- •2.Идентификатор безопасности (sid)
- •3. Маркеры и субъекты доступа. Олицетворение.
- •4. Диспетчер уз. Назначение. Виды…
- •5. Взломы паролей. Меры повышения защищенности паролей.
- •6. Защита компа во время запуска. Wsh
- •7. Dep, kpp, wpr, Изоляция сессий, aslr.
- •9. Редактор шаблонов.
- •10. Групповая политика
- •11. Родконтроль
- •12. AppLocker
- •13. Дескрипторы безопасности объекта. Dacl и acl.
- •14. Организация контроля доступа к объекту.
- •15. Особенности наследования
- •16. Efs, причины появления. Механизмы работы
- •17. Основные компоненты.
- •18. Особенности реализации функции KeyRecovery
- •19. Efs, особенности работы в сети операций копирования и перемещения
- •20. Tpm. Использование BitLocker
- •21. Принципы работы системы Bitlocker. Bitlocker to go
7. Dep, kpp, wpr, Изоляция сессий, aslr.
Предотвращение выполнения данных(DEP -data execution prevention)
Большинство соврем процов поддерживают эту технологию защиты от вредоносных программ, кот получают доступ к системе путем запуска кодов из области данных. DEP. У процов собственное обозначение AMD-NX (no execute) , Intel - XD( execute disable ).
Начиная с Win Vista обеспечивается программная реализация данных средств, даже если процессор их не поддерживает.
Можно включить данную подсистему либо только для основных служб и программ винды, либо для всех за исключением отдельных выбираемых памятью приложений. Это более надежно.
Настройка DEP производится через значок системы: дополнительно – параметры безопасности – предотвращение выполнения данных.
Срабатывание означает наличие в выполняемой проге злонамеренного кода, пытающегося получить доступ к компу.
Защита ядра от изменения. Kernel Patch Protect.(KPP)Призвана ограничить прямое изменение ПО, памяти и ядра памяти для минимизации угроз от вредоносных прог, обеспечить взаимное опечатывание ядра от внешних несанкционированных изменений.Это создает проблему для внешних разработчиков средств безопасности, которые основывают свои продукты на изменении ядра ОС с целью укрепления защиты. Чтобы разработчики могли совершенствоваться, нашли пути обхода данной системы(Microsoftвсем дала библиотекуAPI)
- проверка целостности кода при загрузке. Все бинарные файлы в процессе загрузки проверяются на подлинность и наличие в них изменений. Проверка осуществляется путем сверки подписи этих файлов, расположенных в системных каталогах
- Address space layout randomization( ASLR). Обеспечивает загрузку системных файлов в случайной области памяти. Затрудняет задачу вредоносного кода по определению месторасположения привилегированных системных функций. Данная функция позволяет предотвратить большинство атак удаленного исполнения кода, так как вредоносное ПО не может найти атакуемый объект.
- Изоляция нулевой сессии.До Windows Vista все системные сервисы выполнялись в той же сессии, что и сессия, в которую загрузился первый пользователь системы, то есть в сессии 0.Cервисы могли выполняться с повышенными привилегиями, вредоносные приложения пытались использовать их для повышения собственного уровня привилегий. В Windows 7 вышеописанные риски устраняются за счет того, что сервисы, выполняемые в сессии 0, изолированы и сама сессия не является интерактивной. В Windows 7 в сессии 0 выполняются только системные процессы и сервисы. Первый пользователь, подключающийся к системе, загружается в сессию 1, все последующие пользователи — в сессии с увеличивающимися номерами.
Код сеанса можно посмотреть во вкладке процессора «диспетчер задач».
Схожие задачи решает WRP– предохраняет системные файлы, папки, ключи реестра. Что позволяет защитить ключевые компоненты ОС от воздействий приложений и админа. В ХР эту функцию выполнялWFP. WFP работала путём регистрации изменений файлов вWinlogon. Если защищённый системный файл подвергался изменениям, он восстанавливался из папки. WRP работает, устанавливая дискретные списки доступа (DACLs) иACLдля защищаемых объектов.
8. UAC
Предназначен для предотвращения НСД вредоносных программ. С висты даже админ работает с правами обычного пользователя. Если приложение пытается выполнить сомнительные операции требующее прав админа, появляется запрос с требованием подтвердить действие и до получения ответа система блокируется. При выполнении запроса права временно повышаются. Если пользователь не имел права админа, то для выполнения действия от него доп требуется ввести пароль и имя админа.
С Win7 работа системы лучше, а именно резко уменьшилось количество запросов и увеличилось число операций, которые обычный пользователь может выполнять без повышения прав, а также за счет введения новый параметров данной подсистемы,
вместо двух появилось 4 режима системы:
1)»самый суровый» - уведомлять при установке ПО или попытке внесении изменений, а также при изменении параметров пользователей Windows
2) «уведомлять при установке ПО или попытке внесении изменений!
3) «уведомлять только при попытках программ внести изменения в компьютер»
4) «не уведомлять при попытке программ установить ПО или внести изменение в компьютер, а также при изменении параметров Windowsпользователем».
Все остальные админские записи также требуют запросов
Для админа вместо одного маркера доступа, теперь 2: обычного пользователя и полного доступа.