Тема 9. Защита информационно-программного обеспечения на уровне операционных систем.

При организации защиты программ особое внимание должно уделяться защите общесистемных компонентов программного обеспечения и, прежде всего, — операционных систем, систем управления базами данных и программ сетевых протоколов.

Вавтоматизированной системе выделяется специальный компонент, называемый ядром системы безопасности.

Комплекс ядра системы безопасности должен выполнять следующие функции:

· загрузка программ защиты;

· контроль своевременности и надежности, уничтожения остаточной информации, т.е. данных, содержащихся на полях ЗУ, после выполнения задания;

· проверка условий разрешения доступа;

· проверка распределения и использования паролей и кодов;

· включение терминалов пользователей в число работающих и выключение их из этого числа после завершения работы или после обнаружения несанкционированной деятельности;

· создание и ведение массивов данных и полномочий пользователей;

· текущий контроль использования данных о полномочиях пользователей;

· некоторые вспомогательные функции.

Основными функциями ядра системы безопасности являются контроль, регистрация, уничтожение и сигнализация.

Программы контроля

Основное назначение программы контроля состоит в контроле состояния основных компонентов механизма защиты, соблюдение правил использования защищаемых данных и соблюдение правил использования механизма защиты.

Контроль состояния компонентов механизма защиты заключается в проверке их исправности и способности выполнять свои функции. В простейшем случае программы контроля представляют собой обычные диагностические программы, с помощью которых проверяется работоспособность технических и программных средств защиты. В развитых вариантах для контроля разрабатывается специальный пакет программ.

Под регистрацией в современных системах обеспечения безопасности информации понимают совокупность средств и методов, используемых для регулярного сбора, фиксации, обработки выдачи сведений о всех запросах, содержащих обращение к защищаемым данным. Наиболее распространенной формой регистрации является программное ведение специальных регистрационных журналов. В регистрационном журнале рекомендуется фиксировать время поступления запроса, имя терминала, с которого поступил запрос, и т.п. события. Однако, если не принять специальных мер, то при систематическом сборе остаточной информации из журналов можно непосредственно получить защищаемую информацию, а считав пароли, можно замаскироваться под зарегистрированного пользователя и получить несанкционированный доступ к данным в соответствии с его полномочиями. Поэтому надежная ЗИ невозможна без принятия мер для своевременного уничтожения остаточной информации. Такое уничтожение может быть надежно осуществлено двух-, трехкратной записью в соответствующих областях памяти произвольной комбинацией нулей и единиц.

Под аварийным уничтожением информации понимают такое ее уничтожение, которое осуществляется по специальным командам в тех случаях, когда обнаруживается неотвратимая опасность несанкционированного доступа. Осуществляется оно программными средствами путем посылки в соответствующие области памяти комбинаций нулей и единиц.

Программы сигнализации предназначены, с одной стороны, для предупреждения пользователей о необходимости соблюдать предосторожности при работе с секретными данными, а, с другой, — для своевременного предупреждения специалистов службы безопасности, администрации и пользователей АС о несанкционированных действиях.

Первый вид сигнализации осуществляется путем автоматического формирования и присвоения специального признака (грифа секретности) всем выдаваемым на печать или устройство отображения документам, содержащим защищаемую информацию.

Второй вид сигнализации осуществляется путем формирования и выдачи (подачи) службе безопасности, администрации и пользователям АС специальных сигналов обнаружения попыток несанкционированных действий, следствием которых может быть несанкционированный доступ к защищаемой информации.

На сегодняшний день большинство программных продуктов, приме­няющихся для построения информационных систем, обладают встроенными средствами защиты.

Операционная система есть специально организованная совокупность программ, которая управляет ресурсами системы (ЭВМ, вычислительной системы, других компонентов ИВС) с целью наиболее эффективного их использования и обеспечи­вает интерфейс пользователя с ресурсами.

ОС первого поколения были направлены на ускорение и упрощение перехода с одной задачи пользователя на другую задачу (другого пользователя), что поставило проблему обеспечения безопасности данных, принадлежащих разным задачам.

