Идентификация и доступ в Windows Server 2008

Управление учетными записями пользователей является задачей первостепенной важности для многих современных компаний. Людям требуется доступ к многочисленным системам и ресурсам в корпоративной сети с устройств разных типов. Поскольку эти системы могут не взаимодействовать друг с другом, одному человеку зачастую приходится пользоваться несколькими учетными записями. При этом усложняется управление избыточными учетными записями, теряется время и увеличиваются риски безопасности по причине возможного возникновения ошибок.

Решения Майкрософт по управлению идентификацией пользователей и правами доступа — это набор платформенных технологий и продуктов, созданных для управления учетными записями и связанными с ними правами на доступ. Благодаря акценту на безопасности и удобстве использования они помогают компаниям увеличивать производительность, сокращать затраты на ИТ и упрощать управление идентификацией пользователей и правами доступа. Решения Майкрософт для управления идентификацией пользователей и правами доступа можно разделить на пять четких категорий.

•	Службы каталогов  (EN). Упрощают управление пользователями и устройствами.
•	Строгая проверка подлинности (EN). Защищает доступ, применяя дополнительные средства помимо имени пользователя и пароля.
•	Федеративная идентификация (EN). Безопасная совместная работа невзирая на границы организации.
•	Защита информации (EN). Безопасность конфиденциальных данных независимо от того, куда они направляются.
•	Управление жизненным циклом учетных записей (EN). Автоматизация управления идентификацией пользователей и правами доступа.

В Microsoft Windows Server 2008 платформа Майкрософт для управления идентификацией пользователей и правами доступа дополнена несколькими новыми функциями и технологиями, которые помогают компаниям повысить эксплуатационную эффективность, упростить соблюдение регулятивных норм и усилить безопасность.

Новое в службах каталогов

Контроллеры домена только для чтения Одной из наиболее значимых новых функций для доменных служб Active Directory (AD DS) в Windows Server 2008 является контроллер домена только для чтения (RODC). RODC позволяет без труда развертывать контроллеры домена, содержащие реплику базы данных домена только для чтения. Такая возможность очень хорошо подходит для тех мест, где нельзя гарантировать физическую безопасность контроллера домена, где подключение к сети отрицательно сказывается на производительности и где на контроллере домена должны выполняться другие приложения, обслуживаемые администратором сервера (который в идеале не входит в состав группы администраторов домена). Все эти сценарии характерны для многих филиалов.

RODC содержит те же объекты и атрибуты, что и контроллер домена с поддержкой записи. Тем не менее локально инициированные изменения вносятся не в саму реплику RODC, а в контроллер домена с поддержкой записи и только потом реплицируются назад, на контроллер RODC. Это не позволяет изменениям, произведенным в филиалах, засорять и повреждать лес Active Directory в ходе репликации.

Кроме того, администратор может настроить на контроллере RODC хранение (кэширование) учетных данных пользователей. Когда пользователь впервые пытается пройти проверку подлинности на контроллере RODC, тот пересылает запрос контроллеру домена с поддержкой записи. Если проверка подлинности завершается успешно, RODC запрашивает копию учетных данных. Возможность репликации и кэширования учетных данных на контроллере RODC определяется действующей политикой репликации паролей. Если кэширование выполнено, при последующих попытках пользователя войти в систему его запросы обрабатываются непосредственно контроллером RODC (пока в ходе репликации не будет получено уведомление об изменении учетных данных). Кэширование учетных данных способно увеличить продуктивность пользователей за счет смягчения негативного эффекта задержек в глобальной сети или проблем с подключением, которые нередко возникают в филиалах. Кроме того, службы AD DS ведут список всех учетных данных, хранящихся на RODC; при возникновении проблем с безопасностью контроллера RODC администратор может принудительно сбросить пароли всех имеющихся на нем учетных записей.

Контроллеры RODC позволяют делегировать право на установку и управление не имеющему прав администратора персоналу филиала. Сотрудники филиала могут выполнять установку путем подключения сервера к ранее созданной администратором учетной записи RODC. Это устраняет необходимость использовать промежуточный узел для контроллеров домена в филиале или посылать в филиал установочный носитель и администратора.

