Требования к защите основных операционных систем. Системы безопасности современных ОС

Т А М Б О В С К И Й Г О С У Д А Р С Т В Е Н Н Ы Й

Т Е Х Н И Ч Е С К И Й У Н И В Е Р С И Т Е Т

 

Кафедра «Информационных систем и защиты информации»

 

 

Тема № 7 «Требования к защите основных операционных систем»

Лекция № 12 «Системы безопасности современных ОС»

 

Обсуждено на заседании кафедры

протокол № ____ «____»____________2011 г.

 

 

Тамбов 2011

Цель лекции

Основной учебной целью является формирование представления о моделях безопасности основных операционных систем.

 

Содержание

7.3. Система безопасности ОС Windows NT. 3

7.4. Защита в операционной системе UNIX.. 10

7.5. Защита в операционной системе Novell NetWare. 15

Контрольные вопросы.. 18

 

 

Интеграция Kerberos

Протокол Kerberos полностью интегрирован с системой безопасности и контроля доступа Windows NT. Начальная регистрация в Windows NT обеспечивается процедурой WinLogon, использующей ПФБ Kerberos для получения начального билета TGT. Другие компоненты системы, например, Redirector, применяют интерфейс SSPI к ПФБ Kerberos для получения сеансового билета для удаленного доступа к файлам сервера SMB.

Взаимодействие Kerberos

Протокол Kerberos версии 5 реализован в различных системах и используется для единообразия аутентификации в распределенной сети.

Под взаимодействием Kerberos подразумевается общий протокол, позволяющий учетным записям аутентифицированных пользователей, хранящимся в одной базе осуществлять доступ ко всем сервисам в гетерогенной среде. Взаимодействие Kerberos основывается на следующих характеристиках:

- общий протокол аутентификации пользователя или сервиса по основному имени при сетевом подключении;

- возможность определения доверительных отношений между областями Kerberos и создания ссылочных запросов билетов между областями;

- поддержка определенных в RFC 1510 требований к взаимодействию, относящихся к алгоритмам шифрования и контрольных сумм, взаимной аутентификации и другим возможностям билетов;

- поддержка форматов маркера безопасности Kerberos версии 5 для установления контекста и обмена сообщениями.

Локальная политика безопасности

Локальная политика безопасности регламентирует правила безопасности на локальном компьютере. С ее помощью можно распределить административные роли, конкретизировать привилегии пользователей, назначить правила аудита.

По умолчанию поддерживаются следующие области безопасности:

- политика безопасности – задание различных атрибутов безопасности на локальном и доменном уровнях; так же охватывает некоторые установки на машинном уровне;

- управление группами с ограничениями – позволяет управлять членством в группах, которые, по мнению администратора, «чувствительны» с точки зрения безопасности системы;

- управление правами и привилегиями – позволяет редактировать список пользователей и их специфических прав и привилегий;

- деревья объектов – включают три области защиты: объекты каталога Active Directory, ключи реестра, локальную файловую систему; для каждого объекта в дереве шаблоны безопасности позволяют конфигурировать и анализировать характеристики дескрипторов защиты, включая владельцев объекта, списки контроля доступа и параметры аудита;

- системные службы (сетевые или локальные) — построенные соответствующим образом дают возможность независимым производителям программного обеспечения расширять редактор конфигураций безопасности для устранения специфических проблем.

Конфигурирование безопасности

Для конфигурирования параметров безопасности системы используются шаблоны.

Защита хранимых данных.

Для защиты хранимых данных в составе ОС Unix имеется утилита crypt, которая читает данные со стандартного ввода, шифрует их и направляет на стандартный вывод. Шифрование применяется при необходимости предоставления абсолютного права владения файлом.

Т А М Б О В С К И Й Г О С У Д А Р С Т В Е Н Н Ы Й