европейский политикъ

НАУМОВ ЮРИЙ AKA CRAZY_SCRIPT

Спецвыпуск: Хакер, номер #068, стр. 068-032-3

[локальные политики.]

Как мы уже говорили, существует два вида GPO. Локальные объекты групповой политики (Local Group Policy Object, LGPO) создаются сразу при установке ОС и существуют независимо от того, является ли компьютер частью домена или нет. Когда производится подключение, компьютер автоматически попадает под влияние GPO, определенных в домене. В следствие этого локальные параметры могут измениться.

Рассмотрим по порядку состав локальной политики:

- Политика аудита. Определяет, какие события безопасности заносятся в журнал компьютера. Сам журнал просматривается с помощью оснастки «Просмотр событий» (eventvwr.msc). Эта политика может быть как для локального компьютера, так и для контроллера домена.

- Назначение прав пользователя. Определяет, какие пользователи (группы) обладают правами на локальный вход в систему и на доступ компьютера из сети.

Не стоит забывать о том, что применение нескольких политик может повлечь за собой конфликт между параметрами безопасности. Поэтому запомни приоритет расположения объектов: подразделение; домен; локальный компьютер.

[политики открытого ключа.]

Шифрование информации в политиках безопасности Windows осуществляется с открытым ключом (асимметричное шифрование). Суть его в том, что данные шифруются одним ключом, а расшифровываются другим, связанным с ним, но не совпадающим. У пользователя есть открытый (public key) и закрытый ключ (private key). Первый распространяется свободно и дает возможность шифровать для тебя данные любому. Применение и распространение этих двух ключей повлекло за собой возникновение новых технологий. Цифровые подписи - наиболее яркий пример использования шифрования с открытым ключом. Положения технологии следующие:

1 Возможность создания цифровой подписи имеет только владелец секретного ключа.

2 Истинность цифровой подписи может проверить любой пользователь, у которого имеется соответствующий открытый ключ (sigverif.exe).

3 Цифровая подпись становится неверной при изменении даже одного бита подписанных данных.

Цифровая подпись либо связана с данными, либо вообще передается отдельно. При этом подписи никак не влияют на содержание данных. Самое главное и важное в цифровой подписи при распространении данных открытым текстом состоит в том, что получатель может проверить и удостовериться, что изменений в данных не было. Для этого существует служба распределенной аутентификации, гарантирующая, что данные пришли от того, от кого надо. Но этих гарантий мало. Нужно полностью удостовериться в том, что между открытым ключом и передавшим его существует достоверная связь. Если это не так, может произойти подмена открытого ключа и получения доступа к данным. Применение так называемых сертификатов позволяет установить связь между открытым ключом и передавшим его лицом. Сертификат - это набор зашифрованных цифровой подписью данных, содержащих подтверждение неизменности. Для управления ими используется специальная оснастка (certmgr.msc), позволяющая просматривать содержимое хранилищ для поиска своих сертификатов, а так же сертификатов служб или компьютеров. В сертификате содержится следующая информация: