Дети в семье, как цветы, за ними нужен уход, но когда они вырастут - вы в убытке не останетесь! © Александр Дьяков 901 - | 742 - или читать все...
Обратная связь Пожаловаться на материал

МОДЕЛИ БЕЗОПАСНОСТИ ОСНОВНЫХ ОПЕРАЦИОННЫХ СИСТЕМ


⇐ ПредыдущаяСтр 14 из 25Следующая ⇒

 

МЕХАНИЗМЫ ЗАЩИТЫ ОПЕРАЦИОННЫХ СИСТЕМ

Операционная система (ОС) есть специально организованная совокупность программ, которая управляет ресурсами системы (ЭВМ, вычислительной системы, других компонентов ИВС) с целью наиболее эффективного их использования и обеспечивает интерфейс пользователя с ресурсами

 

Под механизмами защиты ОС будем понимать все средства и механизмы защиты данных, функционирующие в составе ОС. Операционные системы, в составе которых функционируют средства и механизмы защиты данных, часто называют защищенными системами.

Под безопасностью ОС будем понимать такое состояние ОС, при котором невозможно случайное или преднамеренное нарушение функционирования ОС, а также нарушение безопасности находящихся под управлением ОС ресурсов системы. Укажем следующие особенности ОС, которые позволяют выделить вопросы обеспечения безопасности ОС в особую категорию:

− управление всеми ресурсами системы;

− наличие встроенных механизмов, которые прямо или косвенно влияют на безопасность программ и данных, работающих в среде ОС;

− обеспечение интерфейса пользователя с ресурсами системы;

− размеры и сложность ОС.

Большинство ОС обладают дефектами с точки зрения обеспечения безопасности данных в системе, что обусловлено выполнением задачи обеспечения максимальной доступности системы для пользователя.

Рассмотрим типовые функциональные дефекты ОС, которые могут привести к созданию каналов утечки данных.

1. Идентификация. Каждому ресурсу в системе должно быть присвоено уникальное имя – идентификатор. Во многих системах пользователи не имеют возможности удостовериться в том, что используемые ими ресурсы действительно принадлежат системе.

2. Пароли. Большинство пользователей выбирают простейшие пароли, которые легко подобрать или угадать.

3. Список паролей. Хранение списка паролей в незашифрованном виде дает возможность его компрометации с последующим НСД к данным.

4. Пороговые значения. Для предотвращения попыток несанкционированного входа в систему с помощью подбора пароля необходимо ограничить число таких попыток, что внекоторых ОС не предусмотрено.

5. Подразумеваемое довеpие. Во многих случаях программы ОС считают, что другие программы работают правильно.

6. Общая память. При использовании общей памяти не всегда после выполнения программ очищаются участки оперативной памяти (ОП).

7. Разрыв связи. В случае разрыва связи ОС должна немедленно закончить сеанс работы с пользователем или повторно установить подлинность субъекта.

8. Передача параметров по ссылке, а не по значению (при передаче параметров по ссылке возможно сохранение параметров в ОП после проверки их корректности, нарушитель может изменить эти данные до их использования).

9. Система может содержать много элементов (например, программ), имеющих

различные привилегии.

 

 

СИСТЕМА БЕЗОПАСНОСТИ ОС WINDOWS NT

 

Операционная система Windows NT всегда обладала прекрасными и широко применимыми на практике возможностями защиты. Однократная регистрация в домене Windows NT предоставляет пользователям доступ к ресурсам всей корпоративной сети.