Второе поколение ОС характеризовалось наращиванием программных средств обеспечения операций ввода-вывода и стандартизацией обработки прерываний. Надежное обеспечение безопасности данных в целом осталось нерешенной про­блемой.

К концу 60-х гг. ХХ в. начал осуществляться переход к мультипроцессорной организации средств ВТ, поэтому пробле­мы распределения ресурсов и их защиты стали более острыми и трудноразрешимыми. Решение этих проблем привело к со­ответствующей организации ОС и широкому применению аппаратных средств защиты (защита памяти, аппаратный кон­троль, диагностика и т.п.).

Основной тенденцией развития вычислительной техники была и остается идея максимальной доступности ее для пользо­вателей, что входит в противоречие с требованием обеспечения безопасности данных.

Под механизмами защиты ОС будем понимать все средства и механизмы защиты данных, функционирующие в соста­ве ОС. Операционные системы, в составе которых функционируют средства и механизмы защиты данных, часто называют защищенными системами.

Под безопасностью ОС будем понимать такое состояние ОС, при котором невозможно случайное или преднамеренное нарушение функционирования ОС, а также нарушение безопасности находящихся под управлением ОС ресурсов системы. Укажем следующие особенности ОС, которые позволяют выделить вопросы обеспечения безопасности ОС в особую катего­рию:

· управление всеми ресурсами системы;

· наличие встроенных механизмов, которые прямо или косвенно влияют на безопасность программ и данных, рабо­тающих в среде ОС;

· обеспечение интерфейса пользователя с ресурсами системы;

· размеры и сложность ОС.

Большинство ОС обладают дефектами с точки зрения обеспечения безопасности данных в системе, что обусловлено выполнением задачи обеспечения максимальной доступности системы для пользователя.

Рассмотрим типовые функциональные дефекты ОС, которые могут привести к созданию каналов утечки данных.

Идентификация. Каждому ресурсу в системе должно быть присвоено уникальное имя - идентификатор. Во многих системах пользователи не имеют возможности удостовериться в том, что используемые ими ресурсы действительно принад­лежат системе.

Пароли. Большинство пользователей выбирают простейшие пароли, которые легко подобрать или угадать.

Список паролей. Хранение списка паролей в незашифрованном виде дает возможность его компрометации с после­дующим НСД к данным.

Пороговые значения. Для предотвращения попыток несанкционированного входа в систему с помощью подбора па­роля необходимо ограничить число таких попыток, что в некоторых ОС не предусмотрено.

Подразумеваемое доверие. Во многих случаях программы ОС считают, что другие программы работают правильно.

Общая память. При использовании общей памяти не всегда после выполнения программ очищаются участки опера­тивной памяти (ОП).

Разрыв связи. В случае разрыва связи ОС должна немедленно закончить сеанс работы с пользователем или повтор­но установить подлинность субъекта.

Передача параметров по ссылке, а не по значению (при передаче параметров по ссылке возможно сохранение па­раметров в ОП после проверки их корректности, нарушитель может изменить эти данные до их использования).

Система может содержать много элементов (например, программ), имеющих различные привилегии.

Основной проблемой обеспечения безопасности ОС является проблема создания механизмов контроля доступа к ресур­сам системы. Процедура контроля доступа заключается в проверке соответствия запроса субъекта предоставленным ему правам доступа к ресурсам. Кроме того, ОС содержит вспомогательные средства защиты, такие как средства мониторинга, профилактического контроля и аудита. В совокупности механизмы контроля доступа и вспомогательные средства защиты образуют механизмы управления доступом.

Средства профилактического контроля необходимы для отстранения пользователя от непосредственного выполнения критичных с точки зрения безопасности данных операций и передачи этих операций под контроль ОС. Для обеспечения безопасности данных работа с ресурсами системы осуществляется с помощью специальных программ ОС, доступ к которым ограничен.

