Файли необхідні для успішного завантаження Windows 2000/хр

• ntldr (завантажник) - у кореневій директорії завантажувального диска.

• boot.ini - конфігураційний файл завантажника.

• ntdetect.com - збирає інформацію про пристрої.

• ntbootdd.sys - потрібний тільки при наявності SCSI.

• bootfont.bin - тільки для локалізованої версії.

• ntoskrnl.exe - у %SystemRoot%\system32, ядро Windows 2000.

• hal.dll - рівень апаратних абстракцій ядра.

• Роздягнув реєстру SYSTEM - %SystemRoot%\system32\config.

• Драйвери пристроїв - %SystemRoot%\system32\drivers.

Файли config.sys, autoexec.bat

У Windows XP (як і в WinNT/2K) подібний файл називається config.nt. Він піддається модифікації, у тому числі й установці числа одночасно доступних файлів під час роботи підсистеми MS-DOS. Варто тільки розуміти, що в Windows XP, строго говорячи, немає MS-DOS, а є тільки її емуляція.

Контрольні запитання:

1. Охарактеризуйте файлову систему FAT32

2. Охарактеризуйте файлову систему NTFS

3. Поясніть устрій файлової системи NTFS

4. Дайте пояснення зони MFT

5. Охарактеризуйте метод де фрагментації файлової системи NTFS вбудованими методами системи.

6. Назвіть проблеми повязані з де фрагментацією і метод її усунення.

7. Дайте порівняння файлових систем NTFS та FAT32

8. Вкажіть доцільність встановлення файлових систем FAT32 та NTFS. Недоліки та переваги даних систем.

9. Коли краще встановлювати файлову систему FAT32 або NTFS.

Лекція №10

Тема Безпека ОС. Види атак на операційну систему. Критерії оцінки систем безпеки. Парольний захист системи Windows NT/2000/ХР.

Мета: Розяснити правила планування безпеки за допомогою трикутника безпеки. Надати уяву про послідовність атак і методи захисту від них. Надати уяву про види атак і методи захисту. Роз¢яснити парольну будову ОС Windows NT/2000/ХР. Вказати на слабкі місця парольного захисту.

Правила встановлення паролю. Парольний захист системи. Алгоритм відновлення паролю. Захист системи, від несанкціонованого відновлення паролю. Правила при встановленні паролю. Трикутник безпеки. Послідовність атак. Правила встановлення паролю.Засоби взлому системи. Захист від несанкціонованого проникнення.

Налаголдення системи від несанкціонованного доступу.

При розробці безпеки системи потрібно шукати компроміс між захистом системи і функціональністю(працездатністю)

Трикутник безпеки: Безпека

Функціональність Простота у використовуванні

Послідовність атак.

1. Пасивна розвідка (назва, адреса фірми, аналіз мережаних пакетів, пасивний збір інформації)

2. Активна розвідка – активне сканування комп¢ютера для отримання інформації:

• Доступні вузли

• Розташування маршрутизаторів та брандмауерів

• Встановлені ОС

• Відкриті порти

• Працюючі служби

• Версії програмних продуктів

3. Взлом системи

   1. отримання доступу до системи

• атака на ОС – через відкриті служби і портами

• взлом робочої програми – використовування недоробок програм, які створили програмісти

• використовування сценаріїв автоматизації – використовування готових кодів програм для створення власних програм.

• Через неправильне налагодження системи

1. Розширення повноважень – отримання прав адміністратора системи. Наприклад через доступ гістя.

2. Відказ в обслуговуванні – користувачі не можуть отримати доступ до системи.

1. Завантаження “вредоносных” програм – завантаження програм, які будуть використовуватися для розширення повноважень або для взлому інших систем. Наприклад взлому системи Б через систему А.

2. Несанкціоноване отримання даних – кража даних. Якщо винуватця не спіймано при копіюванні даних, знайти майже не можливо.

3. Збереження доступу.

   1. через люки

• додаванням користувача

• заміною одного системного файлу іншим (наприклад переписати програму регістрації в системі)

• встановлення програми, яка працює через визначений порт

1. через троянські програми – програми в яких сховані деякі функції

1. “Сокрытиe следов”

• чистка регістрації файлів журналу. Захист: 1. Збереження файлів журнула на інших комп¢ютерах. 2. Зберігати файли журналів на пристроях , які дозволяють лише записувати.

• Відключення регістрації після проникнення у мережу. Захист: факти проникнення відображаються у системі. У всіх айлах відмічається час останнього доступу і розмір. Потрібно уважно слідкувати за системою.

За оранжевою книгою (Критерії оцінки надійних комп¢ютерних систем – випущеною 1983 року міністерством оборони США) можливо виділити 4 – рі групи безпеки комп¢ютерних систем D, C, B, A. Рівні С і В діляться на класи С (С1, С2) і три класи В(В1, В2, В3).

Спеціалісти пропонують використовувати 2 – а критерії:

Політика безпеки – Під політикою безпеки розуміють сокупність правил, регламентуючих доступ користувачів до системи і складових об¢єктів системи. Політика безпеки повинна враховувати усі можливі атаки зловмисників і передбачати відповідні дії.

Гарантованість – данний критерій дозволяє оцінити ступінь відповідності засобів, як апаратних так і програмних , сформульованих політикою безпеки. Спеціалісти виділяють операціонну гарантованість, під якою розуміють перевірку архітектури системи і її реалізація, технологічну гарантованість, яка охоплює весь процес розгортання системи.гарантованість формується як слідство багатьох тестів та перевірок. Гарантованість це упевненість в тому, що система безпеки працює так як розраховували її творці.

Два самих уразливих ланцюга у безпеці компанії – це легкі паролі і неконтролюємі модеми віддаленого користування.

Пример: Знайдено телефонний номер компанії.

Запускається програма сканування телефонних ліній по базовому діапазону номеру (телефон фірми 555, базовиі 555**. Утиліта сканування потрібна, щоб знайти на другому кінці модем. Маючи список модемів, відбувається перевірка, після отримання запросу на введення імені та паролю, зловмисник проникає до системи.

Парольний захист системи.

Windows NT/2000/ХР зберігають паролі у зашифрованому виді, фкий називається мешем паролей. Хеші на локальній машині отримати достатньо легко, але засіб шифрування такий, що паролі не можливо отримати з хешів. Відновлення паролей заключається у обчисленні хешів по можливим паролям і порівнянні обчислених хешів з тими які маються в дійсності.

Усі зашифровані паролі зберігаються в базі данних SAM – Secutity Account Manager. За мовчанням система Windows 2000/ХР використовує метод шифрування Syskey. Данные, необходимые для расшифровки информации после syskey, хранятся в файле system в той же папке. Но эта папка недоступна никому из пользователей. Доступ к ней имеет только сама операционная система во время своей работы. Получить доступ к файлам SAM и system можно только под управлением другой операционной системы или подключив диск к другому компьютеру с системой Windows.

Даний файл знаходиться в папці %System Root%system32/config і копія в %System Root%/repair. З під самої системи доступ до цього файлу здобути неможливо, тому використовується завантаження альтернативних ОС. Захисту на даний файл не існує. Головна задача при захисті файлу – не допустити доступ до реєструі самого файлу SAM.

Алгоритм відновлення паролю

• Взлом паролю з файлу SAM

1. Взлом Bios

2. Копіювання файлу System/SAM

• Завантаження альтернативної ОС

• використовування програми, яка дозволяє читати NTFS розділи

Дізнатися про проникнення можливо тільки при перегляді дати останнього доступу до файлів в їх атрибутах.

3. Розшифровування паролю в будь якій точці міста

• Якщо пароль більше 14 символів – назначається власній “учетной записи” максимум прав або створення нового користувача з правами адміністратора – методом завантаження спеціального експлоіта.(2 хв)

• Сброс паролю за допомогою спеціальних програм.