Танилцуулга
2000 оны 2р сард Windows 2000 (W2K) танилцуулагдсаны дараа Микрософт үүнийг өмнөх хувилбар болох Windows NТ(WNT) г аюулгүй байдлын хувьд сайжруулан гаргаж ирсэн гэж сурталчилж байлаа. Микрософт W2K- аас өмнөхөн үүнийхээ Service Pack 1 (SP1) ийг гаргасан байсан юм. Мэдээллийн аюулгүй байдлын нийгэмлэг үүнийг аюулгүй байдлын хувьд маш сайжирсан гэж дүгнээд байсан юм. Үүний дараагаар 3н жилийн дараа Микрософт Windows Server 2003(WS2003)-аа худалдаанд гаргасан юм. Үүгээр W2K-ын төгсгөл ирсэн юм.
W2K-н аюулгүй байдалд чиглэсэн онцлогууд
W2K нь өмнөх хувилбар WNT-н аюулгүй байдлын цоорхойг нөхөж шинэ онцлогуудтай болсон юм. Хамгийн чухлаас нь дурдвал :
Active Directory
Active directory нь сүлжээндээ байгаа файлыг хайх, програм, принтер, хавтаст хандах зэрэг боломжийг бий болгосон. Active directory нь хэрэглэгч болон үйлчилгээний аккаунт, сүлжээний шинжүүд гээд компьютер болон сүлжээний үйл ажиллагаатай холбоотой маш олон талыг агуулсан байдаг. Мөн энэхүү мэдээллийг хэрэглэгчид болон програмд түгээж, шаардлагатай бол өөрчлөх боломжтой. Аюулгүй байдлын үүднээс бол Active directory нь W2K-н голлох шинж нь юм. Энэ нь Active directory-ынхоо дотор үйлчлэх эсвэл хүссэн хувийн тохируулгуудыг хийх боломжийг системийн болон аюулгүй байдлын администраторуудад олгож байгаа юм.
Group Policy Object GPOs
GPO нь нууц үг тохируулахад хамгийн бага уртыг тохируулах, тодорхой хугацааны дотор хийсэн амжилтгүй нэвтрэх оролдлогуудыг тоолох зэрэг аюулгүй байдлын маш өргөн боломжийг олгодог. GPO бол систем болон сүлжээг хамгаалах маш хүчирхэг арга юм.
Rights delegation – Эрхтэй гишүүд
W2K нь домэйн админууд өөрийн байгууллага нэгжид харьяалагдах компьютерт хандах эрхтэй бөгөөд өөр домэйны компьютерт хандах эрхгүй байхаар зохион байгуулах боломжийг олгодог. Хандах эрхийн өөр төвшинг үүсгэх боломжтой бөгөөд өөр өөрийн хязгаарлалтуудтайгаар системд ажилладаг.
Strong authentication - Хүчирхэг баталгаажуулалт
W2K нь Kerberos баталгаажуулалтыг дэмждэг. Энэхүү үйлдлийн систем нь MD5 – д суурилсан баталгаажуулалтыг хийдэг. MD5 баталгаажуулалтад нууц үг бүрийг хэш функцээр сүлжээгээр дамжихаас нь өмнө хөрвүүлэлт хийдэг. Ийм болохоор нууц үгийг тайлахад хялбар биш.
Security Application Programming Interfaces (API)
Өргөн хүрээнд 3дагч талын баталгаажуулалтыг хийдэг програм. W2K-ын API-ууд нь ухаалаг картанд суурилсан баталгаажуулалтыг хийхэд онцгой сайн. Гэвч зөвхөн үүгээр хязгаарлагдахгүй.
Wide range of NT File System (NTFS) permissions
W2K-н NTFS, NTFS-5 зэрэг нь маш өргөн хүрээнд хандах эрхийн зөвшөөрлөөр хянадаг.
Сүлжээний урсгалыг нууцлах олон аргачлалууд
W2K сүлжээгээр урсаж байгаа өгөгдлийг нууцлахдаа Point-to-Point Tunneling Protocol (PPTP) , Secure Sockets Layer (SSL), IPsec болон 2р түвшний Tunneling Protocol болох (L2TP)-г ашигладаг.
