Bezpieczeństwo Microsoft Windows. Podstawy praktyczne

Guido Grillenmeier, Jan De Clercq

Uzyskaj dostęp

ISBN/ISSN:

978-83-01-15307-6

DOI:

Wydawnictwo:

Wydawnictwo Naukowe PWN

Rok wydania:

2008

Liczba stron:

794

XML:ISBN/ISSN:

ONIX MARC21

Bibliografia:

Grillenmeier, Guido; Clercq, Jan De. Bezpieczeństwo Microsoft Windows. Podstawy praktyczne. Red. . Warszawa: Wydawnictwo Naukowe PWN, 2008, 794 s. ISBN 978-83-01-15307-6

Bibliografia refWorks:

RT Book, Whole

SR Electronic(1)

A1 Grillenmeier, G.

A1 Clercq, J.D.

T1 Bezpieczeństwo Microsoft Windows. Podstawy praktyczne

PB Wydawnictwo Naukowe PWN

PP Warszawa

YR 2008

SN 978-83-01-15307-6

Bibliografia BibTex:

@Book{ 724, author = "Grillenmeier, Guido and Clercq, Jan De", editor = "", title = "Bezpieczeństwo Microsoft Windows. Podstawy praktyczne", publisher = "Wydawnictwo Naukowe PWN", year = "2008", address = "Warszawa", isbn = "978-83-01-15307-6" }

Bibliografia endNote:

TY - BOOK

AU - Grillenmeier, Guido

AU - Clercq, Jan De

ED -

TI - Bezpieczeństwo Microsoft Windows. Podstawy praktyczne

PB - Wydawnictwo Naukowe PWN

CY - Warszawa

PY - 2008

SN - 978-83-01-15307-6

ER -

Netografia (standard APA):

Grillenmeier, Guido; Clercq, Jan De. Bezpieczeństwo Microsoft Windows. Podstawy praktyczne [baza danych online] Warszawa: Wydawnictwo Naukowe PWN, 2008 [dostęp: 03 07 2024]. Dostęp w Ibuk Libra: https://libra.ibuk.pl/reader/bezpieczenstwo-microsoft-windows-podstawy-praktyczne-guido-grillenmeier-jan-de-724.

informatyka, bezpieczeństwo, Microsoft Windows, Windows Server, Active Directory

Bezpieczeństwo Microsoft Windows. Podstawy praktyczne to lektura obowiązkowa dla każdego, komu potrzebny jest praktyczny przewodnik po mechanizmach zabezpieczeń systemu Windows Server 2003! Autorzy skoncentrowali się na zabezpieczeniach Win...

Więcej

ISBN/ISSN:

978-83-01-15307-6

DOI:

Wydawnictwo:

Wydawnictwo Naukowe PWN

Rok wydania:

2008

Liczba stron:

794

XML:ISBN/ISSN:

