- •Вопрос 1. История развития ос. Существующие операционные системы и их характеристики. Классификация ос.
- •Вопрос 2. Основные компоненты ос. Назначение, структура и функции ос.
- •Вопрос 3. Требования к операционным системам.
- •Вопрос 4. Понятие ресурса, виды ресурсов, управление ресурсами.
- •Вопрос 5. Виртуальная память. Методы распределения памяти.
- •Вопрос 6. Принцип кэширования данных.
- •Вопрос 7. Понятие процесса. Состояние процесса и переходы между ними.
- •Вопрос 8. Управление процессами. Синхронизация процессов. Семафоры. Использование семафоров для решения задач взаимоисключения и синхронизации. Алгоритмы планирования процессов
- •Вопрос 9. Управление процессами. Сообщения. Тупики. Способы борьбы с тупиками.
- •Вопрос 10. Файловые системы. Fat, hpfs, ntfs. Основные отличия. Общая модель файловой системы.
- •Вопрос 11. Файловая система fat. Структура диска. Файлы. Размещение файлов.
- •Вопрос 12. Файловые системы hpfs и ntfs. Структура диска. Файлы. Размещение файлов.
- •Вопрос 13. Операционная система ms-dos. Порядок загрузки.
- •Вопрос 14. Операционная система ms-dos. Загрузочный сектор жесткого диска. Структура элементов раздела в таблице разделов диска.
- •Вопрос 15. Операционная система ms-dos. Структура загрузочного сектора диска.
- •Вопрос 16. Операционная система ms-dos. Форматы исполняемых файлов.
- •Вопрос 17. Операционная система ms-dos. Структура psp.
- •Вопрос 18. Понятие прерывания. Аппаратные и программные прерывания. Обработка прерываний.
- •Вопрос 19. Структура таблицы векторов прерывания.
- •Вопрос 20. Способы несанкционированного доступа к информации в ms-dos. Возможные механизмы защиты.
- •Вопрос 21. Структура сетевой ос.
- •Вопрос 22. Классификация угроз безопасности ос.
- •Вопрос 23. Понятие защищенной ос. Подходы к построению защищенной ос.
- •Вопрос 24. Архитектура Windows nt. Основные модули Windows nt.
- •Вопрос 25. Архитектура Windows nt. Уровень аппаратных абстракций.
- •Вопрос 27. Windows nt. Интерфейс прикладных программ.
- •Вопрос 28. Ос Windows nт. Понятие объекта. Структура объекта.
- •Вопрос 29. Ос Windows nt. Понятие процесса. Взаимодействие между процессами. Потоки. Нити.
- •Вопрос 30. Ос Windows nt. Модель безопасности и ее компоненты.
- •Вопрос 31. Ос Windows nt. Реестр. Управление конфигурацией. Значимые элементы Реестра.
- •Вопрос 32. Архитектуры сетевой подсистемы ос Windows nt. Встраивание средств защиты в сетевую подсистему.
- •Вопрос 33. Аудит в Windows nt.
- •Вопрос 34. Угрозы безопасности Windows nt и методы защиты.
- •Вопрос 35. Ос Windows nt. Основные функции Win32 api.
- •Пример api функции:
- •Вопрос 37. История развития и общая характеристика семейства ос unix. Основные сведения о системе.
- •Вопрос 38. Архитектура ос unix. Ядро ос. Основные функции. Принципы взаимодействия с ядром.
- •Вопрос 39. Файловые системы unix.
- •Вопрос 40. Ос unix. Понятие процесса. Взаимодействие между процессами. Сигналы.
- •Вопрос 41. Ос unix. Основные функции. Системные операции.
- •Вопрос 42. Ос unix. Управление памятью. Виртуальная память. Принцип Деннинга. Структура виртуального адресного пространства.
- •Вопрос 43. Ос unix. Системные вызовы управления вводом-выводом.
- •Вопрос 44 ос unix. Средства взаимодействия с пользователем.
- •Вопрос 45. Методы защиты информации в ос мсвс.
- •Вопрос 46. Ос unix. Существующие типы файлов.
- •Вопрос 47. Стандарты защищенности ос и адекватная политика безопасности.
- •Вопрос 48. Определение и основные особенности операционных систем реального времени.
Вопрос 33. Аудит в Windows nt.
Журнал аудита
Расположен по адресу: / System 32/ Config/ SecEvent.evt
Формат файла не документирован, информация в открытом виде, защита журнала организовывается средствами системы организации доступа.
Для просмотра существуют утилиты. По умолчанию, позволяет читать журнал аудита администратору и аудиторам.
Все пользователи, которые могут читать, могут очищать его. Факт очистки журнала фиксируется сразу.
Максимальный размер 512 КБ. Может быть меньше. Шаг 64 КБ.
При переполнении журнала система может поступить следующим образом:
старые события стираются по мере необходимости.
если самое старое событие в журнале зафиксировано более n дней назад (n задается администратором), одно или несколько самых старых событий стираются. В противном случае новые события не будут регистрироваться (т.е. n дней не прошло, а журнал переполнен).
Если значение в реестре, записывается в реестр:
/ Registry/ Machine/ System/ Current Countable/ Control/ OSA/ Crash ON Audit FALE = 1
Если значение равно 1, при переполнении журнала это значение становится равным 2, после чего происходит крах ОС. При следующей загрузке в ОС, вход возможен только с правами администратора, который принудительно очищает журнал, возвращает значение в 1 и перезагружает компьютер.
Для обновления записи журнал аудита Win 32 API вводятся следующие функции: •Object Open Audit Alarm •Object Close Audit Alarm •Object Privilege Audit Alarm •Privileged Service Audit Alarm •Access Check And Audit Alarm
Политика аудита
NT позволяет регистрировать в журнале событий: •Вход \ выход пользователя в ОС •Доступ субъекта к объекту •Изменение в списке пользователя •Изменения в политике безопасности •Системное событие •Запуск и завершение процессов •Использование субъектами доступа опасных привилегий •Для каждого класса событий могут регистрироваться только успешные события, только неуспешные события, и те, и те, или никакие события.
Для NT опасными считаются следующие привилегии: •Получение оповещения от файловой системы •Добавление записи в журнал аудита •Создание МД •Назначение МД процессам •Отладка программ •Создание резервной копии информации и восстановление •Стандартное программное обеспечение регистрирует события в журнале аудита 52 типов.
Требования: адекватность политики заключается в том, что регистрируются те события, которые необходимы.
Желательно регистрировать: •вход- выход пользователя (успешные и неуспешные попытки) •доступ субъекта к объекту (целесообразно регистрировать, если есть подозрение злоупотребления использования объекта) •успешные попытки изменения списка пользователей должны регистрироваться всегда •изменения в политике безопасности должны регистрироваться всегда •системные события нецелесообразно регистрировать (их слишком много) •запуск и завершение процесса регистрировать целесообразно, если есть подозрение на вирус или вражескую программу
Достоинства: Возможность аудита.
Недостатки:
-
Журнал защищен от несанкционированного доступа только средствами разграничения доступа.
-
Отсутствие удобных и эффективных средств для отделения пользователей аудитора от пользователей администратора.
-
Количество категорий событий аудита недостаточно.
-
Многие важные с точки зрения безопасности системы события не могут быть зарегистрированы в журнале.
Порядок функционирования системы безопасности определяется большим числом настроек которые при инсталляции по умолчанию установятся таким образом, что решению задач защиты информации отводится второстепенная роль.
Угроза безопасности конфиденциальности информации
Атака, реализуемая через воздействие на подсистему аутоидентификации.