Файлын шифрлэлт
W2K нь файл болон фолдерын шифрлэлтийг хангадаг Encryption File System(EFS) юм. Ил тодоор файл болон фолдерын агуулгыг FEK түлхүүрээр шифрлэхэд 128 бит-тэй DES-X-ийг ашигладаг, EFS шифрлэлт нь файл болон фолдер бүрийг тусгай холбогдох шифрлэлтээр тохируулдаг. Хэрэглэгчид ямар нэгэн файл эсвэл фолдерт хандах үед FEK агуулгыг нь decrypt-лэж харуулдаг. Хэрвээ бусад хэрэглэгчид адилхан файл эсвэл фолдер руу хандвал шифрлэгдсэн өгөгдөлд анхны агуулгыг хэвээр байлгадаг. W2K нь мөн хэрвээ файл гэмтсэн эсвэл устсан байвал FEK байх ёстой бөгөөд түлхүүрийг сэргээх боломжийг олгодог Data Recovery Agent функцийг санал болгодог.
Certificate үүсгэх ба удирдах
Түлхүүрийг сэргээх болон бусад certificate функцууд, SSL-ийг дэмжихэд зориулагдсан олон тооны certificate сервер функцийг W2K агуулдаг. W2K Advanced сервер, үйлдлийн системийн highended сервер хувилбар, тэр ч байтугай PKI ажиллагааг дэмждэг.
Windows-ийн файл хамгаалалт (WFP)
Халдагчид ихэвчлэн маш чухал системийн файлуудыг өөрчлөхийг оролддог. Microsoft зохих журмын дагуу W2K-д WFP-ийг оруулж, эдгээр файлуудыг өөрчлөх оролдлогыг системийн админуудад анхааруулж байна.
IntelliMirror
IntelliMirror нь хэрвээ тэд өөрчлөгдсөн эсвэл нэвтрэх зөвшөөрөлгүй байсан ч компьютерт аюулгүй байдал болон бусад тохиргооны төлөвүүд хэвээр байх нөхцлийг хангадаг механизм юм.
W2K-ийн аюулгүй байдлын сул талууд:
- Аюулгүй байдал эмзэг байдалд хамааралтай
- Нийцтэй байдлын асуудлууд
- Алдаа засварлах үйл явц
- Active Directory, Group Policy-н нарийн төвөгтэй байдал
- Нууц үг туйлын crackable байна.
- Хамгаалалтгүй хуваалцах (share)
- Бүрэн бус хяналт
- IPSec зохицолдооны асуудал
- EFS дэх хязгаарлалт
Эдгээр олон шинжүүдийг бусад хэвлэлүүдэд илүү нарийвчилан авч үзсэн байгаа. Жилийн турш W2K системд гарсан аюулгүй байдлын зөрчлийн тоо болон тэдгээр системүүдээс алдагдаж болох аюулгүй байдлын арга замуудын олон тооноос харахад, W2K-ийн аюулгүй байдалд маш олон тооны хязгаарлалт саад учруулж байна. Тэдгээр хязгаарлалтуудын хамгийн чухал ач холбогдлыг дараагийн хэсэгт дурьдсан байгаа.
Жилийн турш W2K-д маш олон эмзэг байдлыг илрүүлжээ.