ONIX MARC21

Przedmowa Tony'ego Redmonda12
Przedmowa Marka Mortimore'a14
Przedmowa Stevena Adlera18
Przedmowa20
Podziękowania24
Część I. Wprowadzenie26
1. Zaufane infrastruktury zabezpieczeń jako wyzwanie28
1.1. Wprowadzenie28
1.2. Rozmieszczenie zaufanych infrastruktur zabezpieczeń30
1.3. Fundamentalna rola zaufania33
1.4. Role zaufanej infrastruktury bezpieczeństwa33
1.4.1. Infrastruktury uwierzytelniania33
1.4.2. Infrastruktury autoryzacji36
1.4.3. Infrastruktury zarządzania kluczami39
1.4.4. Infrastruktury zarządzania zabezpieczeniami42
1.5. Kolejny etap: federacja47
1.5.1. Definicja48
1.5.2. Standardy49
1.6. Zarządzanie tożsamością i zaufane infrastruktury zabezpieczeń51
1.6.1. Definicja tożsamości i zarządzania tożsamością51
1.6.2. Składniki infrastruktury zarządzania tożsamością53
1.7. Microsoft jako producent zaufanych infrastruktur zabezpieczeń54
1.7.1. Windows Server 2003 R2 jako blok konstrukcyjny55
1.7.2. Inne bloki konstrukcyjne firmy Microsoft56
1.8. Podsumowanie59
2. Urzędy i zwierzchnicy zabezpieczeń Windows60
2.1. Urzędy zabezpieczeń60
2.1.1. Lokalne i domenowe urzędy zabezpieczeń61
2.1.2. Lokalny urząd zabezpieczeń61
2.1.3. Domenowy urząd zabezpieczeń67
2.2. Zwierzchnicy zabezpieczeń76
2.2.1. Identyfikatory zwierzchników78
2.2.2. Zarządzanie kontami91
2.2.3. Najważniejsze konta w systemie Windows96
2.2.4. Poświadczenia w postaci haseł99
2.2.5. Blokowanie kont122
3. Relacje zaufania Windows132
3.1. Definicja relacji zaufania132
3.2. Właściwości, typy i cechy zaufania134
3.2.1. Nowe cechy zaufania138
3.2.2. Zaufanie lasu140
3.3. Ograniczanie relacji zaufania144
3.3.1. Filtrowanie identyfikatorów SID145
3.3.2. Uwierzytelnianie selektywne149
3.3.3. Routing sufiksów nazw i ograniczenia nazw najwyższego poziomu155
3.4. Relacje zaufania w praktyce161
3.4.1. Wybór odpowiedniego typu relacji zaufania161
3.4.2. Włączanie rozwiązywania nazw165
3.4.3. Tworzenie relacji zaufania167
3.4.4. Przypisywanie uprawnień w zaufanym środowisku169
3.5. Relacje zaufania: pod maską171
3.6. Zaufanie i bezpieczne kanały176
3.6.1. Kontrolowanie konfiguracji bezpiecznych kanałów177
3.6.2. Sprawdzanie bezpiecznych kanałów177
3.6.3. Dostrajanie usług zabezpieczeń bezpiecznych kanałów178
3.6.4. Narzędzia do zarządzania relacjami zaufania i bezpiecznymi kanałami179
3.7. Relacje zaufania i zapory ogniowe182
4. Aspekty bezpieczeństwa klientów Windows186
4.1. Zarys zabezpieczeń klientów186
4.2. Zasada minimalnych przywilejów187
4.2.1. Uruchom jako190
4.2.2. Szybkie przełączanie użytkowników194
4.2.3. Narzędzia od innych producentów197
4.2.4. Zalety minimalizmu198
4.3. Udoskonalenia zabezpieczeń w Windows XP SP2199
4.3.1. Zapora systemu Windows200
4.3.2. Ułatwione zarządzanie zabezpieczeniami204
4.3.3. Inne ważne zmiany206
4.4. Zabezpieczenia przeglądarki internetowej207
4.4.1. Nowe zabezpieczenia Internet Explorera w Windows XP SP2208
4.4.2. Strefy zabezpieczeń w Internet Explorerze215
4.5. Ochrona przed złośliwym kodem mobilnym226
4.5.1. Obrońca Windows (Windows Defender)227
4.5.2. Podsumowanie i ogólne zalecenia dotyczące ochrony przed spyware235
4.6. Używanie zabezpieczeń TPM236
4.6.1. Wymagania urządzeń i oprogramowania TPM239
4.6.2. Embedded Security for HP ProtectTools: implementacja techniczna240
4.6.3. Aplikacje obsługujące HP TPM248
4.7. Ważne zabezpieczenia systemu Windows Vista i przeglądarki IE 7.0249
Część II. Uwierzytelnianie252
5. Wprowadzenie do uwierzytelniania w systemie Windows254
5.1. Podstawy uwierzytelniania254
5.1.1. Terminologia254
5.1.2. Podział uwierzytelniania256
