SSH в Windows

Марк Брэдшоу, Журнал "Windows NT/2000"

Почти ежедневно администратору приходится проводить какие-либо работы на серверах. Чаще всего это обычные несложные операции, такие, как перемещение файла или перезапуск службы. Однако при большом количестве серверов, особенно если часть из них находится вне главного офиса, администрирование становится затруднительным, так что большинство программ для удаленного управления использует протоколы, созданные без учета требований к безопасной передаче данных.

В состав операционной системы Windows 2000 включен усовершенствованный сервер telnet. Более ранние версии Windows не имеют встроенных средств для удаленного управления из командной строки. Часто для администрирования разбросанных по сети серверов Windows требуются какие-нибудь более «легкие» средства, чем Windows SSH в Windows NT Server 4.0, Terminal Server Edition (WTS) или pcAnywhere от Symantec. Поэтому системные администраторы предпочитают использовать службу telnet. Единственный ее недостаток в том, что telnet не обеспечивает нужного уровня безопасности и поэтому для удаленного администрирования не годится.

Сервер telnet появился на заре Internet. Он применялся для подключения к более мощным удаленным серверам. Это удобное средство, к сожалению, лишено механизмов обеспечения безопасности: аутентификация и передача данных проводится telnet в открытом виде. Любой злоумышленник, перехватывая сетевой трафик telnet в корпоративной сети или Internet, может узнать имена и пароли пользователей и получить другую системную информацию. Специалисты Microsoft никогда не пытались сделать из telnet SSH в Windows новый продукт, отвечающий современным требованиям к системе безопасности, поэтому наличие telnet в Windows 2000 вызывает удивление. Кажется, лучше было ограничиться службами терминалов, чем включать в систему сервер, который может ослабить систему безопасности.

Но разработчики Microsoft все же кое-что сделали для повышения уровня безопасности сервера telnet: в него добавлена поддержка аутентификации NT LAN Manager (NTLM) с шифрованием паролей. В настройках демона telnet можно указать, что принимаются только NTLM-пароли, прошедшие аутентификацию, а все остальные отвергаются. Однако такое жесткое ограничение оставляет «за бортом» множество клиентов, не поддерживающих NTLM. Даже в самой Windows 2000 аутентификация NTLM, действующая по умолчанию, очень часто выключается SSH в Windows администраторами. Не следует забывать, что NTLM функционирует лишь в том случае, когда взаимодействуют два компьютера Windows 2000, на которых она включена. Если сервером или клиентом telnet является компьютер с какой-либо другой операционной системой, то аутентификация проводится без шифрования, и о безопасности не может быть и речи.

Вне зависимости от выбранного типа аутентификации, telnet передает вводимые команды и их результаты по сети в открытом виде. Таким образом, злоумышленник может, оставаясь незамеченным, собрать массу информации о компьютерных системах, перехватывая сетевой трафик.

Система Unix имеет более долгую историю развития средств удаленного администрирования по сравнению с Windows. Поэтому неудивительно, что именно у SSH в Windows разработчиков Unix возникла идея создать средство для защиты сессии при удаленном администрировании. В настоящее время это средство существует и для Windows, оно называется SSH (Secure Shell).


documentapmgzlh.html
documentapmhgvp.html
documentapmhofx.html
documentapmhvqf.html
documentapmidan.html
Документ SSH в Windows