Защита контактных данных домена

12.04.2020
Комментариев нет

UPD: С 2018 на 2019 год — новые приключения этой же «услуги»
Следите за руками.
Предыстория:
— Ранее все данные WHOIS в базе были открыты.
— Вышел закон о персанальных данных
— NIC.RU сам ЗАКРЫЛ и обязал всех регистраторов «под собой» ЗАКРЫТЬ данные WHOIS по всем доменам по умолчанию, и только если владелец ЖЕЛАЕТ их открыть — он их открывает.
История:
1. Приходит письмо С ТРЕБОВАНИЕМ, в котором указано, что для конкретного домена информация WHOIS некоректна, и потому домен может быть заблокирован. В тексте указывается, что теперь вы можете подключить услугу защиты данных WHOIS в личном кабинете, СТОИМОСТЬ УСЛУГИ НЕ УКАЗАНА.

Контактные данные, которые вы указываете при регистрации доменного имени, вносятся в базу сведений Whois. Достоверность иактуальность этих данных — обязательное условие, его несоблюдение может привести к блокировке домена.
Пожалуйста, проверьте и скорректируйте сведения, внесенные в Whois для ############# и других ваших доменов.
Поля Whois должны содержать реальную информацию о владельце домена.
Если вы не хотите, чтобы информация о вас была доступна всем желающим, ее можно скрыть, подключивуслугу «Защита контактных данных». Так вы сохраните приватность без нарушения действующих правил регистрации.
2. Приходит письмо, в котором нам сообщается, что перед нами извиняются за техническую ошибку, и ПРЕДЛАГАЕТСЯ СКИДКА за — подчеркну, РАНЕЕ БЕСПЛАТНУЮ, НАВЯЗАННУЮ по сути, ОБЯЗАТЕЛЬНУЮ к исполнению САМИМ РЕГИСТРАТОРОМ «услугу» скрытие персональных данных.
К сожалению, в результате технической ошибки вы получили письмо, предназначенное для пользователей, которые не соблюдаютправила о контактных данных администратора домена. Примите, пожалуйста, наши извинения. Мы постараемся, чтобы в будущемтакие ситуации не повторялись.
В вашем случае все требования выполнены — и мы признательны вам за это. Однако ваши данныенаходятся в открытом доступе, и ими могут воспользоваться злоумышленники для организации спам-рассылок и совершениямошеннических действий с доменными именами.
В качестве извинения мы предлагаем вам скидку 90% на услугу «Защита контактных данных» — этообезопасит ваши контакты от посягательств третьих лиц. Введите промокод «PROTECTION18» в личном кабинете призаказе услуги.
180 рублей в год за домен. Вынь да положь за то, что говнорегистратор и так ОБЯЗАН делать.
Вот ведь наглость просто таки сверхнаглая. Монополист, хуле! Может себе позволить.
Интересно, сколько народу неосторожно сделает себе эту говноуслугу платной в результате этого замечательного, ЯВНО СОЗНАТЕЛЬНОГО и офигительно красивого «финта ушами»? 🙂
UPD: ОБА письма пришли в том числе и человеку, у которого точно есть нарушения в контактных данных. Иными словами — никакого «технического сбоя» — рассылка и первого, и второго письбма делалась ВСЕМ. :))

Вопросы защиты объектов интеллектуальных прав в такой «подвижной» среде, как Интернет, встают все чаще и чаще. Особую популярность приобрели споры по поводу пользования доменными именами, схожими или аналогичными со словесными элементами товарных знаков. Но этим разнообразие доменных споров не исчерпывается: заинтересованные лица борются за право пользование доменными именами или требуют компенсации за причинение морального и репутационного вреда.

Доменное имя используется в Интернете. Его основной функцией является преобразование адресов IP (Internet protocol), выраженных в виде определенных цифр, в доменное имя для облегчения поиска и идентификации владельца информационного ресурса. Современная коммерческая практика показывает, что при выборе доменных имен для Интернета владельцы информационных ресурсов останавливаются на максимально простых и логичных именах (слово, группа букв и т.п.), которые обычно ассоциируются у потребителей непосредственно с конкретным участником хозяйственного оборота или его деятельностью.

Доменное имя не является объектом интеллектуальной собственности, но требует защиты

Доменные имена уже фактически трансформировались в средство, выполняющее функцию товарного знака, который дает возможность отличать соответственно товары и услуги одних юридических или физических лиц от однородных товаров и услуг других юридических или физических лиц. Кроме того, доменные имена, содержащие товарные знаки или торговые наименования, имеют коммерческую стоимость (постановление Президиума ВАС РФ от 16.01.2001 № 1192/00 по делу № А40-25314/99-15-271).

В соответствии со ст. 128 ГК РФ к объектам гражданских прав относятся вещи, включая деньги и ценные бумаги, иное имущество, в том числе имущественные права; работы и услуги; охраняемые результаты интеллектуальной деятельности и приравненные к ним средства индивидуализации (интеллектуальная собственность); нематериальные блага.