Средства мониторинга осуществляют постоянное ведение регистрационного журнала, в который заносятся записи о всех событиях в системе. В ОС могут использоваться средства сигнализации о НСД, которые используются при обнаруже­нии нарушения безопасности данных или попыток нарушения.

Контроль доступа к данным. При создании механизмов контроля доступа необходимо, прежде всего, определить множества субъектов и объектов доступа. Субъектами могут быть, например, пользователи, задания, процессы и процедуры. Объектами - файлы, программы, семафоры, директории, терминалы, каналы связи, устройства, блоки ОП и т. д. Субъекты могут одновременно рассматриваться и как объекты, поэтому у субъекта могут быть права на доступ к другому субъекту. В конкретном процессе в данный момент времени субъекты являются активными элементами, а объекты - пассивными.

Для осуществления доступа к объекту субъект должен обладать соответствующими полномочиями. Полномочие есть некий символ, обладание которым дает субъекту определенные права доступа по отношению к объекту, область защиты оп­ределяет права доступа некоторого субъекта ко множеству защищаемых объектов и представляет собой совокупность всех полномочий данного субъекта.

С традиционной точки зрения средства управления доступом позволяют специфицировать и контролировать действия, которые субъекты (пользователи и процессы) могут выполнять над объектами (информацией и другими компьютерными ресурсами). В данном разделе речь пойдет о логическом управлении доступом, которое, в отличие от физического, реализу­ется программными средствами. Логическое управление доступом - это основной механизм многопользовательских систем, призванный обеспечить конфиденциальность и целостность объектов и, до некоторой степени, их доступность (путем за­прещения обслуживания неавторизованных пользователей).Для операционной системы к объектам относятся файлы, устройства и процессы. Применительно к файлам и устройствам обычно рассматриваются права на чтение, запись, выполнение (для программных файлов), иногда на удаление и добавление. Отдельным правом может быть возможность передачи полномочий доступа другим субъектам (так называемое право владения). Процессы можно создавать и уничтожать. Для систем управления реляционными базами данных объект - это база данных, таблица, представление, хранимая процедура. К таблицам применимы операции поиска, добавления, модификации и удаления данных, у других объектов.

Списки доступа - исключительно гибкое средство. С их помощью легко выполнить требование об избирательности прав с точностью до пользователя. Посредством списков несложно добавить права или явным образом запретить доступ (например, чтобы наказать нескольких членов группы пользователей). Безусловно, списки являются лучшим средством произвольного управления доступом.

Подавляющее большинство операционных систем и систем управления базами данных реализуют именно произвольное управление доступом. Основное достоинство произвольного управления - гибкость. К сожалению, у "произвольного" под­хода есть ряд недостатков. Рассредоточенность управления доступом ведет к тому, что доверенными должны быть многие пользователи, а не только системные операторы или администраторы. Из-за рассеянности или некомпетентности сотрудни­ка, владеющего секретной информацией, эту информацию могут узнать и все остальные пользователи. Следовательно, про­извольность управления должна быть дополнена жестким контролем за реализацией избранной политики безопасности.

Второй недостаток, который представляется основным, состоит в том, что права доступа существуют отдельно от дан­ных. Ничто не мешает пользователю, имеющему доступ к секретной информации, записать ее в доступный всем файл или заменить полезную утилиту ее "троянским" аналогом. Подобная "разделенность" прав и данных существенно осложняет проведение несколькими системами согласованной политики безопасности и, главное, делает практически невозможным эффективный контроль согласованности.

Удобной надстройкой над средствами логического управления доступом является ограничивающий интерфейс, когда пользователя лишают самой возможности попытаться совершить несанкционированные действия, включив в число видимых ему объектов только те, к которым он имеет доступ. Подобный подход обычно реализуют в рамках системы меню (пользо­вателю показывают лишь допустимые варианты выбора) или посредством ограничивающих оболочек, таких как restricted shell в ОС Unix.

