- •Кафедра автоматизації і комп’ютерних систем
- •Классификация архитектурных типов процессоров.
- •Традиционно машинный уровень.
- •Команды обращения к процедурам
- •Процедуры
- •Управление циклами
- •Представление данных
- •Управление процессами
- •Типы адресации
- •Поиск и сортировка
- •Сортировка данных
- •Межпроцессорное взаимодействие.
- •Критические области.
- •Методы синхронизации с пассивным ожиданием.
- •Решение задачи производительности потребителя с помощью мониторов.
- •Разработка систем с помощью передачи сообщений.
- •Классические проблемы межпроцессорного взаимодействия.
- •Планировщик процессов
- •Планирования в системах реального времени.
- •Организация виртуальной памяти.
- •Стратегии замещения страниц.
- •Алгоритм «2-я попытка»
- •Алгоритм «часы»
- •Алгоритм nfu (редко используемая страница)
- •Методы ускорения работы со страницами
- •Способы ассемблирования
- •Связывание программ
- •Структура объектного модуля
- •Атака системы безопасности
- •Принципы проектирования систем безопасности.
- •Аутентификация пользователей
- •Механизм защиты
- •Технические механизмы защиты
- •Защита информации при передаче
- •Основные понятия криптографии:
- •Криптографический протокол
- •Гибридные криптосистемы
- •Цифровая подпись
- •Сертификаты
- •Алгоритм des
- •Принципы аутентификации управления доступом
- •Аутентификация с использованием односторонних функций
- •Аутентификация по принципу "запрос-ответ"
- •Аутентификация управления доступом в Unix
- •Супер-пользователь Root
- •Теневые пароли
- •Поддержка возможностей в Linux.
- •Аутентификация.
- •Идентификаторы безопасности.
- •Одалживание прав.
- •Управление доступом Windows xp.
- •Аудит. Общие принципы.
- •Локальная безопасность.
- •Сетевая безопасность
Поддержка возможностей в Linux.
В отличии от Unix Linux позволяет задать списки возможностей для отдельных процессов. Поэтому Linux позволяет выделить процессу час прав супер-пользователя, не выделяя все что существенно повышает работу системы.
Аутентификация управления доступом к Windows XP.
Архитектура безопасности Windows XP содержит следующие компоненты:
1. Процесс регистрации пользователей, т.н. Win Logon который обрабатывает запросы пользователя на регистрацию.
2. Менеджер аутентификации (LSAS), который непосредственно аутентифицировал пользователя, является центральным компонентом системы безопасности и контролирует политику аудита.
3.Менеджер учета записей (SAM). Поддерживает базу учетных записей с именами и паролями локальных пользователей и групп. При аутентификации взаимодействует с LSAS.
4. Справочный монитор защиты (SRM). Проверяет права пользователя на доступ к объекту и выполняет действие над объектом при наличии этих прав. Это единственный компонент системы безопасности работающий в режиме ядра. Он реализует политику контроля доступа и гарантирует что пользователь или процесс, получивший доступ к объекту имеет все права на него. Для сетевой аутентификации учет записи хранится не в базе данных учета записей, а в активном каталоге. Это специализированное хранилище данных. При сетевой аутентификации LSAS – обращается к службе активного каталога удаленного компьютера.
Аутентификация.
Windows XP, требует чтобы каждому пользователю соответствует учетная запись, связанная с профилем защиты, который включает информацию для контроля доступом. Профили защиты хранятся в БД SAM. Регистрация пользователя в системе имеет следующие шаги:
1. Процесс Win Logon ожидает попытку входа в систему.
2. При нажатии Ctrl+Alt+Del Win Logon предлагает пользователю ввести учетную запись и пароль. При этом используется спец. dll графической аутентификации: msgina.dll, которая доступна для вызова пользователя программами. Кроме того возможно записать другую библиотеку с тем же названием на альтернативным методом аутентификации.
3. Данные введенные пользователем передаются процессу регистрации Win Logon, затем передаются менеджеру аутентификации который использует БД менеджера SAM. Робота с базами данных в этом случае выполняется согласно протокола запрос-ответ. Альтернатива такому протоколу – протокол Kerberos.
4. В случае успешной аутентификации создается маркер доступа – объект, который определяется, к каким системным ресурсам имеют доступ процессы, созданные текущим пользователем.
5. После успешной аутентификации LSAS создает процесс и присоединяет к нему маркер доступа пользователя.
Процесс передается подсистеме Win 32, который запускает процесс в адресном пространстве приложений, которое определяется в системном регистре как оболочка система. По умолчанию оболочка explorer.exe (визуальный вид рабочего стола).
Идентификаторы безопасности.
Уникальные идентификаторы безопасности закреплены за каждым пользователем и группой (SID). Это целочисленные значения состояний из заголовка и целочисленной части. Системы безопасности обращаются к пользователю или группе по их SID. Win api обладают рядом функций для работы с SID.
Маркеры доступа.
Маркеры доступа пользователя связывают со всеми процессами, которые он создает.
Маркер содержит следующую информацию:
1. SID пользователя запустившего процесс.
2. Список групп к которым принадлежит пользователь.
3. Список привилегий пользователя.
4. Список контроля доступа по умолчанию. Он определяет первичные права доступа для объектов связанных с процессами текущего пользователя.
В случае попытки процесса открыть дескриптор объекта, дескриптор объектов обращается к справочному монитору защита SRM. SRM получает маркер доступа процесса, и по содержащийся в нем информации определяет, имеет ли процесс права доступа к объекту. Win api позволяет приложениям получить маркер доступа к процессам.