3-1 Основи побудови та захисту сучасних операційних систем / Защита_операционных_систем_КНМЗ

ПРИНЦИПОВІ НЕДОЛІКИ ЗАХИСНИХ МЕХАНІЗМІВ UNIX-подібних ОС

Неможливо забезпечити замкнутість (або цілісність) програмного середовища.

Це пов'язано з неможливістю установки атрибута «виконання» на каталог (для каталогу даний атрибут обмежує можливість «огляду»

вмісту каталогу).

Тому, при розмежуванні адміністратором доступу користувачів до каталогів, користувач, як «власник» створюваного ним файлу, може занести в свій каталог виконуваний файл і, як його «власник», встановити на файл атрибут «виконання», після чого запустити записану ним програму.

Ця проблема безпосередньо пов'язана з реалізованою в ОС концепцією захисту інформації.

6

Не в повному обсязі реалізується дискреційна модель доступу

Зокрема не можуть розмежовуватися права доступу для користувача «root» (UID = 0). Тобто даний суб'єкт доступу виключається зі схеми управління доступом до ресурсів. Відповідно всі процеси, що їм запускаються, мають необмежений доступ до ресурсів, що захищаються.

Зцим недоліком системи захисту пов'язано безліч атак, зокрема:

несанкціоноване отримання прав root;

запуск з правами root власного виконуваного файлу (локально або віддалено впровадженого). При цьому несанкціонована програма отримує повний доступ до ресурсів, що захищаються і т.п.

Неможливо вбудованими засобами гарантовано видаляти залишкову інформацію.

Для цього в системі абсолютно відсутні відповідні механізми.

7

Більшість ОС даного сімейства не володіють можливістю контролю цілісності файлової системи

Більшість ОС даного сімейства не містять відповідних вбудованих засобів контролю цілісності файлової системи.

В кращому випадку додатковими утилітами може бути реалізований

контроль конфігураційних файлів ОС за розкладом, в той час, як найважливішої можливістю даного механізму можна вважати контроль цілісності програм (додатків) перед їх запуском, контроль файлів даних користувача та ін.

Не забезпечується реєстрація видачі документів на «тверду копію», а також деякі інші вимоги до реєстрації подій.

Вбудованими засобами захисту деяких ОС сімейства UNIX управління доступом до хостів не реалізується.

8

ОСНОВНІ ЗАХИСНІ МЕХАНІЗМИ WINDOWS-подібних ОС

Ідентифікація та аутентифікація користувача при вході в систему

9

ПРИНЦИПОВІ НЕДОЛІКИ ЗАХИСНИХ МЕХАНІЗМІВ WINDOWS-подібних ОС

Неможлива в загальному випадку реалізація централізованої схеми адміністрування механізмів захисту або відповідних формалізованих вимог.

Не в повному обсязі реалізується дискреційна модель доступу

Неможливо вбудованими засобами гарантовано видаляти залишкову інформацію.

Неможливо в загальному випадку забезпечити замкнутість (або цілісність) програмного середовища

ОС сімейства Windows не володіють в повному обсязі можливістю контролю цілісності файлової системи.

Не забезпечується реєстрація видачі документів на «тверду копію», а також деякі інші вимоги до реєстрації подій.

Механізм управління доступу до хостів в повному обсязі не реалізується.

10

МЕТОДИ, ЩО ДОЗВОЛЯЮТЬ НЕСАНКЦІОНОВАНОГО ВТРУТИТИСЯ В РОБОТУ ОПЕРАЦІЙНОЇ СИСТЕМИ

1. Що дозволяють несанкціоновано запустити виконуваний код.

2. Що дозволяють здійснити несанкціоновані операції читання / запису файлових або інших об'єктів.

3.Що дозволяють обійти встановлені розмежування прав доступу.

4.Що призводять до відмови (Denial of Service) в обслуговуванні (системний збій).

5.Використовують вбудовані недокументовані можливості (помилки і закладки)

6.Використовують недоліки системи зберігання або вибору (недостатня довжина) даних про аутентифікації (паролі) і дозволяють шляхом реверсування, підбору або повного перебору всіх варіантів отримати ці дані.

7.Троянські програми.

8.Інші.

12

Порівняльний аналіз антівірусних програм для OS Windows

Windows 7

Windows 8

15