Система Microsoft Windows NT долгое время подвергалась резкой критике со стороны специалистов по защите корпоративных сетей. Действительно, если в первую очередь сторонники UNIX упрекали Windows NT за недостаточную масштабируемость, то вторым главным поводом для обвинений являются пробелы в обеспечении безопасности. Однако с появлением Active Directory компания Microsoft получает возможность исправить структуру защиты и не только оградить ЛВС от посягательств со стороны, но и предложить механизмы, позволяющие безопасно пользоваться информацией совместного доступа из-за пределов локальной сети.

    Центральным звеном новой модели служит протокол Kerberos, разработанный в свое время в Массачусетсском технологическом институте. В отличие от системы с собственным протоколом, применяемой в Windows NT 4.0, Kerberos позволяет аутентифицировать пользователей, не передавая их пароли по сетевым кабелям и не храня их на локальных машинах. Теперь при регистрации конечному пользователю сообщается уникальный ключ, генерируемый в центре управления защитой, который находится на контроллере домена и называется “Центром выдачи ключей” (Key Distribution Center, KDC).

    Когда после этого клиент обращается к сетевой службе, например запрашивает файл с сервера, используя этот ключ, Kerberos связывается с KDC. Если последний аутентифицирует пользователь, тот получает цифровую квитанцию (ticket), с помощью которой устанавливается соединение с конкретной службой или ресурсом. Ключ помещается в специальный кэш на локальной машине. Если позднее пользователь пожелает обратиться к этой службе еще раз, ключ можно извлечь из кэша до истечения срока его действия. Обычно ключи выдаются на 8 часов, и одно из основных преимуществ Kerberos состоит в том, что при повторном обращении к службе в течение этого периода времени нет необходимости связываться с KDC.

    Короче говоря, KDC и контроллер домена, на котором он размещается, экономят транзакцию, что приводит к снижению нагрузки и повышает масштабируемость системы. В своей лаборатории мы убедились, что при повторном запросе клиенту не нужно обращаться в KDC за новым ключом.

    Конечно, Kerberos уже около двух лет применяется на UNIX-системах. Хорошо зная это, Microsoft использует стандартные характеристики этого протокола, позволяя пользователям не-Windows систем, работающим с Kerberos, аутентифицироваться в Active Directory. Таким образом Windows NT 5 вторгается во владения UNIX. Кроме того, возможности протокола Kerberos были расширены: теперь можно применять открытые ключи с цифровыми сертификатами Х.509, что в будущем позволит производить аутентификацию с помощью микропроцессорных карточек.

    Еще более привлекательны цифровые сертификаты с точки зрения внешних пользователей, таких, как деловые партнеры или заказчики, объединяющихся в виртуальные частные сети (virtual private network, VPN). Применяя сертификаты и развивающиеся стандарты, как, например, протокол IP-Sec (IP Security Protocol — защищенная версия IP с шифрованием данных), Windows NT 5.0 позволит Active Directory надежно аутентифицировать внешних по отношению к ЛВС пользователей. Это обеспечит передачу защищенных зашифрованных данных по общедоступным сетям, в частности по Интернету. Если вы не готовы сразу перейти на использование сертификатов, можете воспользоваться альтернативными технологиями VPN, предлагаемыми Microsoft. Так, если для подключения пользователей к вашей локальной сети в настоящее время применяется протокол РРТР (Point-to-Point Tunneling Protocol), вы можете либо продолжать работать с ним, либо перейти на IPSec или Layer 2 Tunneling Protocol (L2TP) — оба этих протокола встроены в Windows NT 5.0.

    Для повышения практической отдачи от VPN и дистанционного доступа в крупных системах Microsoft включила в новую ОС набор средств администрирования Connection Manager, впервые появившийся в Windows NT 4 Option Pack. В лаборатории мы применили его для создания собственного интерфейса, объединяющего все номера телефонов для подключения к поставщикам услуг Интернета или серверу дистанционного доступа (Remote Access Server, RAS). Затем его перенесли на настольные компьютеры конечных пользователей, облегчив им подключение к сети. Адаптировав стандартный подход к аутентификации, предоставив несколько вариантов технологии VPN и улучшив интерфейс администрирования, Microsoft, несомненно, уменьшит поток критики в свой адрес.