Учитывая, что информационная технология имеет определенную ценность и может быть предметом сделки, доменное имя, право его администрирования следует квалифицировать как имущественное право, заключающееся в возможности лица, зарегистрировавшего доменное имя, разместить в Интернете информационный ресурс, доступ к которому осуществляется пользователем Интернета путем набора определенных символов, составляющих доменное имя. Доменное имя является средством индивидуализации, которое индивидуализирует информационный ресурс, размещенный под данным доменным именем.

Использование доменного имени получило широкое распространение, что придает вопросам правовой защиты участников делового оборота в данной области особую актуальность.

Доменное имя, как средство преобразования цифровых адресов интернет-протокола в буквенные и словесные обозначения для облегчения поиска и идентификации владельца информационного ресурса в Интернете, является средством индивидуализации услуг предоставления информации в Интернете, фактически (но не юридически) выполняющее функцию товарного знака при предоставлении данной услуги. При этом российское законодательство об интеллектуальной собственности не относит доменные имена к объектам интеллектуальной собственности, не устанавливает оснований и порядка возникновения прав на доменное имя и требования о государственной регистрации доменных имен, как условия признания права и его охраны (ст. 1232 ГК РФ).

Законодательство предусмат­ривает только правовую защиту исключительных прав владельцев зарегистрированных товарных знаков и правообладателей наименования места происхождения товара на размещение данных средств индивидуализации в Интернете, в том числе в доменном имени. Настоящий иск не связан с защитой исключительных прав истца на товарный знак или на наименование места происхож­дения товара.

Основанием возникновения прав пользователя на доменное имя, в соответствии со сложившимися обычаями делового оборота (ст. 5 ГК РФ), является регистрация аккредитованным регистратором прав физического или юридического лица на доменное имя на основании заявки такого лица (пользователя). Такая регистрация права на средство индивидуализации не связана с наличием или отсутствием у пользователя прав на сайт, как результат интеллектуальной деятельности, зарегистрированный под соответствующим доменным именем.

Три вида доменных споров: право пользования, товарный знак и причинение вреда

Доменные споры многообразны, но среди них можно выделить несколько самых «популярных»: споры, касающиеся права пользования доменом, соотношения прав на домен и товарный знак, а также общегражданские споры.

Первая категория дел — споры о праве пользования доменом возникают из-за притязаний нескольких субъектов на одно и то же доменное имя. Заметим, что право пользования таким объектом возникает из факта регистрации доменного имени за пользователем, а не из подачи заявки на регистрацию.

В одном деле истец оспаривал права ответчика на доменные имена и обосновывал это тем, что он раньше ответчика подал заявку на регистрацию доменных имен. Однако суд при рассмотрении дела установил, что регистрация доменных имен за истцом не была произведена, и право пользования ими у истца не возникло. При этом из представленных документов, подтверждающих оплату истцом услуг Интернета и услуг хостинга не следовало, что оплата производилась за регистрацию доменных имен именно за истцом.

Напротив, факт регистрации аккредитованным администратором доменных имен за ответчиком установлен судами первой и апелляционной инстанций, в отсутствие факта регистрации тех же доменных имен за истцом. При таких обстоятельствах суд пришел к выводу о том, что если аккредитованный регистратор в нарушение условий публичной оферты не осуществил регистрацию доменных имен за истцом (что не доказано истцом в рамках настоящего дела), истец вправе требовать возмещения регистратором убытков, причиненных неисполнением договора, но не признания права пользования доменным именем, зарегистрированным за иным лицом (постановление ФАС Поволжского округа от 28.02.2012 по делу № ­А65-21520/2010).

Второй вид споров по поводу доменных имен связан с их администрированием и его соотношением с правовой защитой товарных знаков. Как свидетельствует практика, подавляющее большинство возникающих споров в области использования доменных имен как раз касается случаев, когда правообладатели товарных знаков, считающие свои исключительные права нарушенными, обращаются в суд с требованием об обязании прекратить администрирование доменного имени, поскольку, по их мнению, это приводит к нарушению их прав.

Согласно ст. 1484 ГК РФ, лицу, на имя которого зарегистрирован товарный знак (правообладателю), принадлежит исключительное право использования товарного знака в соответствии со ст. 1229 ГК РФ любым не противоречащим закону способом (исключительное право на товарный знак). Исключительное право на товарный знак может быть осуществлено для индивидуализации товаров, работ или услуг, в отношении которых товарный знак зарегистрирован, в частности путем размещения товарного знака в Интернете, в том числе в доменном имени и при других способах адресации (подп. 5 п. 2 ст. 1484 ГК РФ). Никто не вправе использовать без разрешения правообладателя сходные с его товарным знаком обозначения в отношении товаров, для индивидуализации которых товарный знак зарегистрирован, или однородных товаров, если в результате такого использования возникнет вероятность смешения (п. 3 ­ст. 1484 ГК РФ).

