Применение Kerberos в сетях Windows 2000
Протокол Kerberos играет ключевую роль в обеспечении безопасности аутентификации в доменах Windows 2000. Многие системные службы и приложения используют Security Support Provider Interface (SSPI) для аутентификации, что позволяет легко перевести их с NTLM на Kerberos без значительных изменений в архитектуре. Однако для некоторых служб, таких как сервер SMB, который до Windows 2000 не поддерживал SSPI, потребовались дополнительные доработки.
Многие новые распределенные службы Windows 2000 уже используют аутентификацию Kerberos. Среди них:
- Аутентификация в Active Directory — используется при выполнении LDAP-запросов и управлении каталогом.
- Удаленный доступ к файлам — поддержка Kerberos в протоколе CIFS/SMB.
- Управление распределенной файловой системой (DFS) — обеспечивает защищенную работу с DFS-ресурсами.
- Обновление записей DNS — защищает от несанкционированных изменений адресов в системе имен.
- Служба печати — обеспечивает защищенный доступ к сетевым принтерам.
- IPSec и ISAKMP/Oakley — поддержка взаимной аутентификации хостов при создании защищенных соединений.
- Службы качества обслуживания (QoS) — используется для резервирования сетевых ресурсов.
- Internet Information Services (IIS) — поддержка аутентификации в интрасети.
- Запросы сертификатов — аутентификация пользователей и компьютеров при работе с Microsoft Certificate Service.
- Удаленное администрирование — безопасное управление серверами и рабочими станциями через аутентифицированные RPC и DCOM.
Широкая поддержка Kerberos в Windows 2000 — это важный шаг к отказу от аутентификации NTLM в корпоративных сетях. Использование единого механизма аутентификации обеспечивает централизованное управление доступом, защищенную передачу данных и совместимость с современными протоколами безопасности.