главная    •    Новости    •    софт    •    RSS-ленты    •    реклама    •    PDA-Версия    •    Контакты
Windows XP     •    Windows 7    •    Windows 8    •    Windows 10   •    Windows Server     •    Железо
Полезные советы      •     Администрирование      •     Сеть      •     Безопасность      •     статьи
Реклама на сайте
Книга жалоб и предложений
Правила на сайте
О Winblog.ru и о копирайте
Написать в редакцию
Конфиденциальность
                       
  • В Windows 10 будет поддержка шрифта Брайля
  • Выпуск тестовых сборок Windows 10 приостановлен
  • В Windows 10 Mobile теперь тоже можно читать EPUB в браузере
  • Microsoft HoloLens: голографические чаты не за горами
  • Группа сотрудников Microsoft, ответственная за подсистему аутентификации (Windows Authentication Team) работает над базовыми компонентами аутентификации, такими как LSA, а также над протоколами аутентификации Kerberos, SSL, NTLM и Digest…

    Группа состоит из 5-ти program manager-ов, 10-ти разработчиков и 11 тестеров. Кроме того, в группе работает проектировщик (architect) Пол Лич (Paul Leach), который занимает должность главного инженера (Distinguished engineer) в Microsoft (это высшая техническая должность этой корпорации). Пол работает в группе аутентификации с начала 90-х годов. Кроме Пола в этой команде работают другие проектировщики, такие как Батлер Лэмпсон (Butler Lampson), которые обеспечивают поддержку и управление при разработке долгосрочных проектов. Батлер Лэмпсон - обладатель премии Microsoft Technical and Turing. Он знаменит благодаря работе, связанной с распределенными системами аутентификации, которая называется «Аутентификация в Распределенных Системах: Теория и Практика».

    Сегодня команда работает над внедрением новых возможностей в систему аутентификации Windows Vista. К основным нововведениям относятся:

    GINA (Graphical Identification and Authentication) заменена на Диспетчер Учетных данных (Credential Provider)
    В предыдущих версиях ОС тонкая настройка интерактивного входа пользователя выполнялась путем создания собственной GINA. Помимо простого сбора аутентификационной информации и получения из нее UI, GINA выполняла и ряд других функций. Именно поэтому, создание собственной GINA – весьма трудоемкая задача, обычно требующая PSS (Служб поддержки продукта Microsoft) для успешной реализации. Часто использование собственной GINA приводило к неожиданным последствиям, таким как невозможность быстрого переключения пользователей или невозможность доступа с помощью смарт-карт. В Windows Vista, GINA была заменена на новый, модульный Диспетчер Учетных данных, который проще перепрограммировать.

    Новый Диспетчер обеспечения безопасности учетных данных (Credential Security Service Provider, CredSSP)
    Диспетчер обеспечения безопасности учетных данных это новый компонент, который доступен в Windows через интерфейс Поставщика поддержки безопасности (Security Support Provider, SSP). CredSSP позволяет приложению передавать учетные записи пользователей от клиента (используется SSP на стороне клиента) на целевой сервер (используется SSP на стороне сервера).

    Хотя CredSSP был изначально предназначен для удовлетворения требований Сервера Терминалов, сегодня он активно используется веб-службами и доступен для любого встроенного или стороннего приложения через интерфейс SSP. Службами Терминалов CredSSP используется для обеспечения единой регистрации (Single Sign-On, SSO).

    Мастер архивации и восстановления имен пользователей и паролей
    Для сохранения паролей и имен пользователей, в Windows Vista включен мастер по архивированию и восстановлению, который позволяет пользователям заархивировать требуемые имена пользователей и пароли для последующего их хранения. Благодаря новой возможности, пользователи могут восстанавливать имена и пароли на любых компьютерах с ОС Windows Vista. Восстановление имен и паролей из файла архива приведет к замене всех существующих на данный момент в компьютере учетных записей пользователей.

    Улучшения в SSL/TLS
    Microsoft добавила поддержку новых SSL и TLS расширений, которые позволяют использовать алгоритмы шифрования AES и ECC. Поддержка AES не присутствует в ОС Microsoft Windows 2000 и Windows Server 2003, а ведь данный алгоритм стал государственным стандартом шифрования в США. С целью ускорения шифрования больших объемов информации, в ОС были добавлены модули, обеспечивающие поддержку AES.

    Поддержка алгоритма шифрования ECC для защищенных каналов (Schannel)
    Криптография, основанная на эллиптических кривых, известная как ECC – это ассиметричный метод шифрования, т.е. использующий открытый ключ. ECC, будучи основанным на теории эллиптических кривых, использовался для создания эффективных и небольших по длине ключей. ECC отличается от других алгоритмов тем, что последние используют очень большие простые числа для создания ключей, в то время как ECC использует уравнение эллиптической кривой для генерации ключей.

    В Windows Vista Поставщик поддержки безопасности для защищенных каналов (Schannel SSP) содержит модуль поддержки ECC-криптографии. Сегодня рассматриваются вопросы по поводу включения ECC в TLS.

    Повышение продуктивности шифрования в защищенных каналах
    Windows Vista предлагает Открытый Криптографический Интерфейс (Open Cryptographic Interface, OCI) и инструменты повышения продуктивности шифрования для защищенных каналов. Microsoft рекомендует правительственным организациям использовать эти инструменты для замены верхнего уровня функционирования Schannel (что-то вроде уровней модели OSI) на произвольный набор криптоалгоритмов. Теперь у организаций есть возможность самостоятельного формирования набора криптоалгоритмов, которые впоследствии можно будет подключить к Schannel.

    Поддержка AES протоколом Kerberos
    Windows Vista позволяет использовать шифрование AES вместе с протоколом аутентификации Kerberos. По сравнению с Windows XP произошли следующие изменения:
    - Протокол Kerberos в базовой конфигурации будет поддерживать AES для шифрования TG-билетов, сеансовых ключей.
    - Механизм Generic Security Services (GSS)-Kerberos будет поддерживать AES. Теперь AES может использоваться для защиты взаимодействий типа клиент/сервер в ОС Windows Vista.

    Поддержка аутентификации для контроллеров домена филиалов
    В Windows Vista включены изменения для поддержки аутентификации контроллеров доменов (DC) филиалов организации на сервере Windows Longhorn. Изменения затронули и Центр Распределения Ключей (Key Distribution Center, KDC). Теперь он способен выпускать билеты только для пользователей филиалов и направлять другие запросы в hub DC.

    Гибкая поддержка аутентификации при помощи смарт-карт
    Хотя в Microsoft Windows Server 2003 и включена поддержка смарт-карт, типы сертификатов, которые могут содержать смарт-карты, сильно ограничены строгими требованиями. Во-первых, каждый сертификат должен иметь имя главного пользователя (user principal name, UPN), с которым он ассоциируется, а также содержать в поле extended key usage, (EKU) smartcard logon OID (Идентификатор объекта). Необходимо добавить, что каждый сертификат требует, чтобы цифровая подпись использовалась вместе с шифрованием.

    Для улучшения развертывания смарт-карт в организации, Microsoft произвела изменения в операционной системе Windows c целью поддержки различных видов сертификатов. Теперь пользователи смогут использовать смарт-карты с сертификатами, свободными от соответствия вышеописанным требованиям.

    Время последнего входа в систему
    Эта функция отображает время последнего удачного входа в систему вместе с числом неудачных попыток входа в момент успешного входа в систему (т.е при входе в систему появится сообщение о времени последнего удачного входа в систему и числа неудачных попыток этого последнего входа). Эта политика позволит пользователю определить использовалась ли его учетная запись без его ведома или же нет.

    Источник: http://blogs.msdn.com/windowsvistasecurity/
    Перевод: Иван К.


    Оцените статью:
    Голосов 1

    Материалы по теме:
  • В поисках безопасности
  • Контроль безопасности вашей службы сервера с помощью политики групп
  • Протоколы безопасности беспроводных сетей в Windows Vista
  • Cisco разработала систему безопасного подключения к беспроводным сетям.
  • The Bat! Private Disk 2.09


    • bowtiesmilelaughingblushsmileyrelaxedsmirk
      heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
      winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
      worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
      expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
      disappointedconfoundedfearfulcold_sweatperseverecrysob
      joyastonishedscreamtired_faceangryragetriumph
      sleepyyummasksunglassesdizzy_faceimpsmiling_imp
      neutral_faceno_mouthinnocent

    Для отправки комментария, обязательно ответьте на вопрос

    Вопрос:
    Сколько будет восемь плюс четыре?
    Ответ:*




    ВЕРСИЯ ДЛЯ PDA      СДЕЛАТЬ СТАРТОВОЙ    НАПИШИТЕ НАМ    РЕКЛАМА

    Copyright © 2006-2016 Winblog.ru All rights reserved.
    Права на статьи принадлежат их авторам. Копирование и использование материалов разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения информации.
    Сайт для посетителей возрастом 18+