3189

Контрольные вопросы

1. Что понимается под правами и разрешениями в Windows

2000?

2.Что понимается под группой пользователей в Windows 2000?

3.Перечислите предопределенные стандартные группы пользо­

вателей Windows 2000.

Пример оформления отчета по практической работе

Практическая работа № Название практической работы

Цель практической работы

1.Группе_________ доступны следующие права____________

Группе __________недоступны следующие права___________

2.Пользователю Userl доступны следующие права__________

Пользователю Userl недоступны следующие права__________

Пользователю User2 доступны следующие права_____________

Пользователю User2 недоступны следующие права__________

3.Заполненная табл. 3.

4.Заполненная табл. 4.

18. УПРАВЛЕНИЕ ПОДСИСТЕМОЙ АУДИТА В ОС WINDOWS 2000

Цель работы - познакомиться на практике с управлением под­ системы аудита в ОС Windows 2000.

Сведения из теории

Одной из важнейших задач администрирования операционной системы является постоянный аудит безопасности.

Под аудитом безопасности в ОС понимают постоянное отсле­ живание событий, связанных с нарушением безопасности, контроль, наблюдение за ними в целях своевременного обнаружения наруше­ ний политики безопасности, а также попыток взлома.

Правильно построенный аудит позволяет не только выявлять нарушения безопасности, но также обнаруживать действия, являю­ щиеся начальным этапом взлома, с целью своевременной корректи­ ровки политики безопасности, принятия контрмер.

ОС Windows NT и 2000 включают в себя стандартные системы регистрации событий и аудита, которые позволяют подробно регист­ рировать доступ к объектам любого типа (файлы, каталоги, принтеры и т.д.). Можно установить как аудит одного действия, так и последо­ вательности действий.

Монитор безопасности ОС (Security Reference Monitor) отвечает за генерирование событий аудита, основываясь на системных спи­ сках прав доступа и правилах аудита. События аудита передаются в журнал событий (Event Log), который записывает их в файлы жур­ налов аудита. Эта операция называется журналированием событий-

Журналирование событий Существует 5 типов событий:

♦Информационное событие (Information) - не указывает на ошибку.

♦Предупреждающее событие (Warning) - зафиксированное событие, не требующее немедленной реакции со стороны

администратора, но способное привести впоследствии к бо­ лее серьезному состоянию (например, событие, говорