Применение Kerberos в сетях Windows 2000

Протокол Kerberos играет ключевую роль в обеспечении безопасности аутентификации в доменах Windows 2000. Многие системные службы и приложения используют Security Support Provider Interface (SSPI) для аутентификации, что позволяет легко перевести их с NTLM на Kerberos без значительных изменений в архитектуре. Однако для некоторых служб, таких как сервер SMB, который до Windows 2000 не поддерживал SSPI, потребовались дополнительные доработки.

Многие новые распределенные службы Windows 2000 уже используют аутентификацию Kerberos. Среди них:

• Аутентификация в Active Directory — используется при выполнении LDAP-запросов и управлении каталогом.
• Удаленный доступ к файлам — поддержка Kerberos в протоколе CIFS/SMB.
• Управление распределенной файловой системой (DFS) — обеспечивает защищенную работу с DFS-ресурсами.
• Обновление записей DNS — защищает от несанкционированных изменений адресов в системе имен.
• Служба печати — обеспечивает защищенный доступ к сетевым принтерам.
• IPSec и ISAKMP/Oakley — поддержка взаимной аутентификации хостов при создании защищенных соединений.
• Службы качества обслуживания (QoS) — используется для резервирования сетевых ресурсов.
• Internet Information Services (IIS) — поддержка аутентификации в интрасети.
• Запросы сертификатов — аутентификация пользователей и компьютеров при работе с Microsoft Certificate Service.
• Удаленное администрирование — безопасное управление серверами и рабочими станциями через аутентифицированные RPC и DCOM.

Широкая поддержка Kerberos в Windows 2000 — это важный шаг к отказу от аутентификации NTLM в корпоративных сетях. Использование единого механизма аутентификации обеспечивает централизованное управление доступом, защищенную передачу данных и совместимость с современными протоколами безопасности.