5.2. Podstawy uwierzytelniania w systemie Windows259
5.2.1. Założenia teoretyczne259
5.2.2. Architektura uwierzytelniania263
5.2.3. Uwierzytelnianie w czasie startu komputera i logowania użytkownika271
5.3. Prawa logowania276
5.3.1. Zarządzanie prawami logowania Windows280
5.3.2. Sprawdzone rozwiązania281
5.4. Uwierzytelnianie NTLM282
5.4.1. Protokół NTLM282
5.4.2. Odmiany NTLM284
5.4.3. Kontrolowanie podprotokołów NTLM286
5.4.4. Wyłączanie przechowywania wartości mieszania LM288
5.5. Dostęp anonimowy292
5.6. Buforowanie poświadczeń298
5.7. Ograniczanie liczby jednoczesnych sesji logowania302
5.7.1. Działanie programu LimitLogin303
5.7.2. Architektura i komponenty LimitLogin304
5.7.3. Instalacja LimitLogin306
5.7.4. Konfiguracja programu LimitLogin308
5.8. Ogólne zasady rozwiązywania problemów z uwierzytelnianiem312
5.8.1. Dzienniki zdarzeń związanych z uwierzytelnianiem312
5.8.2. Dzienniki usługi Netlogon318
5.9. Co znajduje się w innych rozdziałach na temat uwierzytelniania?320
6. Kerberos322
6.1. Wprowadzenie do protokołu Kerberos322
6.1.1. Zalety protokołu Kerberos323
6.1.2. Porównanie uwierzytelniania Kerberos z NTLM326
6.2. Kerberos: protokół podstawowy327
6.2.1. Założenia projektu Kerberos328
6.2.2. Krok 1: Uwierzytelnianie Kerberos opiera się na kryptografii klucza symetrycznego329
6.2.3. Krok 2: Centrum KDC Kerberos jest skalowalne331
6.2.4. Krok 3: Bilet zapewnia bezpieczny transport klucza sesji333
6.2.5. Krok 4: Centrum KDC rozprowadza klucze sesji, wysyłając je do klienta335
6.2.6. Krok 5: Bilet TGT ogranicza używanie kluczy głównych337
6.2.7. Wszystkie elementy układanki341
6.2.8. Usługi poufności, uwierzytelniania i integralności danych Kerberos343
6.2.9. Uwierzytelnianie użytkownik-użytkownik343
6.2.10. Numery wersji klucza345
6.3. Logowanie się do systemu Windows za pomocą protokołu Kerberos346
6.3.1. Logowanie w środowisku jednodomenowym346
6.3.2. Logowanie w środowisku wielodomenowym351
6.3.3. Logowanie w środowiskach z wieloma lasami361
6.4. Kerberos dla zaawansowanych363
6.4.1. Delegacja uwierzytelniania363
6.4.2. Od uwierzytelniania do autoryzacji377
6.4.3. Analiza biletu i wartości uwierzytelniającej Kerberos386
6.4.4. Znaczenie czasu w uwierzytelnianiu Kerberos403
6.4.5. Aplikacje obsługujące protokół Kerberos404
6.5. Konfiguracja protokołu Kerberos407
6.5.1. Ustawienia GPO407
6.5.2. Właściwości kont409
6.5.3. Protokoły transportu i porty410
6.6. Rozwiązywanie problemów z działaniem protokołu Kerberos411
6.6.1. Przeglądanie zdarzeń411
6.6.2. Narzędzia do rozwiązywania problemów413
6.7. Współdziałanie protokołu Kerberos414
6.7.1. Implementacje innych producentów414
6.7.2. Porównanie protokołu Kerberos w systemie Windows z innymi implementacjami415
6.7.3. Scenariusze współdziałania416
7. Uwierzytelnianie IIS426
7.1. Domyślne zabezpieczenia w IIS 6.0426
7.2. Wprowadzenie do uwierzytelniania IIS428
7.3. Uwierzytelnianie HTTP431
7.3.1. Dostęp anonimowy432
7.3.2. Uwierzytelnianie podstawowe435
7.3.3. Uwierzytelnianie digest439
7.4. Zintegrowane uwierzytelnianie Windows442
7.5. Uwierzytelnianie Passport444
7.5.1. Passport i Windows Live ID445
7.5.2. Technologie WWW obsługujące Passport446
7.5.3. Infrastruktura usługi Passport447
7.5.4. Wymiana podstawowych komunikatów w uwierzytelnianiu Passport448
7.5.5. Zmiany użytkownika Passport w systemach Windows XP i Windows Server 2003450
7.5.6. Pliki cookie452
7.5.7. Passport a informacje personalne457
7.5.8. Integracja uwierzytelniania Passport z systemem Windows Server 2003458
7.6. Uwierzytelnianie za pomocą certyfikatów460