В соответствии с подп. 2 п. 1 ст. 1252 ГК РФ одним из способов защиты исключительных прав на результаты интеллектуальной деятельности является предъявление требования о пресечении действий, нарушающих право или создающих угрозу его нарушения, к лицу, совершающему такие действия или осуществляющему необходимые приготовления к ним. Статья 10 bis Парижской конвенции по охране промышленной собственности от 20 марта 1883 г. содержит общий запрет недобросовестной конкуренции, под которой, как следует из параграфа 2 этой статьи, понимаются всякие акты, противоречащие честным обычаям в промышленных и торговых делах.

В постановлении от 11.11.2008 по делу № 5560/08 Президиум ВАС РФ указал, что, оценивая действия администратора домена на предмет наличия или отсутствия в его действиях акта недобросовестной конкуренции, запрещенной статьей 10 bis Парижской конвенции по охране промышленной собственности от 20 марта 1883 г., суд проверяет наличие или отсутствие трех критериев в совокупности: доменное имя идентично или сходно до степени смешения с товарным знаком третьего лица; у владельца доменного имени нет каких-либо законных прав и интересов в отношении доменного имени; доменное имя зарегистрировано и используется недобросовестно.

Если у лица, осуществляющего администрирование доменного имени, отсутствуют какие-либо права и законные интересы в отношении него, он не является владельцем одноименного товарного знака, доменное имя не отражает его имени или фирменного наименования, то иск правообладателя одноименного товарного знака о запрете осуществлять администрирование спорного доменного имени подлежит удовлетворению (постановление Президиума ВАС РФ от 18.05.2011 № 18012/10).

При оценке действий администратора доменного имени на предмет соответствия российского законодательства о защите конкуренции следует исследовать, являются ли администратор доменного имени и правообладатель соответствующего товарного знака конкурентами на рынке тех или иных товаров, работ или услуг. Если охраняемое законом средство индивидуализации (товарный знак, фирменное наименование и др.) идентично или сходно до степени смешения с доменным именем, действия по его администрированию доменного имени следует квалифицировать в качестве акта недобросовестной конкуренции, поскольку администратор ­доменного имени в данном случае получает возможность сократить свои затраты на продвижение продукции на рынке ­определенных товаров, что создает ему преимущества в ­предпринимательской деятельности перед конкурентом (­постановление ФАС Северо-Западного ­округа от 15.02.2010 по делу № ­А56-17785/2009).

При разрешении вопроса о нарушении исключительных прав на товарный знак следует оценивать конкретные действия предполагаемого нарушителя, имея в виду, что не всякое использование товарного знака можно квалифицировать в качестве нарушения.

Так, в одном деле окружной суд указал, что размещаемые ответчиком на сайте в Интернете каталоги сами по себе не являются товарами, поскольку не предлагаются к продаже, а представляют информационные ресурсы, то есть совокупность отдельных документов, массивов документов, обычно структурированных в базы данных и используемых определенной информационной системой; размещая товарный знак истца на сайте, ответчик фактически информирует потребителей о наличии журнала истца, дает о нем справку, но не использует товарный знак для рекламы своих товаров и услуг и продвижения себя на рынке как производителя товаров и услуг, в отношении которых истцом зарегистрирован упомянутый товарный знак (постановление ФАС ­Северо-Западного округа от 17.05.2012 по делу № ­А56-21573/2011).

Если регистрация доменного имени не препятствует правообладателю товарного знака использовать его в предпринимательской деятельности по зарегистрированным классам МКТУ, не создает смешения в отношении предприятий, не вводит в заблуждение потребителей и, кроме того, доменное имя и товарный знак используются в различных алфавитах, то в действиях администратора доменного имени отсутствуют признаки нарушения действующего российского законодательства (постановление ФАС Северо-Западного округа от 04.04.2012 по делу № А21-4371/2011).

Третья категория — общегражданские споры. Поскольку права на доменное имя являются имущественными, они подлежат правовой защите на общих основаниях. В одном деле суд установил, что общество использовало свое доменное имя для размещения газеты, для предоставления иным лицам возможности за плату размещать свою информацию, а также для проведения различных коммерческих проектов, в том числе онлайн-конференций. Руководитель общества безвозмездно передал права на доменное имя третьему лицу. Суд в связи с этим, оценив его действия с точки зрения положений п. 1 ст. 44 Федерального закона от 08.02.98 № 14-ФЗ «Об общества с ограниченной ответственностью», посчитал, что они были неразумны и недобросовестны. Приобретатель доменного имени, кроме того, его не использовал. При таких обстоятельствах суд признал недействительной сделку по безвозмездной передаче права на доменное имя на основании ст. 168 ГК РФ как не соответствующую требованиям ст. 10 ГК РФ о недопущении злоупотребления правом (постановление ФАС Поволжского округа от 07.07.2011 по делу № А57-10483/2010).