Аюулгүй байдалд хамааралтай эмзэг байдал
Нэн тэргүүнд хамгийн чухал нь үйлдлийн систем дээр аюулгүй байдалд хамааралтай эмзэг байдал хэтэрхий олон байгааг олж илрүүлсэн байна. W2K болон Windows үйлдлийн системд хамааралтай халдварын тоо ихэссэний үр дүнд, тэдгээр эмзэг байдлын зарим нь ихээхэн хэмжээний аюул учруулж байгаа хэдий ч, бусад нь вирусийг танихад ашиглаж байна. Хамгийн алдартай эмзэг байдал нь Microsoft-ийн SSL алсын хяналтын үйлчилгээ мөн Microsoft-ийн алсын журмын дохио (RPC) ба Slammer болон MSBlaster вирус тус бүрт ашиглаж байжээ. Эдгээрээс тус терминал үйлчилгээ, телнет, энгийн сүлжээний менежмент протокол (SNMP), медиа тоглуулагч, мессенжерийн үйлчилгээ, workstation үйлчилгээ зэрэг маш олон эмзэг байдлууд байх бөгөөд үйлчилгээний хямрал болон хуурамч програм хангамжийн ажиллагаа, privilege өсөлт зэрэг төрөл бүрийн тохиромжгүй үр дүнг зөвшөөрдөг. Нэн ялангуяа W2K дахь буфер дүүрэхтэй холбоотой эмзэг байдлын тоог тэмдэглэх хэрэгтэй. W2K дахь эмзэг байдлын энэ олон тоо нь системийн програм хангамж болон аюулгүй байдлын инженерийн арга зам байхгүй тохиолдолд кодыг үйлдвэрлэсэн байна гэдгийг ихээр харж болох юм. W2K-ийн хайрцагны гадна найдвартай биш байгаа явдал нь асуудлыг улам доройтуулж байна. Ихэнх файлын эрхийн анхдагч утга нь өөрчлөлт оруулах эсвэл хүн бүр хандахыг зөвшөөрсөн, маш олон үйлчилгээг default-оор ажиллуулж болох зэрэг боломжийг олгодог.
Backward compatibility issues – Нийцтэй байдлын асуудлууд
Урт хугацааны туршид W2K ерөнхийдөө аюулгүй байдлын (эх горимд W2K-ийн ажиллагааг хангасан Kerberos танилт зэрэг) механизмыг анхдагчаар ашигласаар ирсэн бөгөөд WPX зэрэг бусад W2K болон сүүлийн үеийн Windows үйлдлийн системийн орчинд W2K ажиллаж байгаа. Бусад үед, хуучин Windows систем W2K систем рүү холбогддог хэдий ч, W2K нь ихэвчлэн систем болон аюулгүй байдалд сул холбоо үүсгэх, хамгийн бага ерөнхий хуваарьт аюулгүй байдлыг бууруулдаг. Зарим тохиолдолд (хамгийн тохиромжтой) Microsoft нь Windows for Workgroups(WFW) болон Windows 95 (W95) гэх мэт эртний бүтээгдэхүүний заримыг хангахад зориулагдсан “шугам зурах” болон нийцтэй механизмуудыг устгах хэрэгтэй. Тэр хүртэл, нийцтэй механизмуудыг хууль ёсны W2K аюулгүй байдлын механизмуудыг хялбар арга замаар хангаж болох юм.
Алдаа засварлах үйл явц
“Windows-ийн засварууд дээр ажиллах нь өргөн тархсан MSBlaster халдвар гэх мэт хар дарсан зүүдийг хөөх” бөгөөд W2Kч мөн адил. RPC дахь эмзэг байдал гэх мэт зарим эмзэг байдлыг өргөн хүрээнд сарын хугацаатай мэддэг хэдий ч хараахан тогтмол биш байна. Microsoft-ын хувилбаруудыг сайжруулах хүртэл хэн нэгний W2K систем ерөнхийдөө эмзэг хэвээр байсан бөгөөд W2K системд хохирол учруулж байдаг цэгийн алдааг засах бүтээгдэхүүнүүдийг Microsoft ойр ойрхон үйлдвэрлэн гаргасан. Windows update нь зөвхөн “нэн чухал” эмзэг байдлын засваруудуудыг олж авсан нь ашигтай шийдэл бөгөөд энэ нь бүрэн гүйцэд татагдсан болон зөв суусан эсэхийг шалгаж чадахгүй юм.
Үүнээс гадна Windows Update SPS шинэчилдэггүй. Нэмж хэлэхэд, SPS нь өмнө нь суусан hotfixes ийг устгаж өмнө нь засагдсан W2K системүүдийн эмзэг байдлыг устгадаг. W2K SP4 Жишээ нь Post SP3 засваруудыг устгах.