Службы федерации Active Directory Службы федерации Active Directory (AD FS) — это серверная роль в операционной системе Windows Server 2008. С помощью AD FS можно создать расширяемое, интернет-масштабируемое и безопасное решение для управления идентификацией пользователей и правами доступа, способное функционировать на нескольких платформах, включая среды как ОС Windows, так и других ОС. Службы AD FS включают функцию импорта и экспорта политик, которая помогает настраивать доверительные отношения между федеративными партнерами. Добавлен поставщик контроля членства, позволяющий пользователям федеративного партнера проходить ролевую проверку подлинности при подключении к службам Windows SharePoint Services (WSS) и службам управления правами (RMS). А администраторы могут теперь с помощью групповой политики ограничивать развертывание служб федерации. Кроме того, поддерживаются разные параметры проверки отзыва сертификатов.

Аудит службы каталогов Новая субкатегория политики аудита «Изменения службы каталогов» предоставляет в распоряжение администраторов возможности для ведения точного аудита. Политика аудита «Изменения службы каталогов» сохраняет старые и новые значения объектов службы каталогов и их атрибутов. Администраторы смогут видеть, кто и когда произвел изменение, какие объекты и атрибуты подверглись изменению, а также какими были исходное и новое значения. Данные аудита службы каталогов заносятся в журнал событий Windows; для их консолидации и обработки применяется Microsoft Operations Manager и средства сторонних разработчиков. За счет подробной регистрации упрощается отслеживание изменений службы каталогов и улучшается соблюдение регулятивных норм.

Основные компоненты роли сервера Установка основных компонентов сервера Windows Server 2008 поддерживается для ролей AD DS и AD LDS (службы Active Directory облегченного доступа к каталогам). Основные компоненты сервера — это новый вариант установки операционной системы, позволяющий создавать среду, требующую меньше обслуживания и идеально подходящую для конкретных служб на основе ролей. Наряду с сокращением потребности в управлении и обслуживании сокращается и количество уязвимостей в установке Windows Server 2008.

См. дополнительные сведения на странице Основные компоненты сервера (EN).

AD DS на основе служб Службы домена Active Directory в Windows Server 2008 можно останавливать и запускать из оснасток консоли управления (ММС) и из командной строки. Службы AD DS на основе служб упрощают управление за счет сокращения времени, необходимого для выполнения операций в автономном режиме, таких как автономная дефрагментация и принудительное восстановление. Кроме того, улучшается доступность других служб, которые запущены на контроллере домена, поскольку они остаются активны даже во время обслуживания AD DS. Все клиенты, привязанные к остановленному контроллеру домена, просто обращаются к другому контроллеру с помощью функции обнаружения.

Средство просмотра снимков AD DS Отображая информацию об объектах в периодически создаваемых снимках AD DS, средство просмотра помогает идентифицировать непреднамеренно удаленные объекты. Просматривать эти снимки можно на контроллере домена без необходимости его запуска в режиме восстановления службы каталогов. Путем сравнения состояния объектов в разных снимках можно без труда выбрать подходящую архивную копию AD DS для восстановления удаленных объектов.

Детальная политика паролей и блокировки учетных записей Детальные политики паролей позволяют определять несколько политик паролей и применять различные ограничения для паролей и политики блокировки учетных записей для отдельных групп пользователей в пределах одного домена.

Установка с носителя Параметр «Установить с носителя» (IFM) может быть использован для установки дополнительного контроллера домена в существующем домене и сокращения трафика репликации в процессе установки.

Усовершенствования строгой проверки подлинности

Криптографический интерфейс API следующего поколения Криптографический интерфейс API следующего поколения (CNG) — это абсолютно новый программный интерфейс приложений (API) в Windows Server 2008, обеспечивающий выполнение рекомендаций Протокола Б Агентства национальной безопасности США. Службы сертификации Active Directory (AD CS) используют интерфейс CNG в криптографических целях. Интерфейс CNG пришел на смену интерфейсу CryptoAPI из состава предыдущих версий Windows.

В службах AD CS классические криптографические алгоритмы поддерживаются с помощью поставщиков служб сертификации (CSP), а новые криптографические алгоритмы, например метод эллиптической кривой (ECC), — с помощью основных поставщиков CNG. Одной из уникальных особенностей интерфейса CNG является возможность использовать специальные криптографические алгоритмы.

Детальная модель администрирования Службы AD CS поддерживают новые функции безопасности, которые обеспечивают детальный контроль над тем, кто и на какие сертификаты имеет право подавать заявки и кому эти сертификаты могут быть выданы. Эти службы интегрируют группы безопасности AD DS в задачи управления агентов подачи заявок и диспетчеров сертификатов.