Администрирование доменного имени и диффамация

Администрирование доменного имени не должно приводить к нарушению прав других лиц, причинять вред их доброму имени, чести, достоинству и деловой репутации. Если в доменном имени используется какая-либо порочащая информация в отношении гражданина или юридического лица, они вправе на основании ст. 152 ГК РФ предъявить требование о защите своей репутации, взыскании компенсации морального или репутационного вреда (для юридических лиц).

Здесь следует иметь в виду, что предметом судебной защиты в порядке ст. 152 ГК РФ могут являться утверждения о фактах, то есть о тех или иных действительных, реальных событиях, действиях, которые могут характеризоваться такими признаками, как конкретность деяния, дата, субъектный состав и которые могут быть проверены на предмет их действительности (п. 7 Постановления Пленума Верховного суда РФ от 24.02.2005 «О судебной практике по делам о защите чести и достоинства граждан, а также деловой репутации граждан и юридичес­ких лиц»).

При рассмотрении одного дела суд отказал Российскому авторскому обществу в удовлетворении требований о защите деловой репутации на основании ст. 152 ГК РФ к администратору домена под названием «antirao». Суд указал, что данное доменное имя представляет собой способ адресации в Интернете и не является утверждением о каких-либо фактах. Сам же по себе факт регистрации указанного доменного имени не может повлечь негативных последствий в виде нарушения деловой репутации РАО (постановление ФАС Мос­ковского округа от 15.04.2010 № КГ-А40 делу № А40-70376/09-27-557).

к сведению

Споры о нарушении администраторами доменных имен исключительных прав на товарные знаки доходят до Президиума ВАС РФ не очень часто. В то же время коллегия судей уже не раз отказывала в передаче споров данной категории на рассмотрение в Президиум, подтверждая выводы кассационной инстанции.

В частности, в Определении от от 22.04.2013 № ВАС-2451/13 по делу № А40-54960/12-51-456 судьи оставили в силе судебный акт о запрете индивидуальному предпринимателю использовать в доменном имени словесный элемент зарегистрированного товарного знака «zavod». Правообладателем товарного знака выступало рекламное агентство, и дата приоритета товарного знака была более ранней по сравнению с датой регистрации доменного имени в Интернете (zavod.ru).

В другом деле ВАС РФ также подтвердил правомерность требований правообладателя о запрете индивидуальному предпринимателю использовать в доменном имени aquapel.ru словесного обозначения, сходного до степени смешения с товарным знаком на автохимию «aquapel» (Определение от 10.04.2013 № ВАС-3958/13 по делу № А41-11307/2012). В этом деле, в отличие от указанного выше, суд первой инстанции в удовлетворении иска отказал, поскольку дата приоритета товарного знака оказалась позже, чем дата регистрации спорного доменного имени. Однако апелляция и кассация пришли к противоположным выводам. При оценке правомерности использования спорного доменного имени суд учитывает не только дату приоритета товарного знака, за защитой которого обратился истец, но и наличие у ответчика — администратора доменного имени — реального интереса в использовании такого имени (например, оно связано с его фирменным наименованием или другим средством индивидуализации). Но в данном деле указанного интереса у ответчика не было.

В пересмотре постановления кассационной инстанции в порядке надзора было отказано и предпринимателю, выступавшему ответчиком по иску Сбербанка, который требовал запретить использование доменных имен sberbank.biz и sberbank.org, очевидно сходных до степени смешения с зарегистрированным за ним товарным знаком (Определение от от 21.02.2013 № ВАС- 1149/13 по делу № А40-140236/10-51-1189).

Контактные данные, которые были указаны при регистрации домена, вносятся в общедоступную базу Whois: ваше имя, адрес, телефон и e-mail доступны для просмотра всем желающим.

Подключение услуги защиты контактных данных обеспечит защиту вашей персональной информации — мы заменим ваши контактные данные в базе Whois на собственные, гарантируя вашу приватность.

Для доменов, зарегистрированных через регистратора R01:

Для доменов, зарегистрированных через регистратора RU-CENTER:

Для доменов, зарегистрированных через регистратора PDR Ltd. d/b/a PublicDomainRegistry.com:

Подключение услуги

Для подключения услуги защиты контактных данных необходимо:

  • Авторизоваться в личном кабинете R01;
  • Зайти в раздел «Международные домены»;
  • Кликнуть на имя домена, в блоке «Инструменты» выбрать «Защита контактных данных»;
  • Сделать заказ на услугу защиты контактных данных.

Услуга предоставляется до окончания срока регистрации доменного имени.

Продление услуги

Продление срока действия услуги возможно в любое время, пока услуга действует. При этом она продлевается на такой же срок, что и регистрация доменного имени.

Для продления защиты контактных данных вместе с услугой регистрации доменного имени необходимо:

  • Авторизоваться в личном кабинете R01;
  • Зайти в раздел «Международные домены»;
  • Кликнуть на имя домена, в блоке «Инструменты» выбрать «Продление»;
  • Выбрать срок продления домена и услуги защиты контактных данных;
  • Выбрать «Продлить услугу защиты контактных данных»;
  • Нажать «Поставить задание в очередь».

