3-1 Основи побудови та захисту сучасних операційних систем / Защита_операционных_систем_КНМЗ
.pdf20
КОНТРОЛЬНІ ПИТАННЯ
1.Дайте визначення програми з точки зору функціонування операційних
систем.
2.Що розуміється під процесом? Які типи процесів вам відомі?
3.Що розуміється під системним процесом?
4.Які процеси називаються демонами? Наведіть приклад процесу-
демона.
5.У яких режимах може відбуватися виконання процесів? У чому переваги і недоліки кожного з режимів?
6.Назвіть основні види ресурсів, які використовують процеси.
7.Вкажіть основні функції операційної системи з управління процесами
івиділеним їм ресурсів.
8.Які вам відомі внутрішні засоби OS Windows з моніторингу процесів в операційній системі. Вкажіть порядок їх виклику (запуску).
9.Вкажіть синтаксис основних команд Command Line використовуваних для контролю і управлінням процесами в OS Windows.
10.Які вам відомі зовнішні програми з моніторингу процесів в операційній системі. У чому переваги / недоліки зазначених програм в порівнянні з внутрішніми засобами OS Windows?
21
ПРАКТИЧНЕ ЗАНЯТТЯ №3.
Тема: Дослідження механізмів забезпечення безпеки ресурсів операційних систем за допомогою дозволів NTFS.
Мета заняття: отримання практичних навичок при роботі з файловою системою NTFS та вирішенні задач забезпечення безпеки ресурсів операційних систем за допомогою дозволів NTFS.
ЗАГАЛЬНІ ВІДОМОСТІ ЗА ТЕМАТИКОЮ ЗАНЯТТЯ
Дозволи NTFS дозволяють явно вказати, які користувачі і групи мають доступ до файлів і папок і які операції з вмістом цих файлів або папок їм дозволено виконувати. Дозволи NTFS можуть бути застосовні тільки до томів, відформатованим з використанням файлової системи NTFS. Вони не передбачені для томів, які використовують файлові системи FAT або FAT32. Система безпеки NTFS ефективна незалежно від того, чи звертається користувач до файлу або папці, розміщених на локальному комп'ютері або в мережі.
Дозволи, що встановлюються для папок, відрізняються від дозволів, що встановлюються для файлів. Адміністратори, власники файлів або папок і користувачі з дозволом Повний доступ (FullControl) мають право призначати дозволи NTFS користувачам і групам для управління доступом до цих файлів і папок.
Дозволи для папок в NTFS
Ви можете встановити дозволу для папок для керування доступом користувачів до папок і файлів в цих папках. У таблиці 3.1 перераховані стандартні дозволи для папок в NTFS, які ви можете встановити, і забезпечуються ними типи доступу. Ви можете заборонити дозвіл для користувача або групи. Для повної заборони доступу користувача або групи до папки, відмовте в дозволі Повний доступ (FullControl).
