВРАЛЯ 2006 ГОДА НА ПРЕСС-КОНФЕРЕНЦИИ В САН-ХОСЕ БИЛЛ ГЕЙТС ЗАЯВИЛ О ПРОДОЛЖЕНИИ 
РАСШИРЕНИЯ РОЛИ ACTIVE DIRECTORY ПУТЕМ ВКЛЮЧЕНИЯ В НЕЕ НОВЫХ СЛУЖБ

Честно спионерено из интернета... ссылки могут уже не работать :(

http://XAKEP.RU

http://WWW.INTUIT.RU/DEPARTMENT/SECURITY/NETWORKSEC2 - КУРС «ПРОТОКОЛЫ БЕЗОПАСНОГО СЕТЕВОГО ВЗАИМОДЕЙСТВИЯ» (MUST READ!);

http://WWW.IETF.ORG/HTML.CHARTERS/IPSEC-CHARTER.HTML – СТРАНИЦА РАБОЧЕЙ ГРУППЫ IETF;

http://WWW.VR-ONLINE.RU/CSCRIPT/DOCS/AD4WIN2003.RAR - AD НА ПЛАТФОРМЕ WIN2003;

http://WWW.NETWORKDOC.RU/FILES/INSOP/AD/ADTECHS.DOC - ТЕХНИЧЕСКОЕ ОПИСАНИЕ AD;

http://WWW.VR-ONLINE.RU/CSCRIPT/DOCS/IPSEC.RAR - IPSEC - ЗАЩИТА СЕТЕВОГО ТРАФИКА;

http://WWW.WINSECURITY.RU - ПОРТАЛ ПО БЕЗОПАСНОСТИ WINDOWS;

http://WWW.N-ADMIN.COM, http://WWW.HUB.RU, - ПОРТАЛ ДЛЯ СИСАДМИНОВ;

http://WWW.SYSADMINS.RU – НЕСОМНЕННО, ЛУЧШИЙ ФОРУМ СИСАДМИНОВ;

http://WWW.SAMAG.RU - НЕПЛОХОЙ ЖУРНАЛ «СИСТЕМНЫЙ АДМИНИСТРАТОР».

«БЕЗОПАСНОСТЬ - ЭТО НЕ ПРОДУКТ, ЭТО ПРОЦЕСС...» (С) БРЮС ШНАЙЕР - ИЗВЕСТНЫЙ СПЕЦИАЛИСТ В ОБЛАСТИ КРИПТОГРАФИИ И КОМПЬЮТЕРНОЙ БЕЗОПАСНОСТИ

РЕДАКТОР ГРУППОВОЙ ПОЛИТИКИ WIN2000 НАСЧИТЫВАЕТ ОКОЛО 650 ПАРАМЕТРОВ НАСТРОЙКИ, WINXP SP2 - ПРИМЕРНО 1 500, В WINDOWS VISTA ПЛАНИРУЕТСЯ 3000!

КОМПОНЕНТЫ СЛУЖБ, СВЯЗАННЫХ С IPSEC, БЫЛИ РАЗРАБОТАНЫ КОРПОРАЦИЕЙ MICROSOFT СОВМЕСТНО С CISCO SYSTEMS

27 ФЕВРАЛЯ 2006 ГОДА НА ПРЕСС-КОНФЕРЕНЦИИ В САН-ХОСЕ БИЛЛ ГЕЙТС ЗАЯВИЛ О ПРОДОЛЖЕНИИ

РАСШИРЕНИЯ РОЛИ ACTIVE DIRECTORY ПУТЕМ ВКЛЮЧЕНИЯ В НЕЕ НОВЫХ СЛУЖБ

Введение:

ЭФФЕКТИВНО СПЛАНИРОВАННАЯ ГРУППОВАЯ ПОЛИТИКА В СОЧЕТАНИИ С УМЕНИЕМ ЕЕ ПРИМЕНЕНИЯ - ПРЕКРАСНЫЙ И ПРАКТИЧЕСКИ НЕЗАМЕНИМЫЙ ИНСТРУМЕНТ УПРАВЛЕНИЯ. НО ДАЛЕКО НЕ КАЖДЫЙ 
ИСПОЛЬЗУЕТ GP НА СТОЛЬКО, НАСКОЛЬКО ЭТО ВОЗМОЖНО. НЕ СОВСЕМ ВЕРНОЕ ПОНИМАНИЕ ПРИНЦИПОВ И МЕТОДОВ РАБОТЫ МЕШАЮТ ДОСТИГНУТЬ БОЛЬШЕЙ ЭФФЕКТИВНОСТИ. 
НА САМОМ ДЕЛЕ РАЗОБРАТЬСЯ И ПОНЯТЬ GROUP POLICY НЕ ТРУДНО. 
ГЛАВНОЕ - СТРЕМИТЬСЯ ПОНЯТЬ СУТЬ МЕХАНИЗМА И ИМЕТЬ ХОТЯ БЫ БАЙТ ФАНТАЗИИ...

ЭФФЕКТИВНО СПЛАНИРОВАННАЯ ГРУППОВАЯ ПОЛИТИКА В СОЧЕТАНИИ С УМЕНИЕМ ЕЕ ПРИМЕНЕНИЯ - ПРЕКРАСНЫЙ И ПРАКТИЧЕСКИ НЕЗАМЕНИМЫЙ ИНСТРУМЕНТ УПРАВЛЕНИЯ. НО ДАЛЕКО НЕ КАЖДЫЙ

ИСПОЛЬЗУЕТ GP НА СТОЛЬКО, НАСКОЛЬКО ЭТО ВОЗМОЖНО. НЕ СОВСЕМ ВЕРНОЕ ПОНИМАНИЕ ПРИНЦИПОВ И МЕТОДОВ РАБОТЫ МЕШАЮТ ДОСТИГНУТЬ БОЛЬШЕЙ ЭФФЕКТИВНОСТИ.

НА САМОМ ДЕЛЕ РАЗОБРАТЬСЯ И ПОНЯТЬ GROUP POLICY НЕ ТРУДНО.

ГЛАВНОЕ - СТРЕМИТЬСЯ ПОНЯТЬ СУТЬ МЕХАНИЗМА И ИМЕТЬ ХОТЯ БЫ БАЙТ ФАНТАЗИИ...

Active Directory

При организации домена необходимо иметь хотя бы базовые понятия служб каталогов, в частности Active Directory. 
Одним из достоинств AD (перед своим предшественником - доменной моделью WindowsNT) является расширение числа объектов. 
Теперь их может быть до нескольких миллионов. 
Служба каталогов управляется с помощью консоли Microsoft Managment Console (Пуск-> Выполнить-> mmc).

Одной из ключевых фигур AD является домен - элемент каталога, с собственным пространством имен и правилами безопасности, не распространяющимися за его пределы.
Между доменами устанавливаются так называемые транзитивные отношения доверия. 

Например: 
домен А доверяет домену В, а В, в свою очередь, доверяет домену С. 
Если, исходя из этих доверий, домен А будет доверять домену С, их отношения будут называться транзитивными. 

Домены объединяются в деревья: 
первый домен называется «корнем дерева», остальные - дочерние, использующие пространство имен от первого домена. 
Деревья, в свою очередь, объединяются в леса. Первый домен в первом дереве леса называется корнем леса. 
Каждое дерево наследует имя корня, а лес - имя корневого домена.

Леса характеризуются разным пространством имен и не имеют транзитивных отношений доверия (хотя в Windows2003 это можно исправить).

Для управления пользователями и доменами в Active Directory используют две очень важные оснастки – «Domains and Trusts» и «Users and Computers». 
Причем вторая, предназначенная для управления пользователями и группами, не работает и будет работать только если компьютер изолирован (на рабочих станциях и изолированных серверах).
Ну а первая осуществляет работу с доменами: 
просмотр лесов, настройка режима работы. 

