HĐH Windows NT quản lý truy cập mạng thông qua cơ chế xác thực ng−ời sử dụng gồm tên ng−ời sử dụng và mật khẩu t−ơng ứng. Mật mã đ−ợc đ−a từ trạm đăng nhập mạng về trung tâm theo cách mã hoá đặc biệt theo một trong hai cách sau đây:
Một là, Windows NT dùng DES làm hàm một chiều để mã hoá mật khẩu của ng−ời sử dụng. Mật khẩu này dùng DES làm hàm một chiều để mã hoá một hằng số qui −ớc rồi chuyển giá trị mã khoá này đến cơ sở dữ liệu ng−ời sử dụng. ở đây giá trị này đ−ợc đem so sánh với giá trị đã l−u trong cơ sở dữ liệu. Nếu trùng khớp thì đ−ợc đăng nhập mạng nếu không sẽ bị từ chối. Mật khẩu không bị lộ vì nó không thể tính ng−ợc do tính chất một chiều của DES.
Hai là, sử dụng giao thức thẩm định quyền mã hoá Windows NT LAN Manager (NTLM). Khi đăng nhập thì SERVER sẽ gửi một giá trị nonce dài 16 byte cho trạm CLIENT. Mật khẩu của ng−ời sử dụng đ−ợc dùng để lập mã nonce và gửi về SERVER. Mật khẩu đầu tiên đ−ợc dùng làm khoá để mã một hằng số qui −ớc tr−ớc, sau đó giá trị một chiều này đ−ợc dùng làm khoá để mã hoá nonce và kết quả trả về SERVER. Một mặt SERVER nhận giá trị này, mặt khác nó lấy giá trị một chiều ở cơ sở dữ liệu của ng−ời sử dụng làm khoá và lập mã nonce mà nó còn l−u giữ, kết quả đ−ợc so sánh với kết quả vừa nhận đ−ợc từ CLIENT, nếu hai kết quả là trùng nhau SERVER cho phép đăng nhập mạng. Ng−ợc lại, nó từ chối đăng nhập mạng. Nó mã hoá bằng một khoá số nhị phân 56 bit với 72 nghìn triệu triệu tổ hợp khả dĩ. Khoá đ−ợc phát sinh ngẫu nhiên cho mỗi phiên làm việc để tạo một khuôn mẫu mã hoá th−ờng đ−ợc xem là không thể bẻ khoá nếu không có khoá giải mã.
Để thẩm định quyền ng−ời sử dụng trong Windows 2000 ngầm định sử dụng giao thức thẩm định quyền Kerberos Version 5. Giao thức thẩm định quyền Kerberos Version 5 là một giao thức thẩm định quyền an toàn phân tán dựa trên an toàn chuẩn Internet. Nó thay thế NTLM, đ−ợc dùng trong Windows NT Server 4.0, nh− một giao thức an toàn chính khi truy cập các tài nguyên trong hoặc ngang qua mạng vùng Windows 2000 Server. Hỗ trợ Kerberos bảo đảm đăng nhập an toàn, một lần và nhanh đến các tài nguyên dựa trên Windows 2000 Server cũng nh− các môi tr−ờng khác có hỗ trợ giao thức này.
Với Windows NT và các HĐH sau này, khi tài khoản ng−ời sử dụng cần đ−ợc hợp thức hoá, nh−ng máy tính cục bộ không thể tự hợp thức đ−ợc thì mật khẩu luôn đ−ợc mật mã hoá và truyền trên một kênh mật đ−ợc thiết lập tr−ớc.
Thẩm định quyền ng−ời sử dụng hai yếu tố.
Có thể dùng các thiết bị bảo mật bên thứ ba để cải thiện hệ bảo mật cho ng−ời sử dụng quay số v−ợt trên mức bảo mật sẵn có của các dịch vụ Windows NT RAS (Remote Access Service - Dịch vụ truy cập từ xa). Các thiết bị bảo mật th−ờng là các thẻ khoá [keycards]: đó là các thiết bị bảo mật có kích cỡ bằng thẻ tín dụng hiển thị một mã số khác nhau theo từng phút. Thẻ khoá đ−ợc đồng bộ hoá với một thiết bị t−ơng tự tại hệ phát sinh cùng mã số. Khi ng−ời sử dụng đăng nhập, mã số trên thẻ khoá của ng−ời sử dụng đ−ợc gửi đến hệ phục vụ quay số d−ới dạng một biện pháp bổ trợ cho thủ tục đăng nhập bình th−ờng. Kỹ thuật này bảo đảm chỉ ng−ời sử dụng hợp pháp có các mật khẩu và các mã số thẻ khoá hợp lệ mới có thể đăng nhập hệ thống. Hai yếu tố trong l−ợc đồ này là mật khẩu mà ng−ời sử dụng biết và giá trị thẻ khoá mà họ có vào lúc đăng nhập. Các thiết bị bảo mật tồn tại theo cả dạng phần cứng và phần mềm. Các thiết bị phần cứng th−ờng có kích cỡ nh− các thẻ tín dụng và có một màn hình LCD nhỏ để nêu mã số truy cập. Các thiết bị phần mềm là các ch−ơng trình chạy trên máy tính ng−ời sử dụng và thực hiện cùng chức năng nh− các thiết bị phần cứng. Nói chung, các thiết bị phần mềm tiện dụng hơn bởi vì chúng tự động hoá tiến trình và không yêu cầu khoá
của ng−ời sử dụng trong mã số truy cập. Tuy nhiên, các thiết bị phần mềm th−ờng ít an ninh hơn, bởi các hắc cơ có cơ hội để bẻ khoá thông tin có thể nằm trong bộ nhớ hoặc trên đĩa. Việc bổ trợ đăng nhập từ xa theo cách này sẽ cho ta một cấp bảo mật cao. Cùng với sự ra đời Windows 2000 là ứng dụng thẻ thông minh trên nó.Thẻ thông minh bảo đảm l−u giữ chống lục lọi nhằm bảo vệ các khoá riêng t−, các số tài khoản, mật khẩu và các thông tin cá nhân khác. Các thẻ thông minh nâng cao các giải pháp phần mềm bao gồm cả thẩm định quyền hệ khách. Thẻ thông minh là một thành phần chủ chốt của cơ sở hạ tầng khoá an toàn mà Microsoft tích hợp trong HĐH Windows 2000.