Изменение настроек услуги

Открыть контактные данные после подключения услуги можно в настройках домена, повторное скрытие данных до окончания оплаченного периода бесплатно.

Для изменения настроек услуги защиты контактных данных необходимо:

  • Авторизоваться в личном кабинете R01;
  • Зайти в раздел «Международные домены»;
  • Кликнуть на имя домена, в блоке «Инструменты» выбрать «Защита контактных данных»;
  • Выбрать параметры скрытия данных — «Открыть данные» / «Скрывать данные»;
  • Нажать «Сохранить сделанные изменения».

Если выбрать «Открыть данные», в базе Whois появятся контакты, указанные Администратором при регистрации домена, например:

Особенности предоставления услуги

При переносе домена необходимо отключить услугу защиты контактных данных, иначе новый Регистратор не сможет получить e-mail административного контакта Администратора домена для подтверждения операции.

О нарушении Администратором домена, для которого подключена услуга защиты контактных данных, исключительных прав на товарный знак или рассылке спама с данного домена можно сообщить по адресу support@whoisproxy.ru.

Правила оказания услуг по защите контактных данных

Тарифы на услугу для клиентов

Тарифы на услугу для партнеров

В наше время следует уделять большое внимание обеспечению безопасности в своей организации. Если у вас маленькая компания, которая состоит из пяти компьютеров с клиентскими операционными системами без серверной инфраструктуры, то вы можете стать легкой добычей для злоумышленников. В средних и крупных компаниях помимо защиты инфраструктуры при помощи антивирусного программного обеспечения, брандмауэров, шифрования и прочего, целесообразно развертывать серверы защиты доступа к сети. В первой статье, посвященной технологии «Защита доступа к сети» было рассказано о типичных сценариях обеспечения безопасности инфраструктуры организации, а также вкратце было рассмотрено назначение технологии NAP, агентов и политики работоспособности. Помимо этого я указал пять технологий, к которым можно применять политики работоспособности защиты доступа к сети для обеспечения дополнительной защиты компании. Как я уже упомянул в предыдущей статье, защита доступа к сети является платформой для проверки работоспособности систем, предоставляющей двухстороннюю защиту, как для клиентских компьютеров, так и для сети организации, путем обеспечения соответствия подключаемых к сети компьютеров, тем требованиям организации, которые указаны в политиках сети и работоспособности клиента.

Стоит обратить внимание на то, что данная технология впервые появилась в серверной операционной системе Windows Server 2008, а ранее подключения клиентских компьютеров проходили через прокси-серверы или серверные межсетевые экраны лишь с применением определенных портов, соответствующих требованиям безопасности. Но если злоумышленникам удавалось обходить эти меры безопасности, сеть организации могла оказаться под существенной угрозой. Соответственно, серверы NAP позволяют существенно понизить вероятность заражения инфраструктуры безопасности, исходящей от злоумышленников.

Но данную технологию невозможно развернуть в организации, в которой еще не спланирована и не развернута никакая сетевая инфраструктура. Перед тем как развертывать сервера защиты доступа к сети, вам необходимо тщательно спланировать и развернуть такие технологии как доменные службы Active Directory, групповые политики, инфраструктуру открытого ключа, а также протокол Radius (Remote Authentication Dial-In User Service). Разумеется, в зависимости от технологии, к которой должна применяться защита доступа к сети, вам нужно будет спланировать и развертывать другие технологии, такие как DHCP-сервер или серверы удаленных рабочих столов (ранее известные, как терминальные сервера). В этой статье речь пойдет об основных требованиях и решениях, которые необходимо развернуть в организации до развертывания технологии «Защита доступа к сети», а именно, вкратце будут рассмотрены таких технологии как доменные службы Active Directory, групповые политики, инфраструктура открытого ключа, а также протокол RADIUS.

Доменные службы Active Directory

По сути, Active Directory представляет собой распределенную базу данных, которая хранит сведения о сетевых ресурсах, а также данные из приложений, поддерживающих Active Directory. Доменные службы Active Directory целесообразно разворачивать в организациях среднего и крупного бизнеса для обеспечения идентификации, доступа, упрощения управления и аудита пользователями и ресурсами, а также для создания масштабируемой, безопасной и управляемой инфраструктуры. Несмотря на все вышеперечисленное, основным назначением доменных служб Active Directory выступает обеспечение идентификации и доступа для сетей организации. Соответственно, основной задачей идентификации и доступа (Identity and Access, IDA) Active Directory является хранение информации о таких принципалах безопасности как учетные записи пользователей, групп, компьютеров, а также прочих объектов, которые могут принимать какие-либо действия в жизнедеятельности организации. К такой информации может относиться ФИО пользователя, пароль, его отдел, номер телефона, а также идентификатор безопасности (Security Identifier, SID), идентифицирующий учетную запись объекта, устанавливаемый при создании каждой учетной записи.