7.6.1. Konfiguracja SSL463
7.6.2. Obsługa SSL w przeglądarce internetowej477
7.6.3. Sprawdzanie ważności certyfikatów479
7.6.4. Uwagi na temat wdrażania482
7.7. Porównanie metod uwierzytelniania IIS489
8. Integracja uwierzytelniania w systemach UNIX/Linux i Windows490
8.1. Porównanie uwierzytelniania w systemach UNIX/Linux i Windows491
8.2. Technologie umożliwiające współdziałanie492
8.2.1. LDAP492
8.2.2. Kerberos495
8.3. Pojęcia związane z zabezpieczeniami systemów UNIX/Linux496
8.3.1. PAM497
8.3.2. Usługi nazw500
8.3.3. NSS501
8.3.4. Pliki lokalne503
8.3.5. NIS504
8.3.6. NIS+505
8.3.7. Integracja NIS i LDAP506
8.3.8. Samba508
8.4. Propozycje integracji zarządzania kontami i uwierzytelniania w systemach UNIX/Linux i Windows510
8.4.1. Rozwiązania umożliwiające koegzystencję infrastruktur NIS i AD511
8.4.2. Rozwiązania umożliwiające scentralizowane zarządzanie użytkownikami za pomocą repozytorium AD/LDAP523
8.5. Podsumowanie541
9. Jednokrotne logowanie (SSO)544
9.1. SSO: Zalety i wady544
9.2. SSO w sieci WWW a SSO w firmie545
9.3. Architektury SSO546
9.3.1. Proste architektury SSO546
9.3.2. Złożone architektury SSO548
9.3.3. Architektury SSO: podsumowanie559
9.4. Zwiększanie zasięgu SSO561
9.4.1. Obejmowanie zasięgiem SSO różnych organizacji561
9.5. Technologie SSO firmy Microsoft563
9.4.2. Obejmowanie zasięgiem SSO różnych aplikacji563
9.5.1. Menedżer poświadczeń564
9.5.2. BizTalk Server i Host Integration Server - SSO dla firm569
9.5.3. SSO w SPS 2003579
9.5.4. Active Directory Federation Services582
9.5.5. IAS (Internet Authentication Service)586
9.6. Podsumowanie588
Część III. Autoryzacja590
10. Autoryzacja w systemie Windows Server 2003592
10.1. Podstawy autoryzacji592
10.2. Model autoryzacji Windows593
10.3. Pośrednicy autoryzacji599
10.3.1. Grupy600
10.3.2. Prawa użytkowników631
10.4. Zmiany w autoryzacji w systemie Windows 2000633
10.4.1. Nowy edytor ACL635
10.4.2. Szczegółowa kontrola dziedziczenia636
10.4.3. Wpisy ACE dla typów obiektów644
10.4.4. Proces przetwarzania list ACL660
10.4.5. Historia identyfikatorów SID665
10.5. Zmiany w autoryzacji w systemie Windows Server 2003668
10.5.1. Bardziej restrykcyjne ustawienia autoryzacji668
10.5.2. Uprawnienia czynne670
10.5.3. Zmiany domyślnego deskryptora zabezpieczeń AD670
10.5.4. Replikacja wartości połączonych AD i aktualizacja przynależności do grup673
10.5.5. Kwoty dla obiektów AD674
10.5.6. Bit poufności dla atrybutów AD676
10.5.7. Ukrywanie danych w systemie plików i udziałach681
10.5.8. Menedżer autoryzacji688
10.6. Narzędzia698
11. Delegacja Active Directory700
11.1. Wprowadzenie700
11.1.1. Uwagi na temat poziomu uprzywilejowania701
11.1.2. Uwagi na temat środowisk wielodomenowych705
11.1.3. Jednostki organizacyjne708
11.2. Ogólne wskazówki na temat delegacji Active Directory712
11.2.1. Honorowanie zasady minimalnych przywilejów w zarządzaniu AD713
11.2.2. Kontrolowanie zarządzania hasłami714
11.2.3. Projektowanie ról dla delegacji AD717
11.3. Konfiguracja delegacji administracyjnej726
11.3.1. Kreator delegacji AD727
11.3.2. Przykłady delegacji administracyjnej731
11.4. Ukrywanie obiektów w Active Directory740
11.4.1. Trudności z ukrywaniem danych w Active Directory740
11.4.2. Ukrywanie danych za pomocą "normalnych" uprawnień obiektów i atrybutów AD746
11.4.3. Włączanie trybu wyświetlania obiektów w lesie752
11.4.4. Dostosowywanie domyślnych zabezpieczeń obiektów w AD762
11.4.5. Dostosowywanie wbudowanego zbioru właściwości767
11.4.6. Używanie bitu poufności775
11.5. Narzędzia od innych producentów779
Skorowidz782