Шаблоны сертификатов V3 В AD CS шаблоны сертификатов V3 заменяют шаблоны сертификатов V1 и V2, которые использовались в предыдущих версиях Windows. Новые шаблоны поддерживают последние криптографические алгоритмы CNG в Windows Server 2008. Кроме того, шаблоны V3 обеспечивают более безопасный метод проверки клиентами контроллеров домена и шифрование трафика службы AD CS между сервером и клиентом.

Управление корпоративной инфраструктурой открытых ключей (PKI) Средство PKIView из пакета Windows Server 2003 Resource Kit добавляется в состав консоли управления при установке служб сертификации Active Directory в Windows Server 2008.

Это средство упрощает управление корпоративной инфраструктурой PKI за счет объединения основных задач управления центрами сертификации (СА) в единый интерфейс, который поддерживает набор символов Юникода для отображения информации невзирая на географические границы. Консолидированный интерфейс обеспечивает администраторам следующие преимущества.

•	Единое иерархическое представление инфраструктуры PKI, которая зарегистрирована и участвует в топологии AD DS.
•	Представление взаимосвязей «родитель-потомок» (при выборе центра сертификации в дереве отображаются все подчиненные центры сертификации).
•	Возможность напрямую управлять каждым узлом через интерфейс.
•	Индикаторы с цветовой маркировкой отражают общее состояние центров сертификации, деревьев и корпоративной инфраструктуры PKI в целом.

Поддержка последних стандартов Службы AD CS в Windows Server 2008 поддерживают самые последние стандарты, включая OCSP (Online Certificate Status Protocol), IDP CRL (Issuing Distribution Point Extension) и SCEP (Simple Certificate Enrollment Protocol).

Усовершенствования защиты информации

Федерация совместной работы В Windows Server 2008 реализована первая версия полностью интегрированного решения «Федеративные службы управления правами». В результате комбинации компонентов служб федерации Active Directory (AD FS) и служб управления правами Active Directory (AD RMS) образуется легко развертываемая внешняя среда для совместной работы.

До появления Windows Server 2008 для совместной работы с внешними организациями с защитой прав ИТ-специалистам нужно было внутри компании поддерживать второй комплект учетных данных для внешних пользователей. Как правило, это были доменные учетные записи или некая разновидность интеграции паспортов. За счет интеграции функций AD RMS со службами AD FS внешние пользователи, которые пытаются получить доступ к защищенной информации компании, вначале проходят проверку подлинности в своей домашней зоне (на контроллере домена), что позволяет обходиться без избыточного комплекта учетных данных.

После такой проверки подлинности применяются политики AD RMS, и службы AD RMS автоматически предоставляют удаленным пользователям соответствующие лицензии на содержимое, позволяющие работать с защищенным содержимым организации. Администратор может детально контролировать работу удаленных пользователей с корпоративной информацией и определять шаблоны, применимые к множеству партнерских отношений. Федеративные службы управления правами в Windows Server 2008 полностью совместимы с существующими установками Microsoft Office SharePoint Server 2007 и полностью поддерживают клиентов AD RMS более низкого уровня.

Общая схема управления Службы AD RMS переходят на более знакомую схему управления. Прошлый веб-интерфейс администрирования AD RMS преобразован в оснастку консоли управления Майкрософт (MMC). Кроме того, управление AD RMS дополнительно формализуется за счет ориентированного на задачи интерфейса, который содержит ссылки на обязательные, рекомендованные и необязательные задачи настройки. Четыре новые группы безопасности позволяют администраторам делегировать управление AD RMS определенным пользователям и группам.

Шифрование дисков Windows BitLocker™ Шифрование дисков Windows BitLocker — это функция защиты данных, входящая в состав Windows Vista Enterprise и Windows Vista Ultimate для клиентских компьютеров, а также всех выпусках Windows Server 2008. Это новая функция Майкрософт, предназначенная для борьбы с угрозой раскрытия и хищения данных с потерянного, украденного или ненадлежащим образом списанного компьютерного оборудования.

Шифрование дисков Windows BitLocker не позволяет злоумышленнику, который загружает другую операционную систему или использует специальное программное средство, взломать защиту файлов и системы Windows Server 2008 или просмотреть в автономном режиме файлы защищенного диска. С помощью доверенного платформенного модуля (ТРМ) 1.2 функция защищает данные и предотвращает вторжение в компьютер под управлением Windows Server 2008 в автономном режиме системы. Шифрование дисков Windows BitLocker обеспечивает повышенную безопасность данных за счет двух основных факторов: полное шифрование дисков и проверка целостности компонентов системы, которые загружаются первыми.

См. дополнительные сведения на странице Шифрование дисков Windows BitLocker (EN).