- •Вопрос 1. История развития ос. Существующие операционные системы и их характеристики. Классификация ос.
- •Вопрос 2. Основные компоненты ос. Назначение, структура и функции ос.
- •Вопрос 3. Требования к операционным системам.
- •Вопрос 4. Понятие ресурса, виды ресурсов, управление ресурсами.
- •Вопрос 5. Виртуальная память. Методы распределения памяти.
- •Вопрос 6. Принцип кэширования данных.
- •Вопрос 7. Понятие процесса. Состояние процесса и переходы между ними.
- •Вопрос 8. Управление процессами. Синхронизация процессов. Семафоры. Использование семафоров для решения задач взаимоисключения и синхронизации. Алгоритмы планирования процессов
- •Вопрос 9. Управление процессами. Сообщения. Тупики. Способы борьбы с тупиками.
- •Вопрос 10. Файловые системы. Fat, hpfs, ntfs. Основные отличия. Общая модель файловой системы.
- •Вопрос 11. Файловая система fat. Структура диска. Файлы. Размещение файлов.
- •Вопрос 12. Файловые системы hpfs и ntfs. Структура диска. Файлы. Размещение файлов.
- •Вопрос 13. Операционная система ms-dos. Порядок загрузки.
- •Вопрос 14. Операционная система ms-dos. Загрузочный сектор жесткого диска. Структура элементов раздела в таблице разделов диска.
- •Вопрос 15. Операционная система ms-dos. Структура загрузочного сектора диска.
- •Вопрос 16. Операционная система ms-dos. Форматы исполняемых файлов.
- •Вопрос 17. Операционная система ms-dos. Структура psp.
- •Вопрос 18. Понятие прерывания. Аппаратные и программные прерывания. Обработка прерываний.
- •Вопрос 19. Структура таблицы векторов прерывания.
- •Вопрос 20. Способы несанкционированного доступа к информации в ms-dos. Возможные механизмы защиты.
- •Вопрос 21. Структура сетевой ос.
- •Вопрос 22. Классификация угроз безопасности ос.
- •Вопрос 23. Понятие защищенной ос. Подходы к построению защищенной ос.
- •Вопрос 24. Архитектура Windows nt. Основные модули Windows nt.
- •Вопрос 25. Архитектура Windows nt. Уровень аппаратных абстракций.
- •Вопрос 27. Windows nt. Интерфейс прикладных программ.
- •Вопрос 28. Ос Windows nт. Понятие объекта. Структура объекта.
- •Вопрос 29. Ос Windows nt. Понятие процесса. Взаимодействие между процессами. Потоки. Нити.
- •Вопрос 30. Ос Windows nt. Модель безопасности и ее компоненты.
- •Вопрос 31. Ос Windows nt. Реестр. Управление конфигурацией. Значимые элементы Реестра.
- •Вопрос 32. Архитектуры сетевой подсистемы ос Windows nt. Встраивание средств защиты в сетевую подсистему.
- •Вопрос 33. Аудит в Windows nt.
- •Вопрос 34. Угрозы безопасности Windows nt и методы защиты.
- •Вопрос 35. Ос Windows nt. Основные функции Win32 api.
- •Пример api функции:
- •Вопрос 37. История развития и общая характеристика семейства ос unix. Основные сведения о системе.
- •Вопрос 38. Архитектура ос unix. Ядро ос. Основные функции. Принципы взаимодействия с ядром.
- •Вопрос 39. Файловые системы unix.
- •Вопрос 40. Ос unix. Понятие процесса. Взаимодействие между процессами. Сигналы.
- •Вопрос 41. Ос unix. Основные функции. Системные операции.
- •Вопрос 42. Ос unix. Управление памятью. Виртуальная память. Принцип Деннинга. Структура виртуального адресного пространства.
- •Вопрос 43. Ос unix. Системные вызовы управления вводом-выводом.
- •Вопрос 44 ос unix. Средства взаимодействия с пользователем.
- •Вопрос 45. Методы защиты информации в ос мсвс.
- •Вопрос 46. Ос unix. Существующие типы файлов.
- •Вопрос 47. Стандарты защищенности ос и адекватная политика безопасности.
- •Вопрос 48. Определение и основные особенности операционных систем реального времени.
Вопрос 30. Ос Windows nt. Модель безопасности и ее компоненты.
Пользовательский режим
Сервис исполняющей подсистемы
Режим ядра
Процесс входа системы принимает запрос на вход пользовательской системы. Данный процесс включает начальный вход в систему: начальное диалоговое окно входа пользователя и процесс удаления входа пользователя системы. РЛБ гарантирует, что пользователь имеет разрешение на обращение к системе. Он генерирует маркеры доступа, управляет политикой локальной безопасности, политикой контроля и регистрирует контрольные события, сгенерируемые с МнБ.
ДББ (SAM): поддерживает БД бюджета пользователя. ДББ поддерживает информацию о бюджетах всех пользователей и групп; SAM обеспечивает аутоидентификацию пользователя.