При принятии решения о предоставлении доступа обычно анализируется следующая информация:

· идентификатор субъекта (идентификатор пользователя, сетевой адрес компьютера и т.п.). Подобные идентификато­ры являются основой произвольного (или дискреционного) управления доступом;

· атрибуты субъекта (метка безопасности, группа пользователя и т.п.). Метки безопасности - основа мандатного управления доступом.

Непосредственное управление правами доступа осуществляется на основе одной из моделей доступа:

· матричной модели доступа (модель Харрисона-Руззо-Ульмана);

· многоуровневой модели доступа (модель Белла-Лападулы).

Разработка и практическая реализация различных защищенных ОС привела Харрисона, Руззо и Ульмана к построению формальной модели защищенных систем.

 

Основные защитные механизмы ОС семейства Windows

Теперь кратко остановимся на основных механизмах защиты, реализованных в ОС семейства Windows, и проведем ана­лиз защищенности ОС семейства Windows. Отметим, что здесь ряд объектов доступа (в частности, устройства, реестр ОС и т.д.) не являются объектами файловой системы. Поэтому возникает вопрос, как следует трактовать требование "Система защиты должна контролировать доступ наименованных субъектов (пользователей) к наименованным объектам (файлам, программам, томам и т.д.)". Не ясно, являются ли объектами доступа, к которым, следуя формальным требованиям, необходимо разграничивать доступ пользователей, например, реестр ОС и т.д.

ЯдроОС— центральная часть операционной системы, обеспечивающая приложениям координированный доступ к ресурсам компьютера, таким как процессорное время, оперативная память, внешнее оборудование. Обычно предоставляет сервисы файловой системы. Ядро ОС Windows состоит из двух основных частей: управления процессами и управления устройствами. Управление про­цессами резервирует ресурсы, определяет последовательность выполнения процессов и принимает запросы на обслуживание. Управление устройствами контролирует передачу данных между ОП и периферийными устройствами.

В отличие от семейства ОС Unix, где все задачи разграничительной политики доступа к ресурсам решаются средствами управления доступом к объектам файловой системы, доступ в данных ОС разграничивается собственным механизмом для каждого ресурса. Другими словами, при рассмотрении механизмов защиты ОС Windows встает задача определения и зада­ния требований к полноте разграничений (это определяется тем, что считать объектом доступа).

Основными механизмами защиты являются:

1. идентификация и аутентификация пользователя при входе в систему;

2. разграничение прав доступа к ресурсам, в основе которого лежит реализация дискреционной модели доступа (от­дельно к объектам файловой системы, к устройствам, к реестру ОС, к принтерам и др.);

3. аудит, т. е. регистрация событий.

Здесь явно выделяются (в лучшую сторону) возможности разграничений прав доступа к файловым объектам (для NTFS) - существенно расширены атрибуты доступа, устанавливаемые на различные иерархические объекты файловой сис­темы (логические диски, каталоги, файлы). В частности, атрибут "исполнение" может устанавливаться и на каталог, тогда он наследуется соответствующими файлами.

При этом существенно ограничены возможности управления доступом к другим защищаемым ресурсам, в частности, к устройствам ввода. Например, здесь отсутствует атрибут "исполнение", т.е. невозможно запретить запуск несанкциониро­ванной программы с устройств ввода.

Принципиальные недостатки защитных механизмов ОС семейства Windows

 

Прежде всего рассмот­рим принципиальные недостатки защиты ОС семейства Windows, напрямую связанные с возможностью НСД к информации. При этом в отличие от ОС семейства Unix в ОС Windows невозможна в общем случае реализация централизованной схемы администрирования механизмов защиты или соответствующих формализованных требований. Связано это с тем, что в ОС Windows принята иная концепция реализации раз­граничительной политики доступа к ресурсам (для NTFS).

