Безопасность Windows. Ролевой доступ. Привилегии.
Ролевая модель. В системе есть по меньшей мере 1 пользователь администратор с неограниченными правами, а также множество пользователей объединенных в группы. Цель системы защиты – следить за тем кто и к каким объектам осуществляет доступ. Хранится вся инфа, относящаяся к безопасности для пользователей, объектов и субъектов. Обеспечивается единообразие контроля доступа к различным объектам за счет связанного с каждым объектом дескриптора защиты.
В Windows реализовано управление доверительными отношениями, требующими поддержки набора разных типов учетных записей для разных уровней работы. В системе есть управление привилегированным доступом. В соответствии со своей ролью юзер обладает привилегиями на выполнение разных операций, а также право на выполнение действий с объектами (разрешения). У каждой привилегии два текстовых имени: дружественное и программное. Еще есть внутр номер привилегии в системе Local User Identificator. Даже админ обладает не всеми привилегиями по умолчанию. Назначение и отзыв привилегий выполняет подсистема локальной авторизации LSA.
Безоп Windows. Аудит. Защита от повт использования.
Осн. инструмент для обнаружения попыток взлома – запись данных аудита. Определение действия юзеров заносятся в протокол. Аудит – запись разных событий в ОС. Для назначения аудита событий, связанных с определенным объектом, надо заполнить SACL в дескрипторе безопасности данных объекта.
|
|
|
Перед определением нового юзера все объекты (память, особенно) должны быть проинициализированы. Это делается для предотвращения незаконных попыток получения инфы, остатки кот. могли сохраниться в объектах, ранее использовавшихся др. юзером и уже освободившихся. Если процессу понадобилась свободная страница памяти, то она может быть выделена только из списка обнуленных страниц. Иначе выбирается одна из простаивающих страниц и обнуляется.
Безоп Windows. Защит от внеш навяз-я. Маркер доступа.
К внешнему навязыванию отнесем модификацию нагруженной ОС или изменение системных файлов. В Windows есть средства защиты файлов (Windows File Protection), защищающие сист. файлы даже от изменений со стороны админа. Защищаются все поставляющиеся с Windows файлы *.sys, *.dll, *.exe, *.ocх.
Маркер доступа создается при входе юзеров в ОС, связывается с оболочкой Explorer'а. Запущенные впоследствии процессы получают дуплексы это маркера. Создаестя при помощи службы LSASS. Windows поддерживает механизмы создания маркеров ограниченными привилегиями и механизм заимствования маркеров. Т.к. из маркера нельзя удалить привилегию, то с помощью функции подсистемы LSA можно включить или выключить привилегии. Механизм заимствования позволяет выполнять часть кода с маркером, отличным от маркера данного процесса (текущего юзера).
|
|
|
Реализация ФС в OC Windows. Структура MFT.
В ОС Windows ФС интегрирована в систему вв/выв и реализована в виде драйвера. Файловая система - это часть операционной системы, назначение которой состоит в том, чтобы организовать эффективную работу с данными, хранящимися во внешней памяти, и обеспечить пользователю удобный интерфейс при работе с такими данными. Обычно хранение файла организовано на устройстве прямого доступа в виде набора блоков фиксированного размера. Основная задача подсистемы управления файлами - связать символьное имя файла с блоками диска, которые содержат данные файла.
В файловой системе NTFS запись о файле в каталоге сопоставляется с записью о файле в главной файловой таблице диска - MFT (master file table), которая содержит информацию о расположении данных файла. MFT - представляет собой обычный файл, содержащий до 2в степени48 записей размером 1 Кб каждая. Каждому файлу или каталогу соответствует одна запись. Таблица MFT может располагаться в любом месте диска. В состав каждой записи входит заголовок и последовательность пар <заголовок атрибута, значение>. Если атрибут целиком помещается в записи MFT, он считается резидентным. В противном случае атрибут помещается в отдельные блоки диска, а в заголовке атрибута хранится информация о его местонахождении. Чаще данные файла все же не помещаются в записи MFT. В этом случае вслед за заголовком в записи размещается список дисковых блоков файла.
Дата добавления: 2018-05-31; просмотров: 332; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!