Для того чтобы пользователю был предоставлен доступ к сети и ресурсам организации, контроллер домена Active Directory требует проходить проверку подлинности объектов идентификации, во время которой необходимо предоставить такую информацию, как имя учетной записи и пароль. После предоставления данных, они будут сравниваться с информацией, которая расположена в самом хранилище объектов идентификации. Например, для того чтобы пользователь из отдела продаж получил доступ к документу маркетингового отдела, расположенного на файловом сервере, ему следует выполнить вход в домен со своей учетной записи и попробовать открыть документ. В это время инфраструктура идентификации и доступа сравнивает объект идентификации пользователя с объектами, предоставленными в списке контроля доступа (Access Control List, ACL) и управляющая им подсистема безопасности определяет, нужно ли предоставить или запретить такому пользователю доступ к объекту, в данном случае, папке с документами. Можно сделать такой вывод, что помимо указанных ранее задач, IDA также управляет доступом к объектам, обеспечивая защиту конфиденциальных данных организации. Файлы данных Active Directory хранятся в файле Ntds.dit, а также журналах транзакций, которые можно найти на контроллере домена в папке %SystemRoot%\NTDS.

Доменные службы Active Directory не являлись бы основополагающей ролью инфраструктуры безопасности, если бы отвечали только за идентификацию и доступ объектов сетей компании. Помимо указанной выше ключевой задачи, Active Directory поддерживает:

  • определенную схему, которая представляет собой набор правил, определяющих классы объектов и атрибуты, содержащиеся в каталоге, а также ограничения, пределы для экземпляров этих объектов, формат их имен и многое другое. Стоит отметить, что все объекты в доменных службах Active Directory считаются экземплярами класса;
  • службы репликации, которые распространяют данные каталогов по сети организации, включая хранилище данных, конфигурации и прочее. Все контроллеры домена в рамках своего домена являются участниками репликации и содержат полную копию всей информации каталога для своего домена;
  • хозяев операций — контроллеры домена, выполняющие определенную роль, которая назначается лишь одному контроллеру домена. Использование операций с единственным мастером предотвращает возникновение конфликтных ситуаций в тех случаях, когда мастер операции отключен. Мастер роли (Flexible Single Master Operation, FSMO) должен быть доступен в то время, когда на уровне домена или леса выполняются зависящие от него действия. Доменные службы Active Directory содержат пять ролей мастеров операций, которые могут быть определены во время установки контроллера домена Active Directory;
  • глобальный каталог (Global Catalog или GC), который представляет собой репозиторий распределенных данных, хранящий неполную реплику только для чтения о каждом объекте, а также облегчает поиск в лесу Active Directory. Глобальный каталог хранится на контроллерах домена, которые назначены в качестве серверов глобального каталога и распространяется посредством репликации с множеством равноправных участников.

Помимо этих возможностей можно отметить такие возможности как делегирование административных полномочий, контроллеры домена с правами только для чтения, доверительные отношения между доменами и многое другое.

Групповая политика

В любой организации системные администраторы обязаны обеспечить своих пользователей и компьютеры своего предприятия безопасными настройками, которыми можно централизовано управлять и развертывать. Обычно в организациях вся конфигурация определяется, обновляется и распространяется непосредственно при помощи объектов групповой политики. Именно объекты групповой политики позволяют вам рационально управлять всей инфраструктурой вашего предприятия, начиная от незначительных подразделений и заканчивая сайтами и доменами.

Групповые политики – это набор правил, обеспечивающих инфраструктуру, в которой администраторы локальных компьютеров и доменных служб Active Directory могут централизовано развертывать и управлять настройками пользователей и компьютеров в организации. Все настройки учетных записей, операционной системы, аудита, системного реестра, параметров безопасности, установки программного обеспечения и прочие параметры развертываются и обновляются в рамках домена при помощи параметров объектов групповой политики GPO (Group Policy Object). Групповые политики являются компонентом операционной системы Windows и основываются на тысячах отдельных параметров политик, иначе говоря, политик, определяющих определённую конфигурацию для своего применения.

В домене Active Directory все объекты групповой политики создаются и управляются при помощи административной оснастки консоли управления Microsoft (ММС) «Управление групповой политикой». Групповая политика в Windows Server 2008 и Windows Server 2008 R2 предусматривает много возможностей, позволяющих снизить стоимость управления компьютерными системами. Параметры политик пользователей и компьютеров объединяются в группы, которые используются на различных уровнях в иерархии Active Directory. С помощью групповой политики, параметры конфигурации можно применять к некоторым или ко всем компьютерам и пользователям в организации.