В рамках этой концепции разграничения для файла приоритетнее, чем для каталога, а в общем случае - разграничения для включаемого файлового объекта приоритетнее, чем для включающего. Это приводит к тому, что пользователь, создавая файл и являясь его "владельцем", может назначить любые атрибуты доступа к такому файлу (т.е. разрешить к нему доступ любому иному пользователю). Обратиться к этому файлу может пользователь (которому назначил права доступа "владелец") вне зависимости от установленных администратором атрибутов доступа на каталог, в котором пользователь создает файл. Данная проблема непосредственно связана с реализуемой в ОС Windows концепцией защиты информации.

Далее, в ОС семейства Windows не в полном объеме реализуется дискреционная модель доступа, в част­ности, не могут разграничиваться права доступа для пользователя "Система". В ОС присутствуют не только пользователь­ские, но и системные процессы, которые запускаются непосредственно системой. При этом доступ системных процессов не может быть разграничен. Соответственно, все запускаемые системные процессы имеют неограниченный доступ к защищае­мым ресурсам. С этим недостатком системы защиты связано множество атак, в частности, несанкционированный запуск собственного процесса с правами системного. Кстати, это возможно и вследствие некорректной реализации механизма обес­печения замкнутости программной среды.

В ОС семейства Windows (NT/2000/XP/7) невозможно в общем случае обеспечить замкнутость (или целостность) про­граммной среды. Это связано совершено с иными проблемами, чем в ОС семейства Unix, в которых невозможно установить атрибут "исполнение" на каталог. Для выяснения сложности данного вопроса рассмотрим два способа, которыми в общем случае можно реализовать данный механизм, причем оба способа несостоятельны. Итак, механизм замкнутости программ­ной среды в общем случае может быть обеспечен:

- заданием списка разрешенных к запуску процессов с предоставлением возможности пользователям запускать про­цессы только из этого списка. При этом процессы задаются полнопутевыми именами, причем средствами разграничения доступа обеспечивается невозможность их модернизации пользователем. Данный подход просто не реализуется встроенны­ми в ОС механизмами;

- разрешением запуска пользователями программ только из заданных каталогов при невозможности модернизации этих каталогов. Одним из условий корректной реализации данного подхода является запрет пользователям запуска программ иначе, чем из соответствующих каталогов. Некорректность реализации ОС Windows данного подхода связана с невозможно­стью установки атрибута "исполнение" на устройства ввода (дисковод или CD-ROM). В связи с этим при разграничении дос­тупа пользователь может запустить несанкционированную программу с дискеты, либо с диска CD-ROM (очень распростра­ненная атака на ОС данного семейства).

т.е. реализации механизма, обеспечивающего возможность пользователям запускать только санкционированные процессы (программы) действия поль­зователя по запуску процесса могут быть как явными, так и скрытыми.

Явные действия предполагают запуск процессов (исполняемых файлов), которые однозначно идентифицируются своим именем. Скрытые действия позволяют осуществлять встроенные в приложения интерпретаторы команд. Примером таковых мо­гут служить офисные приложения. При этом скрытыми действиями пользователя будет запуск макроса.

В данном случае идентификации подлежит лишь собственно приложение, например, процесс winword.exe. При этом он может помимо своих регламентированных действий выполнять те скрытые действия, которые задаются макросом (соответ­ственно, те, которые допускаются интерпретатором), хранящимся в открываемом документе. То же относится и к любой виртуальной машине, содержащей встроенный интерпретатор команд. При этом отметим, что при использовании приложе­ний, имеющих встроенные интерпретаторы команд (в том числе офисных приложений), не в полном объеме обеспечивается выполнение требования по идентификации программ.

Возвращаясь к обсуждению недостатков, отметим, что в ОС семейства Windows (NT/2000/XP) невозможно встроенны­ми средствами гарантированно удалять остаточную информацию. В системе просто отсутствуют соответствующие механиз­мы.

Кроме того, ОС семейства Windows (NT/2000/XP) не обладают в полном объеме возможностью контроля целостности файловой системы. Встроенные механизмы системы позволяют контролировать только собственные системные файлы, не обеспечивая контроль целостности файлов пользователя. Кроме того, они не решают важнейшую задачу данных механизмов - контроль целостности программ (приложений) перед их запуском, контроль файлов данных пользователя и др.