Под властью этой оснастки находится очень важная функция настройки доверительных отношений, о которых мы упомянули выше. 
Но это все теория...

При организации домена необходимо иметь хотя бы базовые понятия служб каталогов, в частности Active Directory.

Одним из достоинств AD (перед своим предшественником - доменной моделью WindowsNT) является расширение числа объектов.

Теперь их может быть до нескольких миллионов.

Служба каталогов управляется с помощью консоли Microsoft Managment Console (Пуск-> Выполнить-> mmc).

Одной из ключевых фигур AD является домен - элемент каталога, с собственным пространством имен и правилами безопасности, не распространяющимися за его пределы.

Между доменами устанавливаются так называемые транзитивные отношения доверия.

Например:

домен А доверяет домену В, а В, в свою очередь, доверяет домену С.

Если, исходя из этих доверий, домен А будет доверять домену С, их отношения будут называться транзитивными.

Домены объединяются в деревья:

первый домен называется «корнем дерева», остальные - дочерние, использующие пространство имен от первого домена.

Деревья, в свою очередь, объединяются в леса. Первый домен в первом дереве леса называется корнем леса.

Каждое дерево наследует имя корня, а лес - имя корневого домена.

Леса характеризуются разным пространством имен и не имеют транзитивных отношений доверия (хотя в Windows2003 это можно исправить).

Для управления пользователями и доменами в Active Directory используют две очень важные оснастки – «Domains and Trusts» и «Users and Computers».

Причем вторая, предназначенная для управления пользователями и группами, не работает и будет работать только если компьютер изолирован (на рабочих станциях и изолированных серверах).

Ну а первая осуществляет работу с доменами:

просмотр лесов, настройка режима работы.

Под властью этой оснастки находится очень важная функция настройки доверительных отношений, о которых мы упомянули выше.

Но это все теория...

GPO и Group Policy

Правила настройки различных компонентов программного обеспечения в совокупности представляют собой групповые политики (group policy) - по сути, 
основной инструмент для централизованного управления практически всеми подсистемами и компонентами Windows. 
Политики могут применяться как к компьютеру (во время загрузки ОС), так и к пользователю (во время его входа в систему). 
Групповая политика позволяет настраивать огромное количество разнообразных параметров операционных систем Windows, 
от внешнего вида рабочего стола пользователя до конфигурации сетевых протоколов. 
С помощью этой технологии можно производить централизованное развертывание программного обеспечения, что сэкономит время и силы.

Фактически, GP не только используют преимущества AD, но и расширяют их. 
Настройки находятся в объектах групповой политики (GPO – Group Policy Object), которые в свою очередь могут ссылаться на сайты/домены/подразделения. 
Редактирование GPO осуществляется с помощью оснастки «Редактор групповых политик» (gpedit.msc). 

Объекты GP - локальный объект групповой политики и объект групповой политики домена. 
Сами GPO хранят свои настройки в контейнере GPC (Group Policy Container) и шаблоне GRT (Group Policy Template). 
Первый является объектом AD, второй представляет собой папку с настройками, управляемую с помощью одного из расширений GP - административных шаблонов.

Узлы и расширения GP
При запуске Group Policy загружает корневой узел - GPO, привязанный к определенному контейнеру. 
Узел получает имя:
Политика Имя_GРО[.Имя_домена.соm] 

Далее идет разделение пространства имен на 2 уровня, с помощью которых собственно и производится настройка групповых политик.

Узел «Конфигурация компьютера». 
Здесь содержатся параметры тех политик, которые отвечают за работу компьютера.
Политики следят за работой ОС, задают параметры приложений, определяют работу системы безопасности.
Узел «Конфигурация пользователя». Включает в себя политики, отвечающие за работу пользователя. 
Слежение идет все за теми же параметрами приложений и системой безопасности, а так же за пользовательскими сценариями входа/выхода ;).
Ниже находятся дочерние узлы, расширяющие узлы конфигурации индивидуально для каждого.
Индивидуальность проявляется вследствие различия параметров каждого из узлов конфигурации. 