Zaufaneinfrastrukturyzabezpieczeńjakowyzwanie

'.5.'.Definicja

Celemfederacjijestułatwienieorganizacjomudostępnianiadanychautoryzowa-

nymużytkownikomzewnętrznym.Mogątobyćużytkownicyzorganizacjipartner-

skiejalbozwyczajniklienci.Naprzykładfabrykamożechciećudostępnićbazęda-

nychzinformacjamiodostawachswoimdostawcom.Innymprzykłademjestfirma

zajmującasięanaliząrynku,którachceotworzyćrepozytoriumswoichpublikacjidla

klientów.Najważniejszymwymaganiemwtychprzykładachjestto,abydostępdo

danychbyłbezpiecznyiograniczałsiętylkodoautoryzowanychużytkowników.Dwa

najczęściejstosowanedziśrozwiązaniastosowanewceludostarczaniatychusługto

systemyWAMSibrokerzytożsamości.

DobudowysystemówWAMSnajczęściejwykorzystujesiękomercyjnepakiety

oprogramowania.PrzykładysystemówWAMSpodaliśmyjużwcześniej.Klasyczne

systemyWAMSkontrolujądostępdozasobóworganizacji,definiującpojedyncze

kontadlaużytkownikówzewnętrznych.Tametodaniejestzbytskalowalna,może

sprawiaćproblemyadministracyjne,niejestteżłatwawużyciu,zwłaszczagdyużyt-

kownicymusząkorzystaćzsystemówWAMSróżnychorganizacji.Musząwówczas

posługiwaćsięróżnymikontamiipoświadczeniami,awtakiejsytuacjinietrudno

oproblem.

Lepszymrozwiązaniemjestprzydzieleniekażdemuużytkownikowijednego

konta,zapomocąktóregobędzieonmógłuzyskaćdostępdozasobówwróżnych

organizacjach.Jednocześniedostarczanieusługjednokrotnegologowania(SSO)stanie

siędziecinnieproste.Itojestwłaśniegłównymcelemdrugiejkategoriirozwiązań

naszegoproblemu:brokerówtożsamości.Dobrymprzykładembrokeratożsamościjest

systemMicrosoftPassport(któryteraznazywasięWindowsLiveID).Alebrokery

tożsamościteżniesąidealne.Zasadniczymproblememjestto,żeniewieleorganizacji

decydujesięnapowierzeniezarządzaniakontamitrzeciej,zewnętrznejjednostce.

Używaniecentralnegorepozytoriumdoskładowaniakontsprawiateż,żebrokertoż-

samościjestszczególnienarażonynaataki,apowodzenietakiegoatakuoznacza

problemdlacałejinfrastruktury.

Trzecimrozwiązaniemwspomnianegoproblemujestfederacja,któraniema

żadnychwadopisanychpowyżej.Federacjatożsamościpozwalaużytkownikom

korzystaćztylkojednegokonta.ZapewniausługiSSOipozwalaorganizacjomspra-

wowaćkontrolęnadwłasnymikontami.Pozatym,wfederacjiniemajednego,cen-

tralnego,narażonegonaatakpunktu,któregoprzejęciekończysięporażką.Zdrugiej

strony,wobecnychrozwiązaniachfederacjitożsamościbrakujepewnychfunkcji,

któremożnaznaleźćnaprzykładwsystemachWAMS,takichjakłatweintegrowanie

aplikacjiizaawansowanainspekcjaorazraportowanie.

Wterminologiifederacjiorganizacjąmożebyćdostawcatożsamości,dostawca

zasobówalbodostawcajednegoidrugiegojednocześnie.

Brak wyników

Bezpieczeństwo Microsoft Windows. Podstawy praktyczne

Treść książki

Znajdź bibliotekę blisko siebie, i uzyskaj dostęp do ebooka w systemie IBUK Libra