Что касается регистрации (аудита), то в ОС семейства Windows (NT/2000/XP) не обеспечивается регистрация выдачи документов на "твердую копию", а также некоторые другие требования к регистрации событий.

Опять же, если трактовать требования к управлению доступом в общем случае, то при защите компьютера в составе ЛВС необходимо управление доступом к узлам сети (распределенный пакетный фильтр). В ОС семейства Windows (NT/2000/XP) механизм управления доступа к узлам в полном объеме не реализуется.

Что касается разделяемых сетевых ресурсов, то фильтрации подвергается только входящий доступ к разделяемому ре­сурсу, а запрос доступа на компьютере, с которого он осуществляется, фильтрации не подлежит. Это принципиально, так как не могут подлежать фильтрации приложения, которыми пользователь осуществляет доступ к разделяемым ресурсам. Благо­даря этому, очень распространенными являются атаки на протокол NETBIOS.

Кроме того, в полном объеме управлять доступом к разделяемым ресурсам возможно только при установленной на всех компьютерах ЛВС файловой системы NTFS. В противном случае невозможно запретить запуск несанкционированной про­граммы с удаленного компьютера, т.е. обеспечить замкнутость программной среды в этой части.

Из приведенного анализа можно видеть, что многие механизмы, необходимые с точки зрения выполнения формализо­ванных требований, ОС семейства Windows не реализуют в принципе, либо реализуют лишь частично.

С учетом сказанного можем сделать важный вывод относительно того, что большинством современных универсальных ОС не выполняются в полном объеме требования к защите АС по классу 1Г. Это значит, что, учитывая требования норма­тивных документов, они не могут без использования добавочных средств защиты применяться для защиты даже конфиден­циальной информации. При этом следует отметить, что основные проблемы защиты здесь вызваны не невыполнимостью ОС требований к отдельным механизмам защиты, а принципиальными причинами, обусловленными реализуемой в ОС концеп­цией защиты. Концепция эта основана на реализации распределенной схемы администрирования механизмов защиты, что само по себе является невыполнением формализованных требований к основным механизмам защиты.

 

Система безопасности операционной системы Windows NT

Операционная система Windows NT всегда обладала прекрасными и широко применимыми на практике возможностями защиты. Однократная регистрация в домене Windows NT предоставляет пользователям доступ к ресурсам всей корпоратив­ной сети.

Полноценный набор инструментов Windows NT Server облегчает администраторам управление системой защиты и ее поддержку. Например, администратор может контролировать круг пользователей, имеющих права доступа к сетевым ресур­сам: файлам, каталогам, серверам, принтерам и приложениям. Учетными записями пользователей и правами для каждого ресурса можно управлять централизованно.

С помощью простых графических инструментов администратор задает принадлежность к группам, допустимое время работы, срок действия и другие параметры учетной записи. Администратор получает возможность аудита всех событий, свя­занных с защитой доступа пользователей к файлам, каталогам, принтерам и иным ресурсам. Система также способна блоки­ровать учетную запись пользователя, если число неудачных попыток регистрации превышает заранее определенное. Администраторы вправе устанавливать срок действия паролей, принуждать пользователей к периодической смене паролей и вы­бору паролей, затрудняющих несанкционированный доступ.

С точки зрения пользователя система защиты Windows NT Server полноценна и несложна в обращении. Простая проце­дура регистрации обеспечивает доступ к соответствующим ресурсам. Для пользователя невидимы такие процессы, как шиф­рование пароля на системном уровне. Пользователь сам определяет права доступа к тем ресурсам, которыми владеет. На­пример, чтобы разрешить совместное использование своего документа, он указывает, кто и как может с ним работать. Разу­меется, доступ к ресурсам предприятия контролируется только администраторами с соответствующими полномочиями.