Group Policy имеет следующие расширения:
Административные шаблоны (Administrative Templates) - политики, базирующиеся на реестре ОС. 
Благодаря им, и без того широкая функциональность GP может применяться не только к стандартным параметрам, связанным с ОС, но и к другим объектам.

Параметры безопасности (Security Settings) - как ни странно, служат для настройки параметров безопасности компьютера/домена/сети.
Установка программ (Software Installation) - назначает и публикует программы для пользователей.
Сценарии (Scripts) - определяют процедуры start/stop компьютера, login/logout пользователя. 
Сценарии полностью совместимы с языком Windows Script Host.
Перенаправление папок (Folder Redirection) - перенаправляет обращение к специальным папкам 
Windows (Desktop, Application Data, My Documents) в сеть.
Политики учетных записей
Практически все управление юзерами и группами осуществляется с помощью этой оснастки. 
Пользователь или группа представляют собой учетную запись, которой могут дать различные  права и разрешения, определяя таким образом их взаимодействие с доменом. 
Политика учетных записей (lusrmgr.msc) включает в себя политики паролей, блокирования учетных записей и др.

Оснастка дает возможность полностью сконфигурировать требования для групп и пользователей: 
max/min длину пароля, срок его действия, требования к сложности. 
Но тут нужно обратить внимание на то, что все перечисленные настройки в ветке «Политика паролей» относятся не к одному, а сразу ко всем пользователям. 
После настройки длины пароля и срока его действия следует обратить внимание на хранение паролей. 
То есть когда у пользователя истекает срок действия пароля, ему предлагается его сменить. 
А что будет вводить юзер? Конечно старый пароль. 
Для предотвращения таких ситуаций нужно включить сохранение паролей: 
политика будет записывать все используемые юзером пароли и фиксировать их смену. 
Но здесь есть одно большое НО: хранение осуществляется с использованием обратимого шифрования, а практически это означает, что вообще без шифрования. 
Поэтому здесь стоит выбирать: 
либо важнее приложение, либо защита пароля пользователя.

Правила настройки различных компонентов программного обеспечения в совокупности представляют собой групповые политики (group policy) - по сути,

основной инструмент для централизованного управления практически всеми подсистемами и компонентами Windows.

Политики могут применяться как к компьютеру (во время загрузки ОС), так и к пользователю (во время его входа в систему).

Групповая политика позволяет настраивать огромное количество разнообразных параметров операционных систем Windows,

от внешнего вида рабочего стола пользователя до конфигурации сетевых протоколов.

С помощью этой технологии можно производить централизованное развертывание программного обеспечения, что сэкономит время и силы.

Фактически, GP не только используют преимущества AD, но и расширяют их.

Настройки находятся в объектах групповой политики (GPO – Group Policy Object), которые в свою очередь могут ссылаться на сайты/домены/подразделения.

Редактирование GPO осуществляется с помощью оснастки «Редактор групповых политик» (gpedit.msc).

Объекты GP - локальный объект групповой политики и объект групповой политики домена.

Сами GPO хранят свои настройки в контейнере GPC (Group Policy Container) и шаблоне GRT (Group Policy Template).

Первый является объектом AD, второй представляет собой папку с настройками, управляемую с помощью одного из расширений GP - административных шаблонов.

Узлы и расширения GP

При запуске Group Policy загружает корневой узел - GPO, привязанный к определенному контейнеру.

Узел получает имя:

Политика Имя_GРО[.Имя_домена.соm]

Далее идет разделение пространства имен на 2 уровня, с помощью которых собственно и производится настройка групповых политик.

Узел «Конфигурация компьютера».

