46. Обеспечение иб в сетях Перейдем к рассмотрению системы защиты операционных систем. Ее основными задачами являются идентификация, аутентификация




Скачать 372.55 Kb.
Название46. Обеспечение иб в сетях Перейдем к рассмотрению системы защиты операционных систем. Ее основными задачами являются идентификация, аутентификация
страница1/3
Дата07.10.2012
Размер372.55 Kb.
ТипЗадача
  1   2   3
46. Обеспечение ИБ в сетях

Перейдем к рассмотрению системы защиты операционных систем. Ее основными задачами являются идентификация, аутентификация, разграничение доступа пользователей к ресурсам, протоколирование и аудит самой системы.

Идентификация и аутентификация

Обычно каждый пользователь в системе имеет уникальный идентификатор. Идентфикаторы пользователей применяются с теми же целями, что и идентификаторы любых других объектов, файлов, процессов. Идентификация заключается в сообщении пользователем своего идентификатора. Для того чтобы установить, что пользователь именно тот, за кого себя выдает, то есть что именно ему принадлежит введенный идентификатор, в информационных системах предусмотрена процедура аутентификации (authentication, опознавание, в переводе с латинского означает установление подлинности), задача которой - предотвращение доступа к системе нежелательных лиц.

Обычно аутентификация базируется на одном или более из трех пунктов:

1. то, чем пользователь владеет (ключ или магнитная карта),

2. то, что пользователь знает (пароль),

3. атрибуты пользователя (отпечатки пальцев, подпись, голос).

4. Пароли, уязвимость паролей

Наиболее простой подход к аутентификации - использование пользовательского пароля.

Когда пользователь идентифицирует себя при помощи уникального идентификатора или имени, у него запрашивается пароль. Если пароль, сообщенный пользователем, совпадает с паролем, хранимым в системе, система предполагает, что пользователь легитимен.

Пароли часто используются для защиты объектов в компьютерной системе в отсутствие более сложных схем защиты.

Проблемы паролей связаны с трудностью хранить пароль в секрете. Пароли могут быть скомпрометированы путем угадывания, случайно показаны или нелегально переданы авторизованным пользователем неавторизованному

Есть два общих способа угадать пароль. Один для нарушителя, который знает пользователя или информацию о пользователе. Люди обычно используют очевидную информацию (типа имен кошек) в качестве паролей. Для иллюстрации важности разумной политики назначения идентификаторов и паролей можно привести данные исследований, проведенных в AT&T, показывающие, что из 500 попыток несанкционированного доступа около 300 составляют попытки угадывания паролей или беспарольного входа по пользовательским именам guest, demo и т.д.

Другой способ - грубой силы - попытаться перебрать все возможные комбинации букв, чисел и пунктуации. Например, четыре десятичные цифры дают только 10000 вариантов, более длинные пароли, введенные с учетом регистра символов и пунктуации, менее уязвимы.

Хотя имеются проблемы с их использованием, пароли, тем не менее, распространены, так как они легки для понимания и использования.

Шифрование пароля

Для хранения секретного списка паролей на диске многие ОС используют криптографию. Система использует одностороннюю функцию, которую чрезвычайно трудно (дизайнеры надеются, что невозможно) инвертировать, но просто вычислить. Хранятся только кодированные пароли. В процессе аутентификации представленный пользователем пароль кодируется и сравнивается с хранящимися на диске. Т.о., файл паролей нет необходимости держать в секрете.

При удаленном доступе к ОС нежелательно путешествие пароля по сети в открытом виде. Одним из типовых решений является использование криптографических протоколов. В качестве примера можно рассмотреть протокол опознавания с подтверждением установления связи путем вызова - CHAP (Challenge Handshake Authentication Protocol)


Опознавание достигается за счет проверки того, что у пользователя, осуществляющего доступ к серверу, имеется секретный пароль, который уже известен серверу.

Сервер посылает пользователю запрос (вызов), состоящий из идентифицирующего кода, случайного числа и имени узла сервера или имени пользователя. При этом пользовательское оборудование в результате затребования пароля пользователя отвечает следующим ответом, зашифрованным с помощью алгоритма одностороннего хэширования, наиболее распространенным видом которого является MD5. После получения ответа сервер при помощи той же функции с теми же аргументами шифрует собственную версию пароля пользователя. В случае совпадения результатов разрешается вход в систему. Существенно, что незашифрованный пароль при этом не посылается по каналу связи.

Авторизация. Разграничение доступа к объектам ОС

После того, как легальный пользователь вошел в систему необходимо осуществить авторизацию (authorization)- предоставление субъекту прав на доступ к объекту. Средства авторизации контролируют доступ легальных пользователей к ресурсам системы, предоставляя каждому из них именно те права, которые были определены администратором, а также осуществляют контроль возможности выполнения пользователем различных системных функций.

Как уже говорилось, компьютерная система может быть смоделирована как набор субъектов (процессы, пользователи) и объектов. Под объектами мы понимаем как ресурсы оборудования (процессор, сегменты памяти, принтер, диски и ленты), так и программные (файлы, программы, семафоры). Каждый объект имеет уникальное имя, отличающее его от других объектов в системе, и каждый из них может быть доступен через хорошо определенные и значимые операции. Объекты - абстрактные типы данных.

Операции зависят от объектов. Hапример, процессор может только выполнять команды. Сегменты памяти могут быть записаны и прочитаны, тогда как считыватель карт может только читать. Файлы данных могут быть записаны, прочитаны, переименованы и т.д.

Очевидно, что процессу может быть разрешен доступ только к тем ресурсам, к которым он имеет авторизованный доступ. Желательно добиться того, чтобы он имел доступ только к тем ресурсам, которые ему нужны для выполнения его задачи. Это требование имеет отношение только к принципу минимизации привилегий, полезному с точки зрения ограничения количества повреждений, которые процесс может нанести системе. Hапример, когда процесс P вызывает процедуру А, ей должен быть разрешен доступ только к переменным и формальным параметрам, переданным ей, она должна быть не в состоянии влиять на другие переменные процесса. Аналогично компилятор не должен оказывать влияния на произвольные файлы, а только на их хорошо определенное подмножество (типа исходных файлов, листингов и др.), имеющих отношение к компиляции. С другой стороны, компилятор может иметь личные файлы, используемые для оптимизационных целей, к которым процесс Р не имеет доступа.

Различают дискреционный (избирательный) способ управления доступом и полномочный (мандатный). При дискреционном доступе определенные операции над определенным ресурсом запрещаются или разрешаются субъектам или группам субъектов. С концептуальной точки зрения текущее состояние прав доступа при дискреционном управлении описывается матрицей, в строках которой перечислены субъекты, а в столбцах - объекты.

Полномочный подход заключается в том, что вся информация делится на уровни в зависимости от степени секретности, а все пользователи также делятся на группы, образующие иерархию в соответствии с уровнем допуска к этой информации.

Большинство операционных систем реализуют именно дискреционное управление доступом. Главное его достоинство - гибкость, главные недостатки - рассредоточенность управления и сложность централизованного контроля, а также оторванность прав доступа от данных, что позволяет копировать секретную информацию в общедоступные файлы.


47. Управление доступом к данным. Списки прав доступа к объектам ОС

Существует несколько моделей предоставления прав доступа к файлам и другим объектам. Наиболее простая модель используется в системах семейства Unix.

В этих системах каждый файл или каталог имеют идентификаторы хозяина и группы. Определено три набора прав доступа: для хозяина, группы (т.е., для пользователей, входящих в группу, к которой принадлежит файл) и всех остальных. Пользователь может принадлежать к нескольким группам одновременно, файл всегда принадлежит только одной группе.

Бывают три права: чтения, записи и исполнения. Для каталога право исполнения означает право на поиск файлов в этом каталоге. Каждое из прав обозначается битом в маске прав доступа, т.е. все три группы прав представляются девятью битами или тремя восьмеричными цифрами.

