- •Механизмы защиты операционных систем
- •Идентификация и аутентификация
- •Элементы системы аутентификации
- •Шифрование паролей в операционных системах
- •Авторизация.
- •Выявление вторжений. Аудит системы защиты
- •Правила разграничения доступа
- •Мандатное управление доступом к объектам компьютерной системы
- •Дискретное управление доступом к объектам компьютерной системы
- •Анализ некоторых популярных ос с точки зрения их защищенности
- •Основные защитные механизмы ос семейства Windows
Основные защитные механизмы ос семейства Windows
Ключевая цель системы защиты Windows – следить за тем, кто и к каким объектам осуществляет доступ. Система защиты хранит информацию, относящуюся к безопасности для каждого пользователя, группы пользователей и объекта. Единообразие контроля доступа к различным объектам (процессам, файлам, семафорам и др.) обеспечивается тем, что с каждым процессом связан маркер доступа, а с каждым объектом – дескриптор защиты. Маркер доступа в качестве параметра имеет идентификатор пользователя, а дескриптор защиты – списки прав доступа. ОС может контролировать попытки доступа, которые производятся процессами прямо или косвенно инициированными пользователем.
Windows отслеживает и контролирует доступ как к объектам, которые пользователь может видеть посредством интерфейса (такие, как файлы и принтеры), так и к объектам, которые пользователь не может видеть (например, процессы и именованные каналы).
Система защиты ОС Windows состоит из следующих компонентов:
Процедуры регистрации (Logon Processes), которые обрабатывают запросы пользователей на вход в систему. Они включают в себя начальную интерактивную процедуру, отображающую начальный диалог с пользователем на экране и удаленные процедуры входа, которые позволяют удаленным пользователям получить доступ с рабочей станции сети к серверным процессам Windows.
Подсистемы локальной авторизации (Local Security Authority, LSA), которая гарантирует, что пользователь имеет разрешение на доступ в систему. Этот компонент – центральный для системы защиты Windows. Он порождает маркеры доступа, управляет локальной политикой безопасности и предоставляет интерактивным пользователям аутентификационные услуги. LSA также контролирует политику аудита и ведет журнал, в котором сохраняются сообщения, порождаемые диспетчером доступа.
Менеджера учета (Security Account Manager, SAM), который управляет базой данных учета пользователей. Эта база данных содержит информацию обо всех пользователях и группах пользователей. SAM предоставляет услуги по легализации пользователей, применяющиеся в LSA.
Диспетчера доступа (Security Reference Monitor, SRM), который проверяет, имеет ли пользователь право на доступ к объекту и на выполнение тех действий, которые он пытается совершить. Этот компонент обеспечивает легализацию доступа и политику аудита, определяемые LSA. Он предоставляет услуги для программ супервизорного и пользовательского режимов, для того чтобы гарантировать, что пользователи и процессы, осуществляющие попытки доступа к объекту, имеют необходимые права. Данный компонент также порождает сообщения службы аудита, когда это необходимо.
Использование сложных паролей. Одним из самых простых способов защиты является использование непростых трудноподбираемых паролей. Такой метод хорошо защищает от так называемых «грубых» атак, суть которых заключается в применении злоумышленниками программ по автоподбору паролей. Также следует помнить, что при увеличении длины пароля всего на один символ, увеличивается и степень числа возможных комбинаций для подбора. В целом, пароль длинной менее 8 символом объективно считается легким для подбора. 10, 12 или 16 символов – уже гораздо лучше.
Внешняя защита.
Даже в случае наличия всего лишь одного компьютера неплохо иметь и внешний брандмауэр/маршрутизатор, роутер, например Linksys, D-Link или Netgear Помимо этого, надежной внешней защите способствуют прокси-сервера, антивирусные и антиспамовые шлюзы. Также нужно учесть, что коммутаторы в плане защиты лучше хабов, маршрутизаторы с трансляцией сетевых адресов (NAT) лучше коммутаторов, а брандмауэры и вовсе суть средство первой необходимости. Обновление программного обеспечения. Для того чтобы проверка приложений на вирусы перед их установкой проходила наиболее эффективно, следует постоянно обновлять программы защиты. Отключение неиспользуемых служб.
Шифрование информации. Степень шифрования данных в каждом случае определяется индивидуально в зависимости от конкретных целей и обстоятельств. Зашифровываются как отдельные файлы, так и целые диски. Системный раздел жесткого диска при этом обычно не затрагивается, поскольку тогда потребуется специальное аппаратное устройство декодировки, однако если требуется безопасность подобного уровня, и имеются соответствующие средства, то можно произвести и такое полносистемное шифрование.
Резервное копирование информации. Это одно из самых важных правил защиты. Резервное копирование может быть простым и примитивным как перенесение информации на компакт-диски, так и комплексным, в виде регулярного автоматического сохранения данных на отдельном сервере.
Кодирование сообщений.
Осторожное отношение к чужим сетям.
Источник бесперебойного питания. ИБП не только помогает сохранить информацию в случае отключения электричества, но и обеспечивает управление параметрами электропитания и предотвращает нарушение работы файловой системы. Стабилизатора напряжения недостаточно для защиты системы от сильных скачков. ИБП защищает как аппаратную, так и информационную часть. Системы мониторинга нарушений и попыток атаки.
Следует постоянно выявлять подозрительные события на предмет взлома системы и хакерских атак. При этом отслеживания трафика только на сетевом мониторе недостаточно, важно наряду с прочими действиями по увеличению уровня защиты проводить полную проверку входящей информации на каждой машине.