 

Перечислим функции безопасности Windows NT:

− информация о доменных правилах безопасности и учетная информация хранятся в каталоге Active Directory (служба каталогов Active Directory обеспечивает тиражирование и доступность учетной информации на многих контроллерах домена, а также позволяет удаленное администрирование);

− в Active Directory поддерживается иерархичное пространство имен пользователей, групп и учетных записей машин (учетные записи могут быть сгруппированы по организационным единицам);

− административные права на создание и управление группами учетных записей пользователей могут быть делегированы на уровень организационных единиц (возможно установление дифференцированных прав доступа к отдельным свойствам пользовательских объектов);

− тиражирование Active Directory позволяет изменять учетную информацию на любом контроллере домена, а не только на первичном (копии Active Directory, хранящиеся на других контроллерах домена, обновляются и синхронизируются автоматически);

− доменная модель изменена и использует Active Directory для поддержки многоуровневого дерева доменов (управление доверительными отношениями между доменами упрощено в пределах всего дерева доменов);

− в систему безопасности включены новые механизмы аутентификации, такие как Kerberos v5 и TLS (Transport Layer Security), базирующиеся на стандартах безопасности Интернета;

− протоколы защищенных каналов (SSL 3.0/TLS) обеспечивают поддержку надежной аутентификации клиента (осуществляется сопо-ставление мандатов пользователей в форме сертификатов открытых ключей с существующими учетными записями Windows NT);

− дополнительно к регистрации посредством ввода пароля может поддерживаться аутентификация с использованием смарт-карт.

 

Модель безопасности Windows NT обеспечивает однородный и унифицированный механизм контроля за доступом к ресурсам домена на основе членства в группах. Компоненты безопасности Windows NT доверяют хранимой в каталоге информации о защите.

Например, сервис аутентификации Windows NT хранит зашифрованные пароли пользователей в безопасной части каталога объектов пользователя. По умолчанию операционная система «считает», что правила безопасности защищены и не могут быть изменены кем-либо несанкционированно. Общая политика безопасности домена также хранится в каталоге Active Directory.

Делегирование административных полномочий – гибкий инструмент ограничения административной деятельности рамками части домена. Этот метод позволяет предоставить отдельным сотрудникам возможность управления пользователями или группами в заданных пределах и, в то же время, не дает им прав на управление учетными записями, относящимися к другим подразделениям.

Права на определение новых пользователей или создание групп пользователей делегируются на уровне OU или контейнера, в котором создана учетная запись.

 

 

Существует три способа делегирования административных полномочий:

1) на изменение свойств определенного контейнера, например, LocalDomainPolicies самого домена;

2) на создание и удаление дочерних объектов определенного типа (пользователи, группы, принтеры и пр.) внутри OU;

3) на обновление определенных свойств некоторых дочерних объектов внутри OU (например, право устанавливать пароль для объектов типа User).

Делегировать полномочия просто. Достаточно выбрать лицо, которому будут делегированы полномочия, и указать, какие именно полномочия передаются. Интерфейс программы администрирования Active Directory позволяет без затруднений просматривать информацию о делегировании, определенную для контейнеров.

Наследование прав доступа означает, что информация об управлении доступом, определенная в высших слоях контейнеров в каталоге, распространяется ниже – на вложенные контейнеры и объекты-листья. Существуют две модели наследования прав доступа:

динамическая и статическая. При динамическом наследовании права определяются путем оценки разрешений на доступ, назначенных непосредственно для объекта, а такжедля всех родительских объектов в каталоге. Это позволяет эффективно управлять доступом к части дерева каталога, внося изменения в контейнер, влияющий на все вложенные контейнеры и объекты-листья. Обратная сторона такой гибкости – недостаточно высокая производительность из-за времени определения эффективных прав доступа при запросе пользователя.

В Windows NT реализована статическая форма наследования прав доступа, иногда также называемая наследованием в момент создания. Информация об управлении доступом к контейнеру распространяется на все вложенные объекты контейнера. При созданиинового объекта наследуемые права сливаются с правами доступа, назначаемыми по умолчанию. Любые изменения наследуемых прав доступа, выполняемые в дальнейшем на высших уровнях дерева, должны распространяться на все дочерние объекты. Новые наследуемые права доступа распространяются на объекты Active Directory в соответствиис тем, как эти новые права определены. Статическая модель наследования позволяет увеличить производительность.

Элементы безопасности системы. Далее будут рассмотрены вопросы реализации политики безопасности: управлению учетными записями пользователей и групп, исполнению и делегированию административных функций.