Более глубокий уровень безопасности - то, как Windows NT Server защищает данные, находящиеся в физической памя­ти компьютера. Доступ к ним предоставляется только имеющим на это право программам. Если данные больше не содер­жатся на диске, система предотвращает несанкционированный доступ к той области диска, где они содержались. При такой системе защиты никакая программа не "подсмотрит" в виртуальной памяти машины информацию, с которой оперирует в данный момент другое приложение.

Удаленный доступ через открытые сети и связь предприятий через Интернет стимулируют постоянное и быстрое разви­тие технологий безопасности. В качестве примера можно выделить сертификаты открытых ключей и динамические пароли. Архитектура безопасности Windows NT однозначно оценивается как превосходящая и эти, и многие будущие технологии. Пе­речислим функции безопасности Windows NT:

1. Информация о доменных правилах безопасности и учетная информация хранятся в каталоге Active Directory (служба каталогов Active Directory обеспечивает тиражирование и доступность учетной информации на многих контроллерах доме­на, а также позволяет удаленное администрирование).

2. В ActiveDirectory поддерживается иерархичное пространство имен пользователей, групп и учетных записей машин (учетные записи могут быть сгруппированы по организационным единицам).

3. Административные права на создание и управление группами учетных записей пользователей могут быть делегиро­ваны на уровень организационных единиц (возможно установление дифференцированных прав доступа к отдельным свойст­вам пользовательских объектов).

4. Тиражирование ActiveDirectory позволяет изменять учетную информацию на любом контроллере домена, а не толь­ко на первичном (копии Active Directory, хранящиеся на других контроллерах домена, обновляются и синхронизируются автоматически).

5. Доменная модель изменена и использует Active Directory для поддержки многоуровневого дерева доменов (управле­ние доверительными отношениями между доменами упрощено в пределах всего дерева доменов).

6. В систему безопасности включены новые механизмы аутентификации, такие как Kerberos v5 и TLS (Transport Layer Security), базирующиеся на стандартах безопасности Интернета.

7. Протоколы защищенных каналов (SSL 3.0/TLS) обеспечивают поддержку надежной аутентификации клиента (осу­ществляется сопоставление мандатов пользователей в форме сертификатов открытых ключей с существующими учетными записями Windows NT).

8. Дополнительно к регистрации посредством ввода пароля может поддерживаться аутентификация с использованием смарт-карт.

В состав Windows NT входит Microsoft Certificate Server, позволяющий выдавать сотрудникам и партнерам сертификаты Х.509 версии 3. Системные администраторы могут указывать, сертификаты каких уполномоченных являются доверяемыми в системе и, таким образом, контролировать аутентификацию доступа к ресурсам.

Внешние пользователи, не имеющие учетных записей Windows NT, могут быть аутентифицированы с помощью серти­фикатов открытых ключей и соотнесены с существующей учетной записью. Права доступа, назначенные для этой учетной записи, определяют права внешних пользователей на доступ к ресурсам.

В распоряжении пользователей находятся простые средства управления парами закрытых (открытых) ключей и серти­фикатами, используемые для доступа к ресурсам системы.

Технология шифрования встроена в операционную систему и позволяет использовать цифровые подписи для иденти­фикации потоков.

 

Элементы безопасности системы

Рассмотрим вопросы реализации политики безопасности: управление учетными записями пользователей и групп, ис­полнение и делегирование административных функций.

Учетные записи пользователей и групп. Любой пользователь Windows NT характеризуется определенной учетной за­писью. Под учетной записью понимается совокупность прав и дополнительных параметров, ассоциированных с определен­ным пользователем. Кроме того, пользователь принадлежит к одной или нескольким группам. Принадлежность к группе позволяет быстро назначать права доступа и полномочия.

К встроенным учетным записям пользователей относятся:

· Guest- учетная запись, фиксирующая минимальные привилегии гостя;

· Administrator - встроенная учетная запись для пользователей, наделенных максимальными привилегиями;

· Krbtgt - встроенная учетная запись, используемая при начальной аутентификации Kerberos.