Trong t−ơng lai, mật khẩu có thể đ−ợc bảo mật thêm nhờ các ph−ơng pháp nhận dạng sinh học sử dụng các đặc tính cá thể nh− vân tay, mẫu võng mạc, mồ hôi, DNA, sự thay đổi giọng nói và nhịp điệu đánh máy trên bàn phím.
Ch−ơng III. Phân quyền đối với th− mục, tệp
Phần trên đã đề cập đến giai đoạn đầu, giai đoạn “quyền” của tính năng thẩm định quyền “hai chiều” trong hệ thống mạng an toàn. Phần này sẽ trình bày giai đoạn hai , giai đoạn cho phép “permission” của một đối t−ợng cụ thể.
Nh− đã trình bày ở trên, các đối t−ợng trong các HĐH của Microsoft bao gồm mọi thứ từ các tệp, các cổng truyền thông, đến các xâu thi hành. Mỗi đối t−ợng đều có thể đ−ợc phân quyền riêng lẻ hoặc d−ới dạng một nhóm tuỳ thuộc vào HĐH. Các đối t−ợng có các kiểu permission khác nhau đ−ợc dùng để giao hoặc kh−ớc từ quyền truy cập chính chúng. Trong ch−ơng này đề cập đến đối t−ợng cần phân quyền là th− mục và tệp. Đối với đối t−ợng này có thể có permission Read, Write, và Execute. Các th− mục là các đối t−ợng “thùng chứa” l−u giữ các tệp, do đó permission gán cho “thùng chứa” đều đ−ợc thừa kế bởi các đối t−ợng tệp chứa trong nó. Để xem xét tính năng phân quyền th−
mục và tệp, chúng ta cần tìm hiểu các hệ thống tệp đ−ợc các hệ điều hành Microsoft hỗ trợ, và sau đó là các permission của chúng.
Nên l−u ý rằng, các điều khiển truy cập và các quyền tài khoản ng−ời sử dụng là hai khía cạnh khác nhau của hệ bảo mật Windows NT. Hệ bảo mật tài khoản ng−ời sử dụng định danh và hợp lệ hoá ng−ời sử dụng, trong khi các điều khiển truy cập lại hạn chế những ng−ời sử dụng nào mới có thể làm việc với các đối t−ợng.
Cũng nh− mọi đối t−ợng khác, đối t−ợng th− mục và tệp có một dấu mô tả bảo mật (security descriptor) để mô tả các thuộc tính bảo mật. Dấu mô tả bảo mật bao gồm:
• • • •
ID bảo mật của ng−ời sử dụng sở hữu đối t−ợng, th−ờng là những ng−ời tạo ra đối t−ợng và đ−ợc gọi là chủ nhân (owner)
ACL (Access Control List - danh sách điều khiển truy cập), l−u giữ thông tin về những ng−ời sử dụng và nhóm nào có thể truy cập đối t−ợng
ACL hệ thống, có liên quan đến hệ kiểm toán ID bảo mật nhóm, d−ợc dùng bởi hệ con POSIX
Các ACL là điểm then chốt của phần thảo luận này. Về cơ bản, ACL là một danh sách ng−ời sử dụng và nhóm có permission truy cập vào đối t−ợng. Đối t−ợng th− mục và tệp có ACL riêng của nó. Các chủ nhân có thể tạo các mục trong ACL thông qua các công cụ nh− File Manager hoặc bằng cách ấn định các tính chất cho các tệp và th− mục (trong Windows NT 4.0). Network và Services trong Control panel cũng là những trình tiện ích khác dùng để ấn định permission.
Ng−ời sử dụng có thể có nhiều mục trong ACL của một đối t−ợng, cung cấp các mức truy cập khác nhau cho chúng. Ví dụ, một ng−ời sử dụng có thể có giấy phép Read đối với một tệp dựa trên tài khoản ng−ời sử dụng của họ và giấy phép Read/Write dựa trên
t− cách là thành viên của một nhóm. Mỗi giấy phép này đ−ợc nêu trong một mục riêng biệt trong ACL.
Khi ng−ời sử dụng truy cập một đối t−ợng, họ th−ờng có một quyền truy cập thoả đáng nhất định, nh− Read hay Read/Write. Để giao (hay kh−ớc từ) truy cập, SRM sẽ đối chiếu thông tin trong thẻ bài truy cập của ng−ời sử dụng với các mục trong ACL. Thẻ bài truy cập chứa các ID bảo mật và danh sách các nhóm mà ng−ời sử dụng đó thuộc về. SRM sẽ đối chiếu thông tin này với một hay nhiều mục trong ACL cho đến khi tìm thấy đủ giấy phép để trao quyền truy cập thoả đáng. Nếu không thấy đủ giấy phép, việc truy cập bị kh−ớc từ.
Nếu SRM tìm thấy vài mục dành cho ng−ời sử dụng, nó sẽ xem xét từng mục để xem (tổ hợp các) mục đó có thể giao cho ng−ời sử dụng giấy phép thoả đáng để dùng đối t−ợng đó hay không.