Учетные записи пользователей и групп. Любой пользователь Windows NT характеризуется определенной учетной записью. Под учетной записью понимается совокупность прав и дополнительных параметров, ассоциированных с определенным пользователем.

Кроме того, пользователь принадлежит к одной или нескольким группам. Принадлеж ность к группе позволяет быстро и эффективно назначать права доступа и полномочия.

 

К встроенным учетным записям пользователей относятся:

• Guest – учетная запись, фиксирующая минимальные привилегии гостя;

• Administrator – встроенная учетная запись для пользователей, наделенных максимальными привилегиями.

Кроме них имеются скрытые встроенные учетные записи:

• System – учетная запись, используемая операционной системой;

• Creator owner – создатель (файла или каталога).

Перечислим встроенные группы:

• локальные (Account operators; Administrators; Backup operators; Guests; Print operators; Replicator; Server operators; Users);

• глобальные (Domain guests – гости домена; Domain Users – пользователи домена; Domain Admins – администраторы домена).

Помимо этих встроенных групп имеется еще ряд специальных групп:

• Everyone – в эту группу по умолчанию включаются вообще все пользователи в системе;

• Authenticated users – в эту группу включаются только аутентифицированные поль-

зователи домена;

• Self – сам объект.

Для просмотра и модификации свойств учетной записи достаточно щелкнуть имя пользователя или группы и на экране появится диалоговое окно User Properties.

• General – общее описание пользователя;

• Address – домашний и рабочий адрес пользователя;

• Account – обязательные параметры учетной записи;

• Telephone/notes – необязательные параметры;

• Organization – дополнительные необязательные сведения;

• Membership – обязательная информация о принадлежности пользователя к груп-

пам;

• Dial-in – параметры удаленного доступа;

• Object – идентификационные сведения о пользовательском объекте;

• Security – информация о защите объекта.

Локальная политика безопасности – регламентирует правила безопасности на локальном компьютере. С ее помощью можно распределить административные роли, конкретизировать привилегии пользователей, назначить правила аудита.

По умолчанию поддерживаются следующие области безопасности:

• политика безопасности – задание различных атрибутов безопасности на локальном и доменном уровнях; так же охватывает некоторые установки на машинном уровне;

• управление группами с ограничениями – позволяет управлять членством в группах, которые, по мнению администратора, «чувствительны» с точки зрения безопасности системы;

• управление правами и привилегиями – позволяет редактировать список пользователей и их специфических прав и привилегий;

• деревья объектов – включают три области защиты: объекты каталога Active Directory, ключи реестра, локальную файловую систему; для каждого объекта в дереве шаблоны безопасности позволяют конфигурировать и анализировать характеристики дескрипторов защиты, включая владельцев объекта, списки контроля доступа и параметры аудита;

• системные службы (сетевые или локальные) – построенные соответствующим образом дают возможность независимым производителям программного обеспечения расширять редактор конфигураций безопасности для устранения специфических проблем.

Конфигурирование безопасности. Для конфигурирования параметров безопасностисистемы используются шаблоны.

Управление доступом к реестру. Реестр – это дерево объектов. Доступ к каждому объекту в дереве должен быть регламентирован. Выбрав в окне обзорного просмотра ветвь, соответствующую шаблону Custom, щелкните папку Registry. В правой части окна появится список ветвей реестра, доступ к которым можно ограничивать. В шаблоне, поставляемом с редактором, приведена ветвь MACHINE\HARDWARE, которую надо истолковывать как HKEY_LOCAL_MACHINE\Hardware. Чтобы добавить к дереву новые ветви, их надо в явном виде прописать в шаблоне с помощью любого текстового редактора. Для разграничения доступа к выбранной ветви реестра дважды щелкните ее имя и укажите нужный тип доступа и имя соответствующей учетной записи. Изменения будут занесены в шаблон.

 

Дата добавления: 2018-05-12; просмотров: 2395; Мы поможем в написании вашей работы!

Поделиться с друзьями:


⇐ Предыдущая9101112131415161718Следующая ⇒


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.022)