МнБ проверяет, имеет ли пользователь права доступа к объекту и отслеживает любое предпринимаемое пользователем действие. Данный компонент проводит в жизнь права доступа и политику контроля генерации события. Гарантирует осуществление доступа к объектам только тем пользователям и процессам, выступающие от их имени, которые имеет необходимое разрешение. Генерирует контрольные события.
Бюджет – набор тех прав, которыми обладают пользователи или группа.
Модель безопасности МнБ соответственна уровню С2.
Основные требования:
владелец ресурса должен иметь возможность управлять доступом к ресурсам
перед получением доступа к системе, пользователь должен идентифицировать себя, вводя уникальное имя и пароль. При этом система должна иметь права использовать эту уникальную информацию для контроля действия
администратор системы должен иметь возможность контроля действий, связанных с безопасностью событий
Ос должна защищать объекты от несанкционированного использования другими процессами (защищать память таким образом, чтобы после удаления, другие процессы не могут обратиться к этой информации)
Система должна защищать себя от внешнего вмешательства
Основная цель МБ: контроль и управление доступа к объектам. МБ хранит информацию для каждого пользователя, группы пользователей и объектов. МБ идентифицирует попытки доступа, сделанные непосредственно пользователем или сделаны косвенной программой или другим процессом, выполняющимся в интересах пользователя.
МБ определяет, как объект, к которому обратились, так и способ доступа (администратор может назначить разрешение отдельным пользователям или группе, так и запрещать).
Для файла могут быть назначены следующие разрешения: чтение, удаление, запись, модификация разрешений, выполнение, монопольное использование, отсутствие доступа
Способность назначать разрешения по усмотрению владельца называется контролированным управлением доступа.
Discretionary, Access, Control DAC
Подсистема аудитор позволяет записывать события с целью фиксирования попыток доступа к объектам, разновидности проводимого доступа и его успешности или неуспешности. Для каждого из объектов можно не фиксировать никаких событий, либо успешное или неуспешное события, либо записывать в журнал все события. Пользователь идентифицируется системой с помощью уникального идентификатора безопасности. Данный идентификатор уникален (двух одинаковых нет).
Когда пользователь осуществляет вход в систему, создается маркер доступа (МД). Включает:
-
Идентификатор безопасности для пользователя
-
Идентификатор безопасности для группы
-
Информацию и типы пользователя и групп (имя и т.д.)
Каждый процесс, работающий от имени пользователя, будет иметь его копию МД. Система старается сначала всегда запретить, а потом разрешить (проводит проверку).
NT обращается к идентификатору безопасности внутри МД, когда пользователь делает попытку обращения к объекту. Для определения того, имеется ли разрешение на доступ, идентификатор безопасности пользователя сравнивается со списком разрешения на доступ к объекту. Создание МД:
Нажимаем Ctrl+ Alt+ Delete и вводим имя и пароль.
После ввода процесс входа в систему вызывает локальный распределитель безопасности.
Если бюджет подтвержден, то SAM возвращает идентификатор безопасности пользователя и идентификатор всех групп, к которой принадлежит пользователь.
АП создает сеанс входа системы и передает этот сеанс идентификатору безопасности распорядителю локальной безопасности.
Если вход отклонен, сеанс входа удаляется. Если вход успешен, то создается МД.
Сеанс входа в систему вызывает Win 32 для создания процесса и присоединения полученного МД.
Атрибуты безопасности для объекта описываются дескрипторами безопасности (ДБ). ДБ включает:
Идентификатор безопасности владельца, который указывает пользователя или группу, является владельцем. Владелец объекта может изменять разрешение доступа для объекта.
Идентификатор безопасности группы, используется подсистемой POSIX.
Контрольный список управления доступа (КСУД) (ACL), который определяет, каким пользователем или группой дается или не дается разрешение доступа. ACL управляется владельцем объекта.
Системный ACL. Управляет списком, генерируемых системой контроля сообщений, контролируется администратором безопасности.
Каждая ACL состоит из элемента управлением доступа (ACE) (access……….), которая специфицируют доступ или разрешение контроля, применительно к объекту для отдельного пользователя или группы. 3 типа ACL (2 для контроля и 1 для безопасности системы):
Access Allowed (доступ разрешен)
Access Denied (доступ запрещен)
System Audit (безопасность системы)
2 типа объекта: контейнерные (каталог) (логически содержит другие объекты; объекты внутри контейнерного объекта наследуют разрешение из родительского); неконтейнерные (файл). Каждый тип объекта может иметь до 16 специфических типов доступа.
Для файлов: чтение данных, запись данных, добавление данных, выполнение, чтение атрибутов, запись атрибутов.
Для синхронизации – SYNCHRONIZE.
Для назначения владельца записи – WRITE_OWWER.
Для предоставления или отклонения доступа на запись для контрольной ACL – WRITE_PAC.
Для предоставления или отклонения доступа чтения дескрипторов или владельца – READ_CONTROL.
Для предоставления или отклонения доступа на удаление – DELETE.