Права на удаление или переименование файла не существует; вообще, в Unix не определено операции удаления файла как таковой, а существует лишь операция удаления имени unlink. Для удаления или изменения имени достаточно иметь право записи в каталог, в котором это имя содержится.

В традиционных системах семейства Unix все глобальные объекты - внешние устройства и именованные программные каналы - являются файлами (точнее, имеют имена в файловой системе), и управление доступом к ним охватывается файловым механизмом. В современных версиях Unix адресные пространства исполняющихся процессов также доступны как файлы в специальной файловой (или псевдофайловой, если угодно) системе proc. Файлы в этой ФС могут быть использованы, например, отладчиками для доступа к коду и данным отлаживаемой программы. Управление таким доступом также осуществляется стандартным файловым механизмом. Кроме доступа к адресному пространству, над процессом в Unix определена, по существу, только операция посылки сигнала. Обычный пользователь может посылать сигналы только своим процессам; только суперпользователь (root) может посылать их чужим процессам. Все остальные операции осуществимы только между процессами, связанными отношением родитель/потомок, и распределение прав доступа в этой ситуации вообще не нужно. Таким образом, файловые права доступа используются для управления доступом к практически любым объектам ОС.

Многие современные системы, не входящие в семейство Unix, а также и некоторые версии Unix, например, HP/UX или SCO UnixWare 2.x, используют более сложную и гибкую систему управления доступом, основанную на списках управления доступом (Access Control Lists - ACL). С каждым защищаемым объектом, кроме идентификатора его хозяина, связан список записей. Каждая запись состоит из идентификатора пользователя или группы и списка прав для этого пользователя или группы. Понятие группы в таких системах не играет такой большой роли, как в Unix, а служит лишь для сокращения ACL, позволяя задать права для многих пользователей одним элементом списка. Многие системы, использующие эту модель, например Novell Netware, даже не ассоциируют с файлом идентификатора группы.

Обычно список возможных прав включает в себя право на изменение ACL. Таким образом, не только хозяин объекта может изменять права доступа к нему. Это право может быть дано и другим пользователям системы или даже группам пользователей, если это окажется для чего-то необходимо.

Однако за дополнительную гибкость приходится платить снижением производительности. В системах семейства Unix проверка прав доступа осуществляется простой битовой операцией над маской прав. В системах же, использующих ACL, необходим просмотр списка, который может занять намного больше времени. Самое плохое состоит в том, что мы не можем гарантировать завершения этого поиска за какое-либо время, не устанавливая ограничений на длину списка.


В современных системах накладные расходы, связанные с использованием ACL, считаются достаточно малыми, поэтому эта модель распределения прав приобретает все большую популярность.

Кроме прав доступа к объектам, система должна управлять выдачей некоторых привилегий. Так, для выполнения резервного копирования и восстановления файлов необходим пользователь, способный осуществлять доступ к файлам и операции на ними, не обращая внимания на права доступа.

Во всех системах необходимы пользователи, имеющие право изменять конфигурацию системы, заводить новых пользователей и группы и т.д. Если система обеспечивает запуск процессов реального времени, создание таких процессов тоже должно контролироваться, поскольку процесс РВ имеет более высокий приоритет, чем все процессы разделенного времени, и может, просто не отдавая процессор, заблокировать все остальные задачи.

В большинстве современных многопользовательских ОС, не входящих в семейство Unix, с каждым пользователем ассоциирован список привилегий, которыми этот пользователь обладает. В системах семейства Unix все гораздо проще: обычные пользователи не обладают никакими привилегиями. Для выполнения привилегированных функций существует пользователь c численным идентификатором 0 - суперпользователь (superuser), который обладает, подобно христианскому Господу Богу, всеми мыслимыми правами, привилегиями и атрибутами. По традиции суперпользователь имеет символьное имя root - ``корень''.