22
Таблиця 3.1 Дозволи для папок в NTFS
Дозволи для папок в
Права користувача
NTFS
|
Читання (Read) |
|
|
Переглядати файли і папки, а також список |
||||
|
|
|
|
власників дозволу і атрибути папки [такі, як Тільки |
||||
|
|
|
|
читання |
(Read-Only), |
Прихований |
(Hidden), |
|
|
|
|
|
Архівний (Archive) і Системний (System)] |
|
|||
|
|
|
|
|
||||
|
Запис (Write) |
|
|
Створювати нові файли і папки всередині папки, |
||||
|
|
|
|
змінювати атрибути папки і переглядати власників |
||||
|
|
|
|
та дозволу для папки |
|
|
|
|
|
|
|
|
|
|
|||
|
Список вмісту |
папки |
Переглядати імена файлів і папок |
|
|
|||
|
(ListFolderContents) |
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
Читання |
|
і |
Переміщуватися по структурі папок у пошуку інших |
||||
|
виконання(Read |
& |
файлів або папок, навіть якщо користувач не володіє |
|||||
|
Execute) |
|
|
дозволом на доступ до папок, що переглядаються. |
||||
|
|
|
|
Виконувати всі дії, право на які дають дозволи |
||||
|
|
|
|
Читання |
(Read) і |
Список |
вмісту |
папки |
|
|
|
|
(ListFolderContents) |
|
|
|
|
|
|
|
|
|||||
|
Змінити (Modify) |
|
Видаляти папки і виконувати всі дії, право на які |
|||||
|
|
|
|
дають дозволи Запис (Write) і Читання і виконання |
||||
|
|
|
|
(Read & Execute) |
|
|
|
|
|
|
|
|
|||||
|
Повний |
доступ |
Змінювати дозволи, змінювати власника, видаляти |
|||||
|
(FullControl) |
|
|
папки та файли і виконувати дії, право на які дають |
||||
|
|
|
|
всі інші дозволи NTFS для папок |
|
|
||
|
|
|
|
|
|
|
|
|
23
Дозволи для файлів в NTFS
Ви можете встановлювати дозволи на доступ до файлів для управління доступом користувачів до файлів. У таблиці 3.2 перераховані стандартні дозволи для файлів в NTFS, які можна встановити.
Таблиця 3.2 Дозволи для файлів в NTFS
Дозволи для |
|
права користувача |
файлів в NTFS |
|
|
|
|
|
Читання (Read) |
Переглядати файли, власників, дозволи і |
|
|
|
атрибути |
|
|
|
Запис (Write) |
|
Перезаписувати файл, змінювати атрибути |
|
|
файлів і переглядати власників та дозволи |
|
|
|
Читання |
і |
Запускати додатки і виконувати (Read & |
виконання(Read |
& |
Execute) всі дії, право на які дає дозвіл читання |
Execute) |
|
(Read) |
|
|
|
Змінити |
|
Змінювати і видаляти файл, а також |
(Modify) |
|
виконувати всі дії, право на які дають дозволи Запис |
|
|
(Write) та Читання і виконання (Read & Execute) |
|
|
|
Повний доступ |
Змінювати дозволи, змінювати власника і |
|
(FullControl) |
|
виконувати дії, право на які дають всі інші дозволи |
|
|
NTFS для файлів |
|
|
|
Список управління доступом
В NTFS зберігається список управління доступом (Accesscontrollist, ACL) для кожного файлу і папки на томі NTFS. У цьому списку перераховані користувачі і групи, для яких встановлені дозволи для файлу або папки, а також самі призначені дозволи. Щоб користувач отримав доступ до ресурсу, в ACL повинна бути запис, званий елемент списку управління доступом
(Accesscontrolentry, АСЕ), для цього користувача або групи, до якої він належить. Цей запис призначить запитуваний тип доступу [наприклад,читання (Read)] користувачеві. Якщо в ACL немає відповідної АСЕ, то користувач не отримає доступ до ресурсу.
24
Множинні дозволи NTFS
Ви можете встановити кілька дозволів користувачеві і всім групам, членом яких він є. Для цього ви повинні мати уявлення про правила і пріоритети, за якими в NTFS призначаються і об'єднуються множинні дозволи і про спадкування дозволів NTFS.
Ефективні дозволи
Ефективні дозволи користувача для ресурсу - це сукупність дозволів NTFS. які ви призначаєте окремому користувачеві і всім групам, до яких він належить. Якщо у користувача є дозвіл читання (Read) для папки і він входить до групи, у якій є дозвіл запис (Write) для тієї ж папки, значить, у цього користувача є обидва дозволи.
Пріоритет дозволів для файлів над дозволами для папок
В NTFS дозволи для файлів мають більший пріоритет, ніж дозволи для папок. Якщо у вас є дозвіл на доступ до файлу і право Обхід перехресної перевірки (BypassTraverseChecking), то ви зможете скористатися доступом до цього файлу, навіть якщо у вас немає доступу до папки, в якій міститься файл. Ви можете отримати доступ до тих файлів, для яких у вас є дозволи, скориставшись UNC-ім'ям файлу або локальним шляхом для відкриття файлу у відповідній програмі. Це можливо, навіть якщо папка, в якій знаходиться файл, невидима і у вас немає відповідного дозволу для даної папки. Іншими словами, якщо у вас немає дозволу на доступ до папки, яка містить потрібний вам файл, для доступу до файлу вам необхідно мати право Обхід перехресної перевірки (BypassTraverseChecking) і знати повний шлях до файлу.