Кроме них имеются две скрытые встроенные учетные записи:

· System - учетная запись, используемая операционной системой;

· Creatorowner - создатель (файла или каталога).

Перечислим встроенные группы:

· локальные (Account operators; Administrators; Backup operators; Guests; Print operators; Replicator; Server operators; Us­ers);

· глобальные (Domainguests - гости домена; Domain Users - пользователи домена; Domain Admins - администраторы домена).

Помимо этих встроенных групп имеется еще ряд специальных групп:

· Everyone - в эту группу по умолчанию включаются вообще все пользователи в системе;

· Authenticatedusers - в эту группу включаются только аутентифицированные пользователи домена;

· Self - сам объект.

Для просмотра и модификации свойств учетной записи достаточно щелкнуть имя пользователя или группы и на экране появится диалоговое окно User Properties:

General - общее описание пользователя;

Address - домашний и рабочий адрес пользователя;

Account - обязательные параметры учетной записи;

Telephone/notes - необязательные параметры;

Organization - дополнительные необязательные сведения;

Membership - обязательная информация о принадлежности пользователя к группам;

Dial-in - параметры удаленного доступа;

Object - идентификационные сведения о пользовательском объекте;

Security - информация о защите объекта.

Локальная политика безопасности регламентирует правила безопасности на локальном компьютере. С ее помощью можно распределить административные роли, конкретизировать привилегии пользователей, назначить правила аудита.

По умолчанию поддерживаются следующие области безопасности:

· политика безопасности - задание различных атрибутов безопасности на локальном и доменном уровнях; так же ох­ватывает некоторые установки на машинном уровне;

· управление группами с ограничениями - позволяет управлять членством в группах, которые, по мнению админист­ратора, "чувствительны" с точки зрения безопасности системы;

· управление правами и привилегиями - позволяет редактировать список пользователей и их специфических прав и привилегий;

· деревья объектов - включают три области защиты: объекты каталога Active Directory, ключи реестра, локальную файловую систему; для каждого объекта в дереве шаблоны безопасности позволяют конфигурировать и анализировать ха­рактеристики дескрипторов защиты, включая владельцев объекта, списки контроля доступа и параметры аудита;

· системные службы (сетевые или локальные) - построенные соответствующим образом дают возможность независи­мым производителям программного обеспечения расширять редактор конфигураций безопасности для устранения специфи­ческих проблем.

Конфигурирование безопасности. Для конфигурирования параметров безопасности системы используются шаблоны.

Управление доступом к реестру. Реестр - это дерево объектов. Доступ к каждому объекту в дереве должен быть рег­ламентирован. Выбрав в окне обзорного просмотра ветвь, соответствующую шаблону Custom, щелкните папку Registry. В правой части окна появится список ветвей реестра, доступ к которым можно ограничивать. В шаблоне, поставляемом с ре­дактором, приведена ветвь MACHINE\HARDWARE, которую надо истолковывать как HKEY_LOCAL_MACHINE\Hardware. Чтобы добавить к дереву новые ветви, их надо в явном виде прописать в шаблоне с помощью любого текстового редактора. Для разграничения доступа к выбранной ветви реестра дважды щелкните ее имя и укажите нужный тип доступа и имя соот­ветствующей учетной записи. Изменения будут занесены в шаблон.

Анализируя рассматриваемые атаки, все методы, позволяющие несанкционированно вмешаться в работу системы, можно разделить на следующие группы:

· позволяющиенесанкционированно запустить исполняемый код;

· позволяющие осуществить несанкционированные операции чтения/записи файловых или других объектов;

· позволяющие обойти установленные разграничения прав доступа;

· приводящие к отказу (DenialofService) в обслуживании (системный сбой);

· использующие встроенные недокументированные возможности (ошибки и закладки);

· использующие недостатки системы хранения или выбора (недостаточная длина) данных об аутентификации (паро­ли) и позволяющие путем реверсирования, подбора или полного перебора всех вариантов получить эти данные;

· троянские программы;

· прочие.