Здесь содержатся параметры тех политик, которые отвечают за работу компьютера.

Политики следят за работой ОС, задают параметры приложений, определяют работу системы безопасности.

Узел «Конфигурация пользователя». Включает в себя политики, отвечающие за работу пользователя.

Слежение идет все за теми же параметрами приложений и системой безопасности, а так же за пользовательскими сценариями входа/выхода ;).

Ниже находятся дочерние узлы, расширяющие узлы конфигурации индивидуально для каждого.

Индивидуальность проявляется вследствие различия параметров каждого из узлов конфигурации.

Group Policy имеет следующие расширения:

Административные шаблоны (Administrative Templates) - политики, базирующиеся на реестре ОС.

Благодаря им, и без того широкая функциональность GP может применяться не только к стандартным параметрам, связанным с ОС, но и к другим объектам.

Параметры безопасности (Security Settings) - как ни странно, служат для настройки параметров безопасности компьютера/домена/сети.

Установка программ (Software Installation) - назначает и публикует программы для пользователей.

Сценарии (Scripts) - определяют процедуры start/stop компьютера, login/logout пользователя.

Сценарии полностью совместимы с языком Windows Script Host.

Перенаправление папок (Folder Redirection) - перенаправляет обращение к специальным папкам

Windows (Desktop, Application Data, My Documents) в сеть.

Политики учетных записей

Практически все управление юзерами и группами осуществляется с помощью этой оснастки.

Пользователь или группа представляют собой учетную запись, которой могут дать различные права и разрешения, определяя таким образом их взаимодействие с доменом.

Политика учетных записей (lusrmgr.msc) включает в себя политики паролей, блокирования учетных записей и др.

Оснастка дает возможность полностью сконфигурировать требования для групп и пользователей:

max/min длину пароля, срок его действия, требования к сложности.

Но тут нужно обратить внимание на то, что все перечисленные настройки в ветке «Политика паролей» относятся не к одному, а сразу ко всем пользователям.

После настройки длины пароля и срока его действия следует обратить внимание на хранение паролей.

То есть когда у пользователя истекает срок действия пароля, ему предлагается его сменить.

А что будет вводить юзер? Конечно старый пароль.

Для предотвращения таких ситуаций нужно включить сохранение паролей:

политика будет записывать все используемые юзером пароли и фиксировать их смену.

Но здесь есть одно большое НО: хранение осуществляется с использованием обратимого шифрования, а практически это означает, что вообще без шифрования.

Поэтому здесь стоит выбирать:

либо важнее приложение, либо защита пароля пользователя.

Локальные политики

Как мы уже говорили, существует два вида GPO. 
Локальные объекты групповой политики (Local Group Policy Object, LGPO) создаются сразу при установке ОС и существуют независимо от того, является ли компьютер частью домена или нет. 
Когда производится подключение, компьютер автоматически попадает под влияние GPO, определенных в домене. 
В следствие этого локальные параметры могут измениться. 

Рассмотрим по порядку состав локальной политики:
Политика аудита. 
Определяет, какие события безопасности заносятся в журнал компьютера. 
Сам журнал просматривается с помощью оснастки «Просмотр событий» (eventvwr.msc). 
Эта политика может быть как для локального компьютера, так и для контроллера домена.
Назначение прав пользователя. 
Определяет, какие пользователи (группы) обладают правами на локальный вход в систему и на доступ компьютера из сети. 

Не стоит забывать о том, что применение нескольких политик может повлечь за собой конфликт между параметрами безопасности.
Поэтому запомни приоритет расположения объектов: 
подразделение; домен; локальный компьютер.

Как мы уже говорили, существует два вида GPO.

Локальные объекты групповой политики (Local Group Policy Object, LGPO) создаются сразу при установке ОС и существуют независимо от того, является ли компьютер частью домена или нет.

Когда производится подключение, компьютер автоматически попадает под влияние GPO, определенных в домене.