Система списков привилегий предоставляет большую гибкость, чем один сверхпривилегированный суперпользователь, потому что позволяет администратору системы передать часть своих функций, например выполнение резервного копирования, другим пользователям, не давая им при этом других привилегий. Однако, как и ACL, эта схема приводит к большим накладным расходам при контроле прав доступа: вместо сравнения идентификатора пользователя с нулем мы должны сканировать список привилегий, что несколько дольше.

В некоторых ситуациях нужен более тонкий контроль за доступом, чем управление доступом на уровне файлов. Например, для изменения информации о пользователе необходим доступ на запись к соответствующей базе данных, но не ко всей, а только к определенной записи. Вполне естественно и даже необходимо дать пользователю возможность менять пароль, не обращаясь к администратору. С другой стороны, совершенно недопустима возможность менять пароли других пользователей. Одним из решений было бы хранение пароля для каждого из пользователей в отдельном файле, но это во многих отношениях неудобно. Другое решение может состоять в использовании модели клиент-сервер с процессом-сервером, исполняющимся с привилегиями администратора, который является единственным средством доступа к паролям. Например, в Windows NT весь доступ к пользовательской базе данных осуществляется через системные вызовы, то есть функции процесса-сервера исполняет само ядро системы. Этот подход позволяет решить проблему контроля доступа именно к пользовательской базе данных, но аналогичная проблема возникает и в других ситуациях.

В системах семейства Unix для этой цели был предложен оригинальный механизм, известный как setuid (setting of user id - установка [эффективного] идентификатора пользователя).


48. Создание и редактирование объектов групповой политики. Инструменты управления групповыми политиками.

Реализация политик безопасности в Windows 2000 предоставляет значительно более широкие возможности. При необходимости вы можете устанавливать политики для всего дерева доменов. Различные контроллеры в пределах одного домена могут обладать индивидуальными политиками безопасности. Установив политику безопасности в одном месте, администраторы могут контролировать безопасность всех серверов и рабочих станций домена. Политики безопасности в Windows 2000 реализуются с помощью средств групповых политик (group policy).

Групповая политика имеет следующие преимущества:

Основываясь на службе Active Directory системы Windows 2000, позволяет как централизованно, так и децентрализовано управлять параметрами политики.

Обладает гибкостью и масштабируемостью. Может быть применена в широком наборе конфигураций системы, предназначенных как для малого бизнеса, так и для больших корпораций.

Предоставляет интегрированный инструмент управления политикой с простым и хорошо понятным интерфейсом — оснастку консоли управления Групповая политика (Group Policy).

Обладает высокой степенью надежности и безопасности.


Групповые политики расширяют и используют преимущества Active Directory. Их настройки находятся в объектах групповых политик (Group Policy Object, GPO), которые в свою очередь ассоциируются с такими контейнерами Active Directory, как сайты, домены и подразделения (организационные единицы).

1. Политики безопасности Windows 2000 хранятся в двух типах объектов GPO: локальном объекте групповой политики и объекте групповой политики домена.

2. Объекты групповой политики (GPO)

3. Оснастка Групповая политика (Group Policy)

При создании, настройке и хранении параметров групповых политик применяется подход, позволяющий работать с GPO как с документами.

После создания GPO ассоциируется с определенным контейнером Active Directory, и в результате групповые политики, хранящиеся в данном GPO, будут выполняться для всех компьютеров и пользователей, находящихся в этом контейнере. Дополнительными средствами настройки групповых политик в контейнере являются группы безопасности и дискреционные разрешения доступа.

GPO создается с помощью оснастки консоли управления Групповая политика, которая может вызываться как изолированный инструмент и в качестве расширения таких оснасток, как Active Directory—пользователи и компьютеры (Active Directory Users and Computers) или Active Directory—сайты и службы (Active Directory Site and Services). Для вызова оснастки Групповая политика в качестве расширения в окне соответствующей оснастки укажите нужный контейнер и щелкните правой кнопкой мыши. В появившемся контекстном меню выберите команду Свойства (Properties). В открывшемся окне перейдите на вкладку Групповая политика (Group Policy). С ее помощью вы сможете просматривать контейнеры Active Directory и ассоциированные с ними GPO.

