лекция№10 (Лекции по дисциплине)

Федеральное агентство по образованию

Государственное образовательное учреждение

высшего профессионального образования

«МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ

ПРИБОРОСТРЕНИЯ И ИНФОРМАТИКИ»

Кафедра ИТ-7 «Автоматизированные системы обработки информации и управления»

УТВЕРЖДАЮ

Ректор МГУПИ

_____________Михайлов Б.М.

«___» ______________ 200__г.

Для студентов <номер> курса факультета ИТ

специальности 230100

<уч.степень, уч.звание, фамилия, инициалы автора>

ЛЕКЦИЯ № <10>

по дисциплине <шифр> <Защита Информации>

ТЕМА <Подсистемы Безопасности Операционных Систем>

Обсуждена на заседании кафедры

(предметно-методической секции)

«___» _______________ 200__г.

Протокол № _____

МГУПИ — 200_ г.

Тема лекции: <Вводная лекция>

Учебные и воспитательные цели:

1. ??

2. ??

3. ??

Время: 2 часа (90 мин.)

Литература (основная и дополнительная):

1.Средства защиты информации в компьютерных системах: учебное пособие. – М. МГУПИ, 2007.

2. Гайкович В.Ю. Ершов Д.В. Основы безопасности информационных технологий. – М.: Бином, 1996

Учебно-материальное обеспечение:

1. Рис. 42. Схема архитектуры ОС Windows NT

2. Рис. 43. Механизм аутентификации и управления доступом в Windows NT

ПЛАН ЛЕКЦИИ:

Введение – до 5 мин.

Основная часть (учебные вопросы) – до 80 мин.

1-й учебный вопрос Подсистема безопасности в Windows NT/2000 - ? мин

2-й учебный вопрос Подсистема безопасности ОС LINUX - ? мин

Заключение – до 5 мин.

ТЕКСТ ЛЕКЦИИ

Введение – до 5 мин.

Основные функции ОС:

1) управление ресурсами ЦП и ОЗУ;

2) управление операциями ввода-вывода и взаимодействиями с внешними устройствами;

3) создание и поддержание файловой структуры дисковой подсистемы.

Подсистема безопасности “защищенной” операционной системы должна контролировать выполнение этих функций ОС с точек зрения обеспечения бесперебойности работы КС и защищенности ее информационных ресурсов.

Типовыми функциями (ПСБ) являются:

-защита жизненно важных функций и компонентов самой ОС;

-управление адресацией и разделение ресурсов памяти;

-планирование и синхронизация задач;

-обеспечение корректности доступа к объектам;

-предотвращение тупиковых ситуаций;

-восстановление работоспособности ОС после сбоев;

-аутентификация пользователей;

-собственно идентификация + аутентификация;

-управление доступом пользователей к ресурсам и функциям;

-авторизация:

-сопоставление пользователей с их полномочиями;

-выполнение задач и файловых операций от имени конкретных пользователей;

-разрешение/блокирование действий пользователей;

-аудит работы ОС и пользователей;

-фиксация действий пользователей;

-фиксация “критических” состояний ОС.

Термины, применяемые при рассмотрении ПСБ ОС.

Объект доступа - любой элемент операционной системы, доступ к которому пользователей и других субъектов доступа может быть произвольно ограничен (файлы, папки...).

Метод доступа к объекту - операция, определенная для некоторого объекта (для файлов методы доступа "чтение", "запись" и "добавление").

Субъект доступа - любая сущность, способная инициировать выполнение операций над объектами доступа (логические пользователи).

Владелец - субъект, которому принадлежит данный объект и который несет ответственность за конфиденциальность содержащейся в объекте информации, а также за целостность и доступность объекта (обычно субъект, создавший данный объект).

Привилегия - право на доступ по некоторому методу или группе методов ко всем объектам операционной системы, поддерживающим данный метод доступа (если субъект имеет привилегию отлаживать программы, он имеет право доступа ко всем объектам типа "процесс" и "поток" по группе методов, используемых отладчиками при отладке программ).

Разграничение доступа субъектов к объекту - совокупность правил, определяющая, разрешен ли доступ данного субъекта к данному объекту по данному методу.

1-й учебный вопрос Подсистема безопасности в Windows NT/2000 - ? мин

Подсистема безопасности NT представляет собой сложную комбинацию тесно связанных между собой "зон ответственности", таких, как политика учетных записей, права пользователей, политики аудита, списки контроля доступа, административные полномочия и системные службы.

Архитектура NT – с точки зрения безопасности.

Структурно Windows NT может быть представлена в виде двух частей: часть операционной системы, работающая в режиме пользователя, и часть операционной системы, работающая в режиме ядра (рис. 42).