В следствие этого локальные параметры могут измениться.

Рассмотрим по порядку состав локальной политики:

Политика аудита.

Определяет, какие события безопасности заносятся в журнал компьютера.

Сам журнал просматривается с помощью оснастки «Просмотр событий» (eventvwr.msc).

Эта политика может быть как для локального компьютера, так и для контроллера домена.

Назначение прав пользователя.

Определяет, какие пользователи (группы) обладают правами на локальный вход в систему и на доступ компьютера из сети.

Не стоит забывать о том, что применение нескольких политик может повлечь за собой конфликт между параметрами безопасности.

Поэтому запомни приоритет расположения объектов:

подразделение; домен; локальный компьютер.

Политики открытого ключа

Шифрование информации в политиках безопасности Windows осуществляется с открытым ключом (асимметричное шифрование). 
Суть его в том, что данные шифруются одним ключом, а расшифровываются другим, связанным с ним, но не совпадающим. 
У пользователя есть открытый (public key) и закрытый ключ (private key). 
Первый распространяется свободно и дает возможность шифровать для тебя данные любому. 
Применение и распространение этих двух ключей повлекло за собой возникновение новых технологий. 
Цифровые подписи - наиболее яркий пример использования шифрования с открытым ключом. 

Положения технологии следующие:
Возможность создания цифровой подписи имеет только владелец секретного ключа.
Истинность цифровой подписи может проверить любой пользователь, у которого имеется соответствующий открытый ключ (sigverif.exe). 
Цифровая подпись становится неверной при изменении даже одного бита подписанных данных.
Цифровая подпись либо связана с данными, либо вообще передается отдельно. 
При этом подписи никак не влияют на содержание данных. 
Самое главное и важное в цифровой подписи при распространении данных открытым текстом состоит в том, что получатель может проверить и удостовериться, что изменений в данных не было. 
Для этого существует служба распределенной аутентификации, гарантирующая, что данные пришли от того, от кого надо.
Но этих гарантий мало. 
Нужно полностью удостовериться в том, что между открытым ключом и передавшим его существует достоверная связь. 
Если это не так, может произойти подмена открытого ключа и получения доступа к данным. 
Применение так называемых сертификатов позволяет установить связь между открытым ключом и передавшим его лицом. 

Сертификат - это набор зашифрованных цифровой подписью данных, содержащих подтверждение неизменности. 
Для управления ими используется специальная оснастка (certmgr.msc), позволяющая просматривать содержимое 
хранилищ для поиска своих сертификатов, а так же сертификатов служб или компьютеров. 

В сертификате содержится следующая информация: 
 Криптографическая подпись, идентифицирующая создателя сертификата.
 Подтверждение связи открытого ключа с лицом, передавшим данные.
 Создание сертификата тем центром сертификатов, которому доверяет лицо, принимающее данные.

И все же, в открытом ключе есть один недостаток. 
Дело в том, что алгоритмы шифрования с открытым ключом, в отличие от секретного, требуют много ресурсов. 
Создается неудобство работы с большими объемами данных.
Выход из этой ситуации разработчики нашли в комбинации двух алгоритмов: 
данные шифруются с помощью секретного ключа, не отнимая лишнего времени, а секретный ключ, в свою очередь, шифруется открытым ключом и посылается вместе с зашифрованными данными. 
Получатель сначала расшифровывает секретный ключ, а затем с его помощью данные. 

В результате всех этих положений и правил возникает целая цепочка сертификатов, берущая свое начало с сертификата открытого ключа. 
Обо всех сертификатах, идентификаторах свиязи и, в общем, о модели в рамках статьи написать нереально. 
Кому интересно, вполне может найти информацию самостоятельно.

Стандартом сертификатов, наиболее распространенным сегодня, является ITU-T Х.509. 
О нем и других протоколах сетевого взаимодействия, в частности о инфраструктуре открытого ключа, можно узнать из соответствующего курса (см. ссылки).