Оснастка «Управление групповой политикой» представляет собой оснастку консоли управления Microsoft с поддержкой сценариев, предоставляющую административное средство управления групповой политикой в рамках предприятия. Оснастка «Управление групповой политикой» считается стандартным средством управления групповой политикой. Сама инфраструктура групповой политики основана на архитектуре клиент-сервер с компонентами клиента и сервера и включает в себя модуль групповой политики, являющийся основой для обработки общих функциональных параметров административных шаблонов, а также определенных компонентов, создаваемых расширениями клиентской стороны (Client-Side Extension, CSE). Расширения клиентской стороны интерпретируют параметры в объекты групповой политики и вносят соответствующие изменения в конфигурацию компьютера или пользователя. Такие расширения относятся ко всем основным категориям параметров политики. Другими словами, одно расширение клиентской стороны предназначено для установки программного обеспечения, другое – применяет изменения безопасности, третье – обеспечивает автоматическую настройку компьютеров, подключенных к проводной сети и так далее. В разных версиях операционной системы присутствуют конкретные расширения клиентской стороны, причем, с каждой последующей версией Windows функционал групповой политики пополнялся новыми расширениями CSE.

Инфраструктура открытого ключа

Инфраструктура открытого ключа (Public Key Infrastructure, PKI) является самой сложной и требующей максимальной ответственности технологией, связанной с развертыванием серверов защиты доступа к сети. Инфраструктура PKI представляет собой систему цифровых сертификатов, центров сертификации, а также других центров регистрации, предоставляющих всем участникам ключи шифрования и услуги по их аутентификации. Эта инфраструктура основывается на наборе технологий, предоставляющих для организаций возможности использования шифрования на основании открытых ключей, где связанные пары состоят из открытого и закрытого ключа, используемых для шифрования и расшифровки. Такая ситуация, когда требуются два ключа, называется асимметрическим шифрованием. В этом случае, как было замечено ранее, первый ключ является закрытым или секретным, то есть, безопасно сохраняемым пользователем, для которого был выпущен сам цифровой сертификат, а второй ключ – открытый, который будет передаваться другим пользователям и компьютерам. Соответственно, данные, зашифрованные одним ключом, должны расшифровываться только другим ключом. Но, несмотря на то, что для инфраструктуры открытого ключа требуется использование открытого и закрытого ключа, стоит помнить, что в сертификате применяется только открытый ключ, что позволяет ему быть всеобще распределенным и доступным для проверки. А сам секретный ключ хранится лишь на локальном компьютере или в ключе-приложении (в операционных системах Windows, секретные ключи хранятся в профилях пользователей).

Сейчас инфраструктура открытого ключа применяется практически в каждой организации. Сами цифровые сертификаты могут быть использованы для предоставления безопасных коммуникаций на веб-сайтах, для шифрования электронной почты, для защиты беспроводных коммуникаций, файловой системы шифрования, виртуальных частных сетей и многого другого. Вполне очевидно, что для реализации такой сложной технологии в организации необходимо тщательно планировать, развертывать и контролировать такую инфраструктуру. В Windows-системах за реализацию технологии инфраструктуры открытого ключа отвечает служба сертификации Active Directory, которую можно назвать обязательной частью структуры Active Directory, предоставляющей настраиваемые услуги выдачи сертификатов открытого ключа, используемых в программных системах безопасности, применяющих технологии открытых ключей, и управления этими сертификатами.

Для самой инфраструктуры PKI можно выделить несколько основополагающих компонентов:

  • Цифровые сертификаты. Как уже было замечено ранее, это электронные учетные данные, в которых содержится открытый ключ, применяемый при подписи и шифровании данных, а также информация о субъекте, запрашивающем сертификат;
  • Центры сертификации. Компонент инфраструктуры открытого ключа, выдающий сертификаты для пользователей и компьютеров. Следует отметить, что внутри организаций можно использовать как внешние, так и внутренние центры сертификации. Разумеется, если развернуть внутренний центр сертификации при помощи служб сертификации Active Directory, стоимость реализации будет существенно ниже, так как на выдачу каждого сертификата внутри организации не будут израсходованы дополнительные средства;
  • Списки отозванных сертификатов. Список сертификатов, которые были отозваны администратором до окончания их срока действия. Это может быть связано с тем, что сертификат мог оказаться ненадлежащим или скомпрометированным;
  • Шаблоны сертификатов. При помощи созданных заранее шаблонов у вас есть возможность контролировать процесс создания самих сертификатов, автоматически задавая предустановленные характеристики;
  • Хранилища сертификатов. Размещения, в которых сертификации могут выдаваться и храниться в будущем. В данном случае, это служба Active Directory, что является самым подходящим расположением в середе домена для публикации сертификатов, выпускаемых центрами сертификации Windows;
  • Политики сертификатов. Представляют собой документы, описывающие использование центра сертификации и его сертификатов, а также степени доверия. В Windows-среде следует обратить внимание на веб-службы политик регистрации сертификатов, которая дает возможность пользователям и компьютерам получать сведения о политиках регистрации сертификатов, а также позволяет регистрировать сертификаты на основе политик в случае, если клиентский компьютер не является членом домена или член домена не подключен к домену.