Пріоритет заборони над дозволами
Ви можете заборонити доступ до файлу користувачеві або групі, хоча цей метод контролю ресурсів не можна назвати кращим. Заборона має більший пріоритет, ніж дозвіл на всіх рівнях, на які він поширюється. Навіть якщо у групи, в яку входить користувач, є дозвіл на доступ до файлу або папці, заборона на доступ для користувача блокує всі наявні дозволи.
25
Спадкування дозволів в NTFS
За замовчуванням, дозволи, що призначаються батьківській папці, успадковуються і поширюються на підпапки та файли, що містяться в батьківській папці. Однак ви можете запобігти успадкування дозволів.
Загальне уявлення про спадкування дозволів
Всі дозволи, що встановлюються для батьківської папки, також діють і на підпапки та файли, що містяться в батьківській папці. При установці дозволу NTFS на доступ до папки, ви одночасно встановлюєте дозволи як для всіх існуючих підпапок і файлів, так і для створюваних до батьківської папці нових файлів і підпапок.
Запобігання успадкування дозволів
Ви можете запобігти успадкування дозволів, призначених для батьківської папки, підпапки і файлами, що містяться в ній. Це означає, що папки та файли залишаються без успадкування дозволу, встановленого для батьківської папки. Папка, для якої ви запобігли спадкування, стає новою батьківської папкою. Папки і файли, що містяться в цій новій батьківській папці, успадковують дозволи, встановлені для неї.
Усунення проблем з дозволами
При установці дозволів NTFS для файлів і папок можуть виникати різні проблеми. При копіюванні або переміщенні файлів і папок дозволи, встановлені для них, можуть змінюватися. Існують особливі правила зміни дозволів. Розуміння їх допоможе вам вирішувати виникаючі проблеми. Усунення цих проблем є важливим фактором для підтримки доступності ресурсів для відповідних користувачів і захисту від неавторизованих користувачів.
Копіювання файлів і папок
При копіюванні файлів або папок з однієї папки в іншу або з одного тому на інший, дозволи змінюються.
При копіюванні файлу всередині томи NTFS або з одного тому NTFS на інший зверніть увагу на наступне:
- Windows звертається до скопійованого файлу, як до нового. В якості нового файлу він приймає дозволу папки, куди він був скопійований;
26
-для копіювання файлів і папок необхідно володіти дозволом Запис (Write) для папки, куди ви копіюєте дані;
-ви стаєте творцем і власником скопійованих файлів і папок.
Переміщення файлів і папок
При переміщенні файлу або папки дозволи можуть змінюватися в залежності від того, куди ви переміщаєте файл або папку.
Переміщення всередині томи NTFS
При переміщенні файлу або папки всередині тому NTFS зверніть увагу на наступне:
-файл або папка зберігають первинні дозволи;
-для переміщення файлів або папок необхідний дозвіл Запис (Write) для папки, куди ви переміщаєте файли або папку;
-необхідно володіти дозволом Змінити (Modify) для переміщуваного файлу або папки. Для переміщення файлу або папки необхідно мати дозвіл змінити (Modify).
Переміщення з одного тому NTFS на інший
При переміщенні файлу або папки з одного тому NTFS на інший зверніть увагу на наступне:
-файл або папка успадковують дозволи папки, куди вони переміщаються;
-для переміщення файлів або папок необхідний дозвіл Write (Запис) для папки, куди ви перемішаєте файли або папку;
-необхідний дозвіл Змінити (Modify) для переміщуваного файлу або папки. Для переміщення файлу або папки необхідно дозвіл Змінити (Modify);
-ви стаєте творцем і власником переміщених файлів або папок.