Шифрование информации в политиках безопасности Windows осуществляется с открытым ключом (асимметричное шифрование).

Суть его в том, что данные шифруются одним ключом, а расшифровываются другим, связанным с ним, но не совпадающим.

У пользователя есть открытый (public key) и закрытый ключ (private key).

Первый распространяется свободно и дает возможность шифровать для тебя данные любому.

Применение и распространение этих двух ключей повлекло за собой возникновение новых технологий.

Цифровые подписи - наиболее яркий пример использования шифрования с открытым ключом.

Положения технологии следующие:

Возможность создания цифровой подписи имеет только владелец секретного ключа.

Истинность цифровой подписи может проверить любой пользователь, у которого имеется соответствующий открытый ключ (sigverif.exe).

Цифровая подпись становится неверной при изменении даже одного бита подписанных данных.

Цифровая подпись либо связана с данными, либо вообще передается отдельно.

При этом подписи никак не влияют на содержание данных.

Самое главное и важное в цифровой подписи при распространении данных открытым текстом состоит в том, что получатель может проверить и удостовериться, что изменений в данных не было.

Для этого существует служба распределенной аутентификации, гарантирующая, что данные пришли от того, от кого надо.

Но этих гарантий мало.

Нужно полностью удостовериться в том, что между открытым ключом и передавшим его существует достоверная связь.

Если это не так, может произойти подмена открытого ключа и получения доступа к данным.

Применение так называемых сертификатов позволяет установить связь между открытым ключом и передавшим его лицом.

Сертификат - это набор зашифрованных цифровой подписью данных, содержащих подтверждение неизменности.

Для управления ими используется специальная оснастка (certmgr.msc), позволяющая просматривать содержимое

хранилищ для поиска своих сертификатов, а так же сертификатов служб или компьютеров.

В сертификате содержится следующая информация:

Криптографическая подпись, идентифицирующая создателя сертификата.

Подтверждение связи открытого ключа с лицом, передавшим данные.

Создание сертификата тем центром сертификатов, которому доверяет лицо, принимающее данные.

И все же, в открытом ключе есть один недостаток.

Дело в том, что алгоритмы шифрования с открытым ключом, в отличие от секретного, требуют много ресурсов.

Создается неудобство работы с большими объемами данных.

Выход из этой ситуации разработчики нашли в комбинации двух алгоритмов:

данные шифруются с помощью секретного ключа, не отнимая лишнего времени, а секретный ключ, в свою очередь, шифруется открытым ключом и посылается вместе с зашифрованными данными.

Получатель сначала расшифровывает секретный ключ, а затем с его помощью данные.

В результате всех этих положений и правил возникает целая цепочка сертификатов, берущая свое начало с сертификата открытого ключа.

Обо всех сертификатах, идентификаторах свиязи и, в общем, о модели в рамках статьи написать нереально.

Кому интересно, вполне может найти информацию самостоятельно.

Стандартом сертификатов, наиболее распространенным сегодня, является ITU-T Х.509.

О нем и других протоколах сетевого взаимодействия, в частности о инфраструктуре открытого ключа, можно узнать из соответствующего курса (см. ссылки).

Политики безопасности IP

Несомненно, админу просто жизненно необходима уверенность в безопасной передаче данных по сети. 
Трафик обязан быть защищенным от доступа лиц, не имеющих на это прав, от просмотра передаваемых данных, от копирования и модификации. 
Реализация безопасности IP в Windows основана на стандартах RFC, разработанных консорциумом Internet Engineering Task Force (IETF), рабочей группой IP Security (IPSEC). 

Политика безопасности сначала требует аутентифицировать любой подключаемый компьютер, используя заранее переданный секретный ключ, а затем шифрует трафик. 
Исключение составляют лишь http(80) и https(443). 
По этим протоколам web-сервер должен принимать соединения от любых узлов. 
В Windows безопасность IPSec реализована в виде средства управления политик безопасности для сетевого трафика. 
Она представляет собой набор фильтров, действие которых определяется исходя из требований безопасности. 