Службы сертификации Active Directory включают поддержку всех указанных выше компонентов, а также предоставляют такие возможности как службу сетевого ответчика, принимающую запросы состояния отзыва для конкретных сертификатов, процесса автоматической регистрации сертификатов, архивацию, восстановление ключей и многое другое.

Протокол RADIUS

Сервер политики сети, совместно с технологией «Защита доступа к сети», реализован в соответствии со стандартом RADIUS (Remote Authentication Dial-In User Service). Этот стандарт предназначен для поддержки проверки подлинности, авторизации и учета подключений для разнообразных служб и различных клиентов и серверов доступа, включая доступ к VPN, пользователей беспроводного доступа, подключения между маршрутизаторами и прочее. Настроив Windows Server в качестве RADIUS-сервера, вы можете отконфигурировать различный набор оборудования, например, сети VPN, точки беспроводного и удаленного доступа для пересылки запросов проверки подлинности на RADIUS-сервер. Для проверки подлинности пользователей, в качестве решения для базы данных учетных записей пользователей единого входа, сервер политики сети использует службу каталогов Active Directory. RADIUS-серверу должен быть предоставлен полный доступ к сведениям учетных записей пользователей, так как именно он будет отвечать за проверку подлинности и предоставлять доступ к сети организации. В том случае, если учетные данные авторизирующегося пользователя являются валидными и этот пользователь проходит этап проверки подлинности, RADIUS-сервер авторизует доступ данного пользователя с учетом указанных условий и заносит сведения о подключении в журнал учета.

Для проверки подлинности, авторизации и учета, в инфраструктуру RADIUS-протокола входят следующие компоненты:

  • RADIUS-сервер. RADIUS-сервером называется устройство, предназначенное для получения и последующей обработки запросов проверки подлинности, авторизации и учета, отправляемых RADIUS-клиентами. В свою очередь, для RADIUS-сервера, клиентами могут выступать как серверы доступа, которые являются непосредственно RADIUS-клиентами, так и RADIUS-прокси. На основании созданного заранее набора правил, RADIUS-сервер или выполняет проверку подлинности и авторизацию подключения, или же направляет обратно сообщение отказа в доступе. Помимо центральной службы проверки подлинности и авторизации для запросов на доступ, отправляемых RADIUS-клиентами, RADIUS-сервер также предоставляет центральную службу ведения учета для всех отправляемых запросов на доступ;
  • RADIUS-прокси. RADIUS-прокси представляет собой сервер политики сети или другое устройство, обеспечивающее маршрутизацию RADIUS-сообщений между RADIUS-клиентами и RADIUS-сервером, выполняющим проверку подлинности или другими RADIUS-прокси;
  • RADIUS-клиенты (также называемые «Серверами доступа»). Несмотря на то, что у RADIUS-клиентов название созвучное с клиентскими компьютерами, выполняющими проверку подлинности на RADIUS-сервере, на самом деле это не так. RADIUS-клиентом называются такие серверы сетевого доступа как VPN-сервер, точки беспроводного доступа, серверы удаленного доступа к сети, а также коммутаторы проверки подлинности 802.1Х, которые используют протокол RADIUS для перенаправления на RADIUS-сервер учетных данных пользователя и сведения о параметрах соединения в форме RADIUS-сообщения;
  • Клиенты доступа. Клиентами доступа называются устройства, которые запрашивают доступ определенного уровня. К таким устройствам можно отнести конечных пользователей, которые являются клиентами виртуальной частной сети, беспроводного доступа, удаленного доступа или клиенты сети, подключенные к коммутатору;
  • RADIUS-учет. RADIUS-учет представляет собой базу данных учетных записей пользователей, которая включает в себя список учетных записей пользователей, используемых RADIUS-сервером при проверке учетных данных, содержащих данные для авторизации и сведения о параметрах подключения. Данные учета RADIUS могут храниться в журнале событий, используемом для аудита подключения, записи запросов на проверку подлинности данных в локальном файле или в базе данных Microsoft SQL сервер.

В этой статье было рассказано о технологиях, которые вам предстоит тщательно спланировать и развернуть, перед тем как начать развертывание роли «Службы политики сети и доступа», куда, собственно и входит «Сервер политики сети». Одной из основных технологий является технология доменных служб Active Directory, предназначенная для обеспечения идентификации, доступа, упрощения управления и аудита пользователями и ресурсами. Также вкратце были рассмотрены групповые политики, представляющие собой набор правил, обеспечивающих инфраструктуру, в которой администраторы локальных компьютеров и доменных служб Active Directory могут централизовано развертывать и управлять настройками пользователей и компьютеров в организации, инфраструктура открытого ключа, позволяющая управлять системой цифровых сертификатов, а также протокол RADIUS, предназначенный для поддержки проверки подлинности, авторизации и учета подключений для разнообразных служб и различных клиентов и серверов доступа.