Для запуска оснастки Групповая политика в виде изолированной оснастки:

1. Нажмите кнопку Пуск (Start). Выберите команду Выполнить (Run). В поле ввода введите с клавиатуры и нажмите кнопку ОК. Запустится консоль управления Microsoft.

2. В окне консоли управления в меню Консоль (Console) выберите команду Добавить/удалить оснастку (Add/Remove Snap-in), затем нажмите кнопку Добавить (Add). В открывшемся окне выберите элемент Групповая политика и нажмите кнопку Добавить.

3. В следующем окне нажмите кнопку Обзор (Browse). В открывшемся окне диалога выберите GPO, который будет загружен в оснастку (можно выбрать GPO для отдельного компьютера, подразделения, сайта или домена), и нажмите кнопку ОК. Нажмите кнопки Готово (Finish), Закрыть (Close) и ОКТеперь оснастку можно сохранить в файле с любым именем.

Создать групповую политику для контейнера Active Directory можно только при наличии определенного набора условий. Необходимо иметь работающий контроллер домена Windows 2000. Пользователь, который создает групповую политику, должен обладать правами на чтение и запись в системный том контроллеров домена (папка Sysvol). Кроме того, он должен иметь право модификации выбранного контейнера Active Directory.

После запуска оснастки Групповая политика в окне структуры появляется набор узлов, которые являются расширениями этой оснастки. По умолчанию все расширения загружаются в процессе запуска оснастки. Однако их состав можно изменить с помощью средств создания индивидуальной конфигурации консоли ММС и с помощью политик, определяющих работу самой консоли. Подход, предполагающий применение расширений, позволяет пользователям создавать свои собственные расширения оснастки Групповая политика, наделяя ее способностью устанавливать дополнительные групповые политики. Любое расширение может в свою очередь состоять из расширений, поэтому оснастка Групповая политика — чрезвычайно гибкий инструмент, который можно сконфигурировать для конкретной компьютерной среды.

Расширения оснастки Групповая политика

Ниже родительских узлов Конфигурация компьютера и Конфигурация пользователя находятся дочерние узлы, каждый из которых является полноценным расширением оснастки Групповая политика. Они могут находиться в обоих родительских узлах, хотя и с различными параметрами, или индивидуально расширять узлы Конфигурация компьютера или Конфигурация пользователя. Оснастка Групповая политика имеет следующие расширения (рис. 27.1):

Административные шаблоны. (Administrative Templates).

Здесь находится групповая политика, определяющая параметры реестра, задающие работу и внешний вид рабочего стола, компонент операционной системы и приложений.

Параметры безопасности (Security Settings).

Служит для настройки параметров системы безопасности компьютеров, на которые воздействует данный объект групповой политики. С помощью групповых политик можно настроить безопасность локального компьютера, домена и целой сети. О Установка программ (Software Installation). Служит для централизованного управления программным обеспечением организации. С его помощью можно задавать различные режимы установки новых программ на компьютеры пользователей.

Сценарии (Scripts).

Сценарии используются для автоматического выполнения набора команд при загрузке операционной системы и в процессе завершения ее работы, а также при регистрации и отключении пользователя от сети. Для выполнения сценариев, написанных на Microsoft JScript и Microsoft Visual Basic Scripting Edition, можно применять сервер сценариев (Windows Scripting Host).

Перенаправление папок (Folder Redirection).

Позволяет перенаправлять обращение к специальным папкам в сеть.

Установка программ (Software Installation)

Наличие механизма групповых политик всегда являлась одной из главных отличительных черт Active Directory (AD), а в операционной системе Windows Server 2003 компания Microsoft существенно расширила функциональность объектов групповой политики (GPO) и возможность управления им, дополнив консоль MMC оснасткой Group Policy Management Console (GPMC). Компонент GPMC является довольно масштабным и достаточно сложным инструментом, поэтому для того, чтобы научиться максимально использовать все преимущества GPO в своей инфраструктуре необходимо хорошо разбираться в предмете.