Неотъемлемой частью работы IPSec является протокол, с помощью которого устанавливаются доверительные отношения, согласования параметров безопасности и создается общий секретный ключ. 

Согласования, связанные с ключом, принято называть сопоставлением безопасности или SA (Security Association) и разделять на два типа:
 SA основного режима - обеспечивает защиту самого согласования IKE.
 SA быстрого режима - обеспечивает защиту трафика приложения.

Настройка требований безопасности производится при помощи достаточно гибкой настройки действия фильтра как в основном, так и в быстром режиме. 

Подытожить все вышесказанное можно схемой этапов работы IPSec.
 Данные в приложении передаются функции аутентификации и обеспечения целостности плюс поддержка цифровой подписи.
 Шифрование данных открытым ключом.
 Данные пересылаются по сети зашифрованными пакетами в защищенном туннеле.
 В туннеле снова происходит шифрование. На этот раз используется так называемый «ключ сеанса».
 В конце туннеля идет дешифровка с помощью личного ключа.
 Данные добираются до компьютера, и проверяется подлинность отправителя.
 Пользователь получает сообщение.

Правильная политика
Я не прочь порассуждать на эту тему еще: уж слишком она обширная. 
Но цель статьи - не разбор служб каталогов, не ознакомление с параметрами и установками, а разъяснение сути. 
Остальное каждый может без труда изучить самостоятельно. 
Ну а если возникнут вопросы – помогу, чем смогу. 
Удачи!

Несомненно, админу просто жизненно необходима уверенность в безопасной передаче данных по сети.

Трафик обязан быть защищенным от доступа лиц, не имеющих на это прав, от просмотра передаваемых данных, от копирования и модификации.

Реализация безопасности IP в Windows основана на стандартах RFC, разработанных консорциумом Internet Engineering Task Force (IETF), рабочей группой IP Security (IPSEC).

Политика безопасности сначала требует аутентифицировать любой подключаемый компьютер, используя заранее переданный секретный ключ, а затем шифрует трафик.

Исключение составляют лишь http(80) и https(443).

По этим протоколам web-сервер должен принимать соединения от любых узлов.

В Windows безопасность IPSec реализована в виде средства управления политик безопасности для сетевого трафика.

Она представляет собой набор фильтров, действие которых определяется исходя из требований безопасности.

Неотъемлемой частью работы IPSec является протокол, с помощью которого устанавливаются доверительные отношения, согласования параметров безопасности и создается общий секретный ключ.

Согласования, связанные с ключом, принято называть сопоставлением безопасности или SA (Security Association) и разделять на два типа:

SA основного режима - обеспечивает защиту самого согласования IKE.

SA быстрого режима - обеспечивает защиту трафика приложения.

Настройка требований безопасности производится при помощи достаточно гибкой настройки действия фильтра как в основном, так и в быстром режиме.

Подытожить все вышесказанное можно схемой этапов работы IPSec.

Данные в приложении передаются функции аутентификации и обеспечения целостности плюс поддержка цифровой подписи.

Шифрование данных открытым ключом.

Данные пересылаются по сети зашифрованными пакетами в защищенном туннеле.

В туннеле снова происходит шифрование. На этот раз используется так называемый «ключ сеанса».

В конце туннеля идет дешифровка с помощью личного ключа.

Данные добираются до компьютера, и проверяется подлинность отправителя.

Пользователь получает сообщение.

Правильная политика

Я не прочь порассуждать на эту тему еще: уж слишком она обширная.

Но цель статьи - не разбор служб каталогов, не ознакомление с параметрами и установками, а разъяснение сути.

Остальное каждый может без труда изучить самостоятельно.

Ну а если возникнут вопросы – помогу, чем смогу.

Удачи!