3-1 Основи побудови та захисту сучасних операційних систем / Защита_операционных_систем_КНМЗ
.pdf
СПОСОБИ ПОСИЛЕННЯ ПАРОЛЯ
За допомогою завдання додаткових вимог до параметрів пароля
Збільшення довжини пароля (числа символів в паролі)
Збільшення алфавіту набором символів одного типу
Збільшення алфавіту набором типів символів
За допомогою включення обмежень на процедуру аутентифікації
Обмеження на число невірно введених значень пароля
Обмеження на число типів символів в паролі
Обмеження на повторюваність пароля (історія паролів)
Обмеження на можливість завдання простих паролів
Обмеження на періодичність зміни паролів користувачем
Парольний захист документів Office
У зв'язку з тим, що в документах Office 2007/2010 реалізовано шифрування за алгоритмом AES з довжиною ключа 128 символів,
рекомендується документи шифрувати саме в форматі docx.
Паролі в файлах, створених у форматі Office 2010 перебираються
повільніше ніж в Office 2007.
Середня швидкість перебору - 200 паролів в секунду (без застосування технологій підбору паролів за допомогою ресурсів відеокарт).
Отже - довжина пароля не менше 10 символів і формат Office версії не нижче, ніж 2010 року.
ПАРОЛЬНИЙ ЗАХИСТ АРХІВІВ
реалізовані алгоритми шифрування
Standard Zip 2.0 encryption - використовується за умовчанням.
128-bit AES encryption - криптографічний алгоритм AES з довжиною ключа 128 біт.
256-bit AES encryption -
криптографічний алгоритм AES з довжиною ключа 256 біт (посилений алгоритм шифрування)
WinZip не шифрує коментарі zip-файлів і такі властивості зашифрованих файлів як найменування, дати і т.д. !!!
AES з довжиною ключа 128 біт
Пам'ятай!!! Файли, зашифровані вWinRAR, будуть відкриватися і в WinZip. Однак зворотне буде працювати лише для алгоритму
шифрування Zip 2.0.
.zip |
.rar |
Довжина пароля не менше 10 символів. Пароль пповинен містити 3 наборів символів з 4-х.
Основи побудови та захисту сучасних операційних систем
Лекція 09
ІДЕНТИФІКАТОРИ БЕЗПЕКИ OS WINDOWS
1.Ідентифікатори безпеки OS Windows
2.Права та привілеї облікових записів користувачів
Лектор: к.т.н., доцент І.С. Добринін, факультет Інфокомунікацій, кафедра Інфокомунікаційної інженерії
Основи побудови та захисту сучасних операційних систем
1. ІДЕНТИФІКАТОРИ БЕЗПЕКИ OS WINDOWS
Ідентифікатори
безпеки OS Windows
Ідентифікатор захисту комп'ютера - це унікальний ідентифікатор, що генерується програмою установки Windows Setup, який Windows використовує як основний ідентифікатор безпеки для визначених адміністратором локальних акаунтів і груп.
Після того, як користувач авторизується в системі, він представляється їй своїми ідентифікаторами SID 
користувача і групи відповідно до авторизації об'єкта
(перевірками прав доступу).
ACL (Access Control List - список контролю доступу) - визначає, хто або що може отримувати доступ до конкретного об'єкта, і які саме операції дозволено або заборонено цьому суб'єкту проводити над об'єктом.
Ідентифікатор безпеки (SID) - це унікальний ідентифікатор змінної довжини, що генерується програмою установки Windows Setup, який
використовується як основний ідентифікатор безпеки для визначених адміністратором локальних облікових записів і груп.
Windows використовує ідентифікатори SID для уявлення не тільки машин, але і всіх інших об'єктів системи безпеки
|
|
|
|
|
|
|
|
|
|
локальні |
|
користувачі |
|
|
групи безпеки |
||||
комп'ютери |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
домени |
|
|
|
члени доменів |
|
|||
|
|
|
|
|
|
|
|
|
|
об'єкти ідентифікації
Система зберігає SID у бінарної формі, однак існує і текстова форма представлення ідентифікаторів.
Текстова форма використовується для виведення поточного значення SID, а також для інтерактивного введення (наприклад, до реєстру).
Визначення:
Ідентифікатор SID - це числове значення змінної довжини, що формується з номера версії структури SID, 48-бітного коду агента ідентифікатора і змінної кількості 32-бітних кодів субагентов і / або
відносних ідентифікаторів (Relevant ID, RID).
Агент: сторона, яка видала SID.
Код агента ідентифікатора (identifier authority value) визначає агент, який видав SID (6 байт).
Таким агентом зазвичай є локальна система або домен під керуванням Windows.
Субагент: попечитель, уповноважений агентом.
Коди субагентов ідентифікують піклувальників, уповноважених агентом, який видав SID (від 1 до 15 кодів по 4 байта кожен),
RID - засіб створення унікальних SID на основі загального базового SID.
При створенні будь-якого об'єкта системи безпеки (комп'ютер, користувач, група, домен, члени домену) система Windows генерує відповідні ідентифікатори SID.
Ще до того, як буде створений перший обліковий запис, Windows визначає кілька вбудованих користувачів і груп, включаючи облікові записи Адміністратор і Гість
Замість того, щоб генерувати нові випадкові ідентифікатори SID для
цих облікових записів, Windows гарантує їх унікальність, додаючи до SID комп'ютера унікальні для кожного облікового запису числа, звані відносними ідентифікаторами (Relative Identifier, RID)
Проблема клонування комп'ютерів:
Якщо ви клонуєте комп'ютер, підключений до домену, то єдиний спосіб отримання унікального доменного облікового запису - це виключення комп'ютера зі складу домену, зміна його імені і зворотне включення його в домен.