Реализация защиты в Windows 2000

Защита в автономной системе Windows 2000 реализуется при помощи нескольких компонентов. Регистрацией в системе управляет программа winlogon, а аутентификацией занимаются Isass и msgina.dll. Результатом успешной регистрации в системе является новая оболочка с ассоциированным с ней маркером доступа. Этот процесс использует в реестре ключи SECURITY и SAM. Первый ключ определяет общую политику безопасности, а второй ключ содержит информацию о защите для индивидуальных пользователей.

Как только пользователь регистрируется в системе, выполняется операция защиты при открытии объекта. Для каждого вызова ОрепХХХ требуется имя открываемого объекта и набор прав доступа к нему. Во время обработки процедуры открытия объекта менеджер безопасности проверяет наличие у вызывающего процесса соответствующих прав доступа. Для этого он просматривает все маркеры доступа вызывающего процесса, а также список DACL, ассоциированный с объектом. Он просматривает по очереди элементы списка ACL. Как только он находит запись, соответствующую идентификатору SID вызывающего процесса или одной из его групп, поиск прав доступа считается законченным. Если вызывающий процесс обладает необходимыми правами, объект открывается, в противном случае в открытии объекта отказывается.

Помимо разрешающих записей, списки DACL могут также содержать запрещающие записи. Поскольку менеджер безопасности прекращает поиск, наткнувшись на первую запись с указанным идентификатором, запрещающие записи помещаются в начало списка DACL, чтобы пользователь, которому строго запрещен доступ к какому-либо объекту, не смог получить его как член какой-либо группы, которой этот доступ предоставлен.

После того как объект открыт, дескриптор объекта возвращается вызывающему процессу. При последующих обращениях проверяется, входит ли данная операция в число операций, разрешенных в момент открытия объекта, чтобы, например, не допустить записи в файл, открытый для чтения.

Windows Vista

Управление учетными записями пользователей

Используя Windows XP и более ранние версии операционных систем, отделы IT должны были выбирать между высокой совместимостью приложений и удобством, которые обеспечивались при входе пользователей в систему под учетной записью администратора, и безопасностью и стабильностью работы, которые обеспечивались входом в систему пользователей под учетной записью стандартного пользователя. Управление учетными записями пользователей в Windows Vista позволяет администраторам использовать „ограниченные” разрешения, которые никак не влияют на работу большинства необходимых приложений.

Для обеспечения такой комбинации безопасности и совместимости, Windows Vista автоматически виртуализирует настройки реестра и папок всего компьютера. Изменения, вносимые в виртуализированные настройки реестра и папок, видны только под той учетной записью пользователя, который внес эти изменения, и в тех приложениях, которые запущены под его учетной записью, тем самым обеспечивается более надежная защита компьютера. Если для выполнения приложения действительно необходимы права администратора, то перед его запуском Windows Vista автоматически запросить их у пользователя.

Улучшения платформы

Возможности Windows Vista по аутентификации являются более гибкими, предоставляя широкий ассортимент в выборе специализированных механизмов аутентификации, таких как сканеры отпечатков пальцев и смарт карты. Инструменты развертывания и управления, такие как самообслуживаемый инструмент сброса личного идентификационного номера (PIN), позволяет проще управлять смарт картами и их развертывать. Теперь смарт карты также можно использовать и для входа в систему Windows Vista. Кроме этого, Windows Vista позволяет производить аутентификацию с использованием Internet протокола версии 6 (IPv6) или с использованием Web служб.

Подача заявок на сертификаты теперь сделана проще, поскольку Windows Vista включает в себя расширения Диспетчера Учетных данных (Credential Manager), позволяющего производить резервное копирование и восстановление учетных данных, сохраненных на локальном компьютере. Новая служба Digital Identity Management Service (DIMS) (Служба управления цифровыми удостоверениями) обеспечивает роуминг сертификатов и учетных данных внутри Active Directory и непрерывное сопровождение сертификата на протяжении его всего жизненного цикла с помощью управляющих сценариев.

Возможности Windows Vista по аудиту сейчас позволяют проще отслеживать действия пользователей. Категории аудита теперь включают множество подкатегорий, уменьшая количество несущественных событий. Встроенная в Windows Vista система перенаправления событий аудита накапливает и передает критические данные аудита в центральное хранилище, предоставляя возможность предприятиям лучше их систематизировать и анализировать.

Многоуровневая защита данных

Хищение или потеря корпоративной интеллектуальной собственности вызывают все большее беспокойство в организациях. Windows Vista имеет улучшенную поддержку для защиты данных в документах, файлах, директориях, и на разных уровнях оборудования. Встроенный клиент Управления правами (Rights Management) позволяет организациям принудительно устанавливать политику пользования документами. В файловую систему с шифрованием (Encrypting File System), обеспечивающую шифрование файлов и папок на основе данных о пользователе, было внесено расширение, позволяющее теперь хранить ключи шифрования на смарт картах, обеспечивая их лучшую защиту. Кроме того, новая функция для предприятия BitLocker добавляет защиту данных на уровне оборудования. Она обеспечивает шифрование всего системного тома, включая системные файлы Windows и файл (hibernation), создаваемый при использовании Спящего режима, тем самым помогая защитить данные, находящиеся на потерянном, похищенном ИЛИ СПИСАННОМ оборудовании. Чтобы обеспечить такое решение, которое можно было бы с легкостью разворачивать и управлять, используется чип Trusted Platform Module (TPM) 1.2 (Модуль Доверительной Платформы) для хранения ключей шифрования и дешифрования секторов на жестком диске Windows. Чтобы сделать эту функцию гарантированно простой в использовании для конечного пользователя, на предприятии необходимо наличие инфраструктуры управления TPM.

Windows Vista по умолчанию настроена таким образом, что все запускаемые приложения, которые могут навредить системе или данным запускаются только с согласия пользователя. С одной стороны это может предотвратить дестабилизацию системы и заражение вирусами. А с другой стороны постоянные подтверждения, надоев пользователю, будут им игнорироваться.

<<< < Предыдущая 1 2 3 45 / 65 6 > Следующая >>>

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

#
01.07.2025336.35 Кб5Зачёт по УИП.docx
#
01.12.2018284.67 Кб7зачёт политология.doc
#
26.09.2019438.94 Кб11зачёт Растениеводство.docx
#
14.09.2019123.48 Кб6Зачет.Deal Talking.docx
#
14.05.2015129.95 Кб7ЗАЧЕТ.docx
#
01.05.2025158.72 Кб0Защитные_механизмы_ ОС.doc
#
16.09.201945.57 Кб3защитных средств и предохранительных приспособл...doc
#
14.05.2015195.58 Кб3Заявка форма Админ.doc
#
14.05.201524.58 Кб23Заявления НА ОБЩЕЖИТИЕ.doc
#
15.08.2019770.05 Кб2ЗВ и У. Книга вторая с № источников в издательс...doc
#
15.08.20191.08 Mб3ЗВ и У. Книга первая с № источников в издатель...doc