  1   2   3

Похожие:

46. Обеспечение иб в сетях Перейдем к рассмотрению системы защиты операционных систем. Ее основными задачами являются идентификация, аутентификация iconПрограмманое обеспечение вычислительных систем Классификация, назначение, состав и функционирование ос лекция 7
В данной лекции вводится понятие операционной системы; рассматривается эволюция операционных систем; описываются функции и подходы...
46. Обеспечение иб в сетях Перейдем к рассмотрению системы защиты операционных систем. Ее основными задачами являются идентификация, аутентификация iconПрограмма вступительного междисциплинарного экзамена в магистратуру тки по направлению 230100 (552800)
Эволюция вычислительных систем. Основные понятия и концепции операционных систем. Архитектурные особенности операционных систем....
46. Обеспечение иб в сетях Перейдем к рассмотрению системы защиты операционных систем. Ее основными задачами являются идентификация, аутентификация iconКонспект лекций по учебной дисциплине «Операционные системы, среды и оболочки» по специальности: 080801 Информационные технологии в экономике
Введение в операционные системы. Определение, назначение, состав и функции операционных систем. Классификация операционных систем”...
46. Обеспечение иб в сетях Перейдем к рассмотрению системы защиты операционных систем. Ее основными задачами являются идентификация, аутентификация icon2. Операционные системы Понятие операционной системы. Классификация операционных систем. Однозадачные, многозадачные и сетевые операционные системы
Программное обеспечение компьютера. Классификация программного обеспечения. Прикладное программное обеспечение. Инструментальные...
46. Обеспечение иб в сетях Перейдем к рассмотрению системы защиты операционных систем. Ее основными задачами являются идентификация, аутентификация iconКонспект лекций. План. Введение в операционные системы. 3 Ms dos. 12
Огромное влияние на развитие операционных систем оказали успехи в совершенствовании элементарной базы и вычислительной аппаратуры....
46. Обеспечение иб в сетях Перейдем к рассмотрению системы защиты операционных систем. Ее основными задачами являются идентификация, аутентификация iconПрограмма по дисциплине прикладные физико-технические и компьютерные методы исследования
Системное программное обеспечение и операционные системы. Краткая история эволюции вычислительных систем. Взаимное влияние software...
46. Обеспечение иб в сетях Перейдем к рассмотрению системы защиты операционных систем. Ее основными задачами являются идентификация, аутентификация iconЦели и задачи основными целями и
...
46. Обеспечение иб в сетях Перейдем к рассмотрению системы защиты операционных систем. Ее основными задачами являются идентификация, аутентификация iconСредства защиты для операционных систем microsoft windows xp/2003 Учебное пособие Омск 2007 удк 004. 4: 681 07
Программные средства защиты для операционных систем Microsoft Windows xp/2003.– Омск: Изд-во Омгту, 2007.– 232 с
46. Обеспечение иб в сетях Перейдем к рассмотрению системы защиты операционных систем. Ее основными задачами являются идентификация, аутентификация iconСредства защиты для операционных систем microsoft windows xp/2003 Учебное пособие Омск 2007 удк 004. 4: 681 07
Программные средства защиты для операционных систем Microsoft Windows xp/2003.– Омск: Изд-во Омгту, 2007.– 232 с
46. Обеспечение иб в сетях Перейдем к рассмотрению системы защиты операционных систем. Ее основными задачами являются идентификация, аутентификация icon4. Информационные системы в сетях Создание и применение информационных систем в сетях компьютеров, с одной стороны дает заметные преимущества, с другой стороны
В раз­деле рассматриваются основные понятия, связанные с сетями компьютеров и инфор­мационными системами в них, варианты архитектуры...
Разместите кнопку на своём сайте:
Библиотека


База данных защищена авторским правом ©lib.znate.ru 2014
обратиться к администрации
Библиотека
Главная страница