27
ЗАВДАННЯ ДЛЯ ВИКОНАННЯ РОБОТИ
Встановлення дозволів NTFS і особливих дозволів
Завдання 1. Визначення дозволів NTFS, що встановлюються за замовчуванням для папки
-визначення дозволів за замовчуванням для папки
-перевірка дозволів, встановлених для папки Public. Завдання 2. Встановлення дозволів NTFS
-встановлення дозволів NTFS для папки;
-перевірка дозволів NTFS для папки;
-встановлення дозволів NTFS для файлів;
-перевірка дозволів NTFS для файлів.
Зміна дозволів NTFS
Завдання 1. Зміна власника файлу.
-визначення дозволів для файлу;
-встановлення дозволів, що дозволяє користувачеві змінити власника;
-зміна власника файлу;
-перевірка дозволів для файлу в якості власника.
Завдання 2. Копіювання та переміщення папок
-створення папки при підключенні з обліковим записом користувача;
-створення папки при підключенні з обліковим записом члена групи Адміністратори (Administrators);
-копіювання папки в іншу папку на одному і тому ж томі NTFS в OSWindows;
-переміщення папки на одному і тому ж томі.
Завдання 3. Видалення файлу, для якого встановлено заборону на всі дозволи
-Створення файлу і заборона доступу до нього;
-Перегляд результату заборони дозволу Повний доступ (FullControl) до
папки.
28
КОНТРОЛЬНІ ПИТАННЯ
1.Визначення прав доступу до об’єктів в ОС Windows.
2.Алгоритми визначення прав доступу.
3.Роль елементів контролю доступу (Access Control Entry, АСЕ) в порядку доступу до об’єктів.
4.Дозволи для папок та файлів в NTFS.
5.Зв’язок NTFS зі списком управління доступом (Access Control List,
ACL).
6.Поняття про ефективні та множинні дозволи.
7.Пріоритети та успадкування дозволів.
8.Порядок встановлення дозволів NTFS.
9.Додавання користувачів або груп користувачів до певних дозволів.
10.Рекомендації, щодо встановлення дозволів («краща практика»).
11.Поняття про особливі дозволи. Порядок призначення або заборони особливих дозволів.
12.Основні проблеми, що пов’язані зі встановленням дозволів.
13.Дозволи, що встановлюються при переміщенні файлів та папок із апріорі наданими певними дозволами.
29
ПРАКТИЧНЕ ЗАНЯТТЯ №4.
Тема: Дослідження політики управління паролями та блокіровки облікових записів.
Мета заняття: отримання практичних навичок щодо управління паролями та блокіровки облікових записів.
ЗАГАЛЬНІ ВІДОМОСТІ ЗА ТЕМАТИКОЮ ЗАНЯТТЯ
Основними обліковими записами в локальних OS Windows є облікові записи користувачів і облікові записи груп. Розглянемо детальніше.
1. Користувачі
Локальний користувач або група - це обліковий запис, якому можуть бути надано дозволи і права на вашому комп'ютері. Домен або глобальні користувачі і групи управляються мережним адміністратором. Є можливість додати локальних користувачів, глобальних користувачів і глобальні групи в локальні групи. Однак неможливо додати локальних користувачів і локальні групи в глобальні групи.
Користувачі і групи важливі для безпеки Windows, оскільки дозволяють обмежити можливість користувачів і груп виконувати певні дії шляхом призначення їм прав і дозволів. Право дасть можливість користувачеві виконувати на комп'ютері певні дії, такі як архівування файлів і папок або завершення роботи комп'ютера. Дозвіл являє собою правило, пов'язане з об'єктом (наприклад, файлом, папкою чи принтером), яке визначає, яким користувачам і якого типу доступ до об'єкта дозволений.
Операційна система містить кілька вбудованих облікових записів користувачів і груп, які не можуть бути видалені.
Основними типами облікових записів в OS Windows є:
1.Обліковий запис адміністратора,
2.Обмежений обліковий запис.