Рис. 42. Схема архитектуры ОС Windows NT

Часть Windows NT, работающая в режиме ядра, называется executive - исполнительной частью. Она включает ряд компонент, которые управляют виртуальной памятью, объектами (ресурсами), вводом-выводом и файловой системой (включая сетевые драйверы), взаимодействием процессов и частично системой безопасности. Эти компоненты взаимодействуют между собой с помощью межмодульной связи. Каждая компонента вызывает другие с помощью набора тщательно специфицированных внутренних процедур.

Вторую часть Windows NT, работающую в режиме пользователя, составляют серверы - так называемые защищенные подсистемы. Серверы Windows NT называются защищенными подсистемами, так как каждый из них выполняется в отдельном процессе, память которого отделена от других процессов системой управления виртуальной памятью NT executive. Так как подсистемы автоматически не могут совместно использовать память, они общаются друг с другом посредством посылки сообщений. Сообщения могут передаваться как между клиентом и сервером, так и между двумя серверами. Все сообщения проходят через исполнительную часть Windows NT. Ядро Windows NT планирует нити защищенных подсистем точно так же, как и нити обычных прикладных процессов.

Поддержку защищенных подсистем обеспечивает исполнительная часть - Windows NT executive, которая работает в пространстве ядра и никогда не сбрасывается на диск. Ее составными частями являются:

1. -Менеджер объектов. Создает, удаляет и управляет объектами NT executive - абстрактными типами данных, используемых для представления ресурсов системы.

2. -Монитор безопасности. Устанавливает правила защиты на локальном компьютере. Охраняет ресурсы операционной системы, выполняет защиту и регистрацию исполняемых объектов.

3. -Менеджер процессов. Создает и завершает, приостанавливает и возобновляет процессы и нити, а также хранит о них информацию.

4. -Менеджер виртуальной памяти.

5. -Подсистема ввода-вывода.

Исполнительная часть основывается на службах нижнего уровня, предоставляемых ядром NT, в функции которого входит:

-планирование процессов;

-обработка прерываний и исключительных ситуаций;

-синхронизация процессоров для многопроцессорных систем;

-восстановление системы после сбоев.

Система безопасности Windows 2000 состоит из множества компонентов, предоставляющих возможность обеспечения безопасности работы с данными в любой точке сети, начиная с хранения информации в файлах на дисках серверов и рабочих станций и заканчивая средствами обеспечения гарантированного уровня безопасности при передаче данных по сети путем использования механизмов виртуальных частных сетей (VPN). Сейчас Windows 2000 содержит более 40 различных интегрированных между собой механизмов безопасности, каждый из которых может быть расширен разработчиками для учета особенностей применения этой ОС в сети своего предприятия.

1). Файловая система NTFS 5.0. Эта версия файловой системы является объектно-ориентированным хранилищем данных, представляемых в виде привычных для пользователя объектов — файлов и каталогов. В NTFS 5.0 теперь можно хранить потенциально любую информацию и в любых форматах представления. Реализуются эти возможности за счет появления в файловой системе нового механизма Reparse points (повторный грамматический анализ). Reparse points — это объекты, которые могут быть связаны с файлами или каталогами, и описывают правила хранения и обработки информации, хранящейся в нестандартном для файловой системы виде. С использованием этого механизма в NTFS уже реализованы механизмы шифрации данных и механизмы монтирования томов (представление любого тома в виде каталога на другом диске — возможность создания виртуальной файловой системы, состоящей только из файлов и каталогов на любой рабочей станции или сервере).

При попытке открытия выбранного пользователем файла (или каталога), запрос на чтение данных передается приложением ядру ОС. Ядро, анализируя свойства выбранного файла и обнаруживая связанный с ним объект Reparse points, анализирует хранящуюся в этом объекте информацию (в этом и состоит суть названия механизма — повторный грамматический анализ). Объект Reparse points, по сути, содержит ссылку на специальный драйвер, создаваемый любым разработчиком. Этот драйвер и определяет реальный формат хранения данных на томах NTFS. При попытке открытия файла управление передается созданному разработчиком модулю, который и считывает данные с диска в известном ему формате. Поэтому с появлением этого нового механизма любой разработчик имеет возможность обеспечить безопасность и удобство хранения данных для своего специфического приложения.

Еще одним новшеством файловой системы NTFS 5.0 стали обновленные механизмы разграничения прав доступа и появившиеся средства квотирования дискового пространства. Отныне система прав доступа обладает встроенными механизмами наследования, позволяющими с большой степенью удобства выполнять разграничение полномочий в файловых системах с большим количеством уровней вложенности каталогов. В составе Windows 2000 появился инструментарий, позволяющий описывать маски наследуемых прав для любых комбинаций каталогов, файлов и целых ветвей файловой системы. Сами права доступа стали обладать существенно большей гибкостью, не создающей путаницу из-за обилия вариантов разграничения прав.

2). Интерфейсы прикладного программирования (API) сетевой аутентификации Windows, являющиеся частью SSPI (Security Support Provider Interface). Приложения и службы Windows 2000 используют SSPI для изоляции протоколов прикладного уровня от деталей протоколов сетевой безопасности. Windows 2000 поддерживает интерфейс SSPI в целях сокращения кода уровня приложений, необходимого для работы с многочисленными протоколами аутентификации. Интерфейс SSPI представляет уровень, поддерживающий различные механизмы аутентификации и шифрации, использующие протоколы с симметричными или асимметричными ключами.

SSPI — это инструмент, с помощью которого реализована вся внутренняя система безопасности Windows 2000 и ее сервисов. SSPI обеспечивает существование 3 основных механизмов сетевой безопасности: аутентификацию, гарантию целостности и конфиденциальность. Под аутентификацией понимается возможность проверки того, что полученные вами данные пришли действительно от того, чей адрес стоит в поле отправителя. Гарантия целостности подразумевает наличие набора средств, позволяющих проверить получение тех данных, которые были посланы вам. Соблюдение конфиденциальности требует, чтобы сообщение было получено и прочитано только тем пользователем, кому оно адресовано.

Аутентификация и управление доступом.

Эти функции в Windows NT выполняют (см. рис. 43):

-база данных учетных записей SAM (Security Accounts Manager);

-списки управления доступом ACL (Access Control Lists) .

Каждая станция NT поддерживает локальную базу данных учетных записей (SAM) в реестре по адресу: HKEY LOCAL_MACH1NE\SAM. SAM содержит имена учетных записей и пароли к ним, а каждая запись - специальный уникальный идентификатор SID (Security Identifier), используемый в качестве указателя на нее другими компонентами подсистемы безопасности. Списки управления доступом (ACL) формируются отдельно для каждого защищаемого ресурса и представляют собой таблицу, в которой содержатся указатели (SID) на учетные записи SAM и права доступа, определенные для этой записи.

Рис. 43. Механизм аутентификации и управления доступом в Windows NT

Подобная система безопасности работает следующим образом:

-при входе в систему (локальном или удаленном) пользователь проходит процедуру аутентификации, т. е. сообщает системе имя и пароль своей учетной записи;

-система безопасности проверяет в SAM наличие такой учетной записи и при успешном результате формирует для пользователя так называемый маркер доступа (Access Token), содержащий указатель (SID) на пользовательскую запись. Затем система безопасности "прикрепляет" этот маркер доступа ко всем процессам, которые пользователь инициирует и которыми управляет;

-при попытке пользовательского процесса получить доступ к защищенному объекту система безопасности сравнивает его SID со списком управления доступом к объекту. Если данному указателю соответствует запись в ACL, то пользователь (вернее, пользовательский процесс) получает доступ, в противном случае в доступе будет отказано.

Подсистема аутентификации состоит из нескольких программных модулей, связанных между собой и образующих три уровня.

Верхний уровень. Верхний уровень подсистемы аутентификации Windows NT включает в себя процесс аутентификации WinLogon.exe и так называемые библиотеки-провайдеры или просто провайдеры - заменяемые библиотеки, реализующие большую часть высокоуровневых функций процесса аутентификации. WinLogon автоматически запускается при старте операционной системы и остается активным до выключения питания или перезагрузки. При аварийном завершении этого процесса происходит аварийное завершение работы всей операционной системы ("синий экран"). Таким образом, подменить WinLogon в процессе функционирования операционной системы практически невозможно.

При входе пользователя в систему с локального или удаленного терминала провайдер, обслуживающий данный терминал, получает от пользователя его имя и пароль. При входе пользователя в систему с локальной консоли в качестве провайдера по умолчанию выступает библиотека msgina.dll, которая осуществляет все взаимодействия между локальным пользователем и процессом аутентификации.

Вход пользователя в Windows NT производится следующим образом:

1). Провайдер получает от пользователя идентифицирующую и аутентифицирующую информацию. В стандартной конфигурации операционной системы в качестве идентифицирующей информации используется имя, а в качестве аутентифицирующей информации - пароль. Однако при использовании нестандартных провайдеров можно реализовать схему аутентификации, предусматривающую применение внешних носителей ключевой информации или биометрических характеристик пользователя.