Система безопасности Active Directory
В системе безопасности Active Directory главным моментом всегда была защита ценных сетевых активов. Кроме того, на систему безопасности самой Windows Server 2008 R2 немало повлияла предпринятая Microsoft инициатива по обеспечению безопасности компьютерных технологий (Trustworthy Computing), сделавшая центральным аспектом при разработке продуктов Microsoft продумывание их защиты. Попросту говоря, сейчас Microsoft уделяет безопасности своих продуктов столько внимания, сколько не уделяла никогда ранее, и перед выпуском подвергает всю новую функциональность специальному тестированию на предмет защищенности. Эта инициатива не обошла стороной Windows Server 2008 R2 и чувствуется во всех предлагаемых в этой версии средствах безопасности.
Механизм аутентификации Kerberos
Механизм Kerberos был разработан в Массачусетсом Технологическом институте как безопасный метод для аутентификации пользователей без пересылки их пароля по сети как в зашифрованном, так и незашифрованном виде. Возможность передачи пароля подобным способом значительно уменьшает опасность хищения пароля, поскольку лишает злоумышленников возможности заполучить копию пароля во время его передачи по сети и расшифровать его с применением приемов "грубой силы".
Сама схема функционирования Kerberos выглядит довольно сложно, но, в сущности, сводится к следующему: компьютер отправляет клиенту, которому требуется пройти аутентификацию, пакет с информацией. В этом пакете содержится "загадка", правильный ответ на которую может быть получен только за счет применения подлинных учетных данных пользователя. Далее пользователь прилагает к этой загадке "ответ" и отсылает ее обратно серверу. В случае если ответ был сформулирован с помощью правильного пароля, пользователь проходит аутентификацию. Хотя подобная форма аутентификации и применяется в Windows Server 2008 R2, собственной разработкой Microsoft она не является и в действительности является Интернет-стандартом.