Active director болон Group policy –ийн төвөгтэй байдал (complexity)
Acitve director нь төв удирдлагад хүчирхэг чадамжийг өгдөг. Аюулгүй байдлынхаа хувьд сайн. Гэхдээ энэ нь маш нарийн байдаг бөгөөд ихэвчлэн орхигдсон болон W2K системд бага тархацтай байдаг. Active Directory өөрөө аюулгүй байдлыг хангах нь тийм том ажил биш; зөвхөн агуулга буюу хэсэг болон бүх агуулагчид объектууд гэсэн 3 зүйлийг шаарддаг. Гэхдээ Active director –ийн аюулгүй байдал нь DNS RPC гэх мэт зүйлсээс шалтгаалдаг. Group policy нь windows –ийн орчны аюулгүй байдалд зайлшгүй шаардлагатай Active director-ийн нэг хэсэг юм. Тодорхой түвшингүүдийн талаарх дүрмүүдийн (local, site-linked, domain-linked and OU-linked) group policy-н тохиргоо нь алдаанаасаа хамаарч тохируулахад төвөгтэй. W2K ийн нь GPO –ийг системийн администратор бий болгодог хэдий ч GPO доторх тохиргоонууд нь идэвхтэй байдаг тохиргоо биш юм.
Нууц үг халдлагад өртөх
WNT-ийн password-ыг эвдэхэд хялбархан байдаг. W2K хэрэглэгчийн бүртгэл бүр нь default тохиргоогоороо 2 password той байдаг. LANMAN пасспорт нь DES болон MD5 хэш ийг –ийн шифрлэлтийн бүтээгдэхүүний төлөөлөл. WNT шиг password олох нууц үгийн хэрэгслүүд LM password –дод боломжит хэд хэдэн нууц үгийг W2K-ын LM шифрлэлтэнд оруулж тохируулж үздэг. Нууц үг системд байгаа нууц үгийн файлтай тохирох хүртэл. LM төлөөлөл хоёр ширхэг долоон тэмдэгт мөрнөөс бүрдэнэ. Богино password-ийн хувьд зарим тэмдэгтүүд зайнаас ч илүү юу ч байж болдог. 2 дахь 7 тэмдэгтийн цувааны эхнийх нь 0 эсвэл 1 зай байх боломжтой. Шинэ windows-ын нууц үг олох хэрэгсэл нь LM pasaword-дад орох боломжтой тоонуудаар хүснэгтийг урьдчилан байгуулж дараа шалгаж үздэг. Group poliy-г идэвхтэй байлгаснаар энэ төрлийн халдаганаас сэргийлэх боломжтой. Харин W9X ийг хэрэглэж байгаа samba болон бусад хэрэглэгчдийн хувьд W2K системийг баталгаажуулахад нууц үгийг нь хамгаалж чадахгүй.
Windows 2000-ын тохиргооноос илүү Windows NT-ын тохиргоо сайн.
Хамгаалалтгүй share
Хамгаалалтгүй share нь хүн бүрт фолдер үүсгэх дахин файл шейрлэх боломжийг олгодог. Windows үйлдлийн системийн нэг асуудал нь Share нь default аар үүссэн үед хэрэглэгч болгоныг зөвшөөрдөг. Энэ асуудлыг арилгахад амархан. NTFS-ыг ашиглаж хэрэглэгчдийн хандах эрх(хавтас үүсгэх файл шэйр хийх) болон default аар байгаа тохиргоог тохируулж болно. Хамгаалалтгүй Share үүд хаа сайгүй байдаг. Тухайн share лүү халдахад халдагч болон вирус зохиогчдод энэ нь нэг давуу тал болдог. Үүнийг мэргэжлийн хүмүүс л мэддэг. Microsoft-ийнхон default тохиргоогоороо хэрэглэгчдэд зөвхөн унших эрхийг өгч системийн администраторт бүх эрхийг олгож өгсөн бол халдлагад өртөх нь бага байх байсан.
Бүрэн бус аудит
W2K аудитын боломжууд нь үүргийнхээ хувьд WNT ээс бага. Холболтын Event log Нь source ip хаяг болон хостынх нь нэрийг харуулдаггүй. Гэсэн хэдий ч энэ нь сүлжээг халдлагаас хамгаалахад илүү хэрэгтэй. Нэмж хэлэхэд, WNT шиг W2K-ийн Event log нь Control Panel –аар дамжуулан хийсэн системийн өөрчлөлтийн талаар олон чухал тохиргоонуудыг хадгалдаггүй.
IPSEC ийн зохицлын асуудлууд
IPSEC нь IP протоколийн аюулгүй байдлынхаа хувьд сайжруулсан хувилбар. Толгой хэсэгт нь пакетын толгой хэсгийн агуулга, нууцлалын мэдээлэл эсвэл шифрлэгдсэн өгөгдлийн хэсгүүд байна. IPSec нь пакетуудын агуулгын хэсгийн нууцлалыг сайн хангадаг хэдий ч IPSec –ийн W2K хэрэгжилтэд бие биетэйгээ харилцах 2 W2k-г систем ашиглаж байх үед сайн ажилладаг. Гэхдээ W2K бусад системүүдийн хооронд нь алсаас холбогдох холболтыг(remote connection) үүсгэж байхад тийм ч сайн ажилладаггүй.
EFC-ийн хязгаарлалт
Нууцлахын тулд файлуудыг шифрлэх нь зүйтэй боловч EFC д хэд хэдэн хязгаарлалт байдаг.
Хэрэглэгч нь өөр хэн нэгэнтэй EFC ээр шифрлэгдсэн файлыг хуваалцах хэрэгтэй бол бусад хүмүүс түлхүүрийг хуулж авах хэрэгтэй. Хэрэглэгчийн нууц түлхүүрийг хуулж авч тухайн хэрэглэгчийн бүх файл руу хандах нь зохисгүй хэрэг. Нэмж хэлэхэд Administrator хэрэглэгч нь бүх хэрэглэгчдийн файл болон фолдер нь шифрлэгдсэн түлхүүрийг хуулж авдаг. Учир нь зарим хэрэглэгчид бусад хэрэглэгчдийн EFC ээр шифрлэгдсэн файлыг унших шаардлагатай нөхцөл зарим тохиолдолд үүсдэг.
Дүгнэлт
W2K аюулгүй байдлын талаасаа сайн уу? Хариулт нь тийм бас үгүй. Аюулгүй байдлынхаа хувьд WNT ээс илүү өндөр. Active director болон Group policy –ийн аюулгүй байдал нь тиймч сайн биш W2K –ийн аюулгүй байдал ч гэсэн асуудалтай байна. WXP болон WS2003 аюулгүй байдлынхаа хувьд сайн уу? WXP эмзэг байдлыг нь аль хэдийн тодорхойлсон бөгөөд тийм ч том тоо биш гэж аюулгүй байдлынх нь хувьд инженерүүд санал болгодог. WS2003 нь янз бүрийн түүхүүдтэй. Гэхдээ энэхүү үйлдлийн системийг Microsoft’s Trusted Computing Initiative (TCI) санаачлагаар боловсруулсан. WS2003- хэдэн арван эмзэг байдалтай W2K-ийн эмзэг байдалтай харьцуулахад өндөр юм шиг хэрнээ тийм биш юм. TCI-ийн давуу талуудын талаар шийдвэр нь ийм байдлаар яригдаж байна. W2K дэх олон тооны аюулгүй байдлын хязгаарлалтууд Microsoft-д маш чухал сургамж болсон бөгөөд цаашид илүү найдвартай үйлдлийн системийн бүтээгдэхүүн бий болгоход тэдгээрийг ашиглана гэж найдаж байна.
Тэмдэглэлүүд
Тэмдэглэл 1: Organization units-ийн OU шатлал тус бүрийн хүрээнд хамгийн дээд шатлал нь root OU байх шаталсан бүлэг юм. Children OUs-ийг root OUs-ийн дор үүсгэдэг бөгөөд дараа нь grandchildren гэх мэтээр үүсгэж болно. Доод түвшний OU болгон анхдагч утгаараа эцэг OU-ийнхээ бодлогын тохиргоог өвлөдөг.
Тэмдэглэл 2: Домайн нь удирдлагын нэг нэгжийг бүрдүүлж байгаа workstations болон серверийн нэг бүлэг юм. W2K-д домайн нь аюулгүй байдалд нэн чухал ач холбогдолтой учраас аюулгүй байдлын тохиргоог тохиромжтой, хүчирхэгээр хангах GPOs домайн нь бүлэг, компьютерууд болон хэрэглэгчдийн маш олон тооны аюулгүй байдлыг хянах сайн арга зам юм.
Орчуулсан баг : Triple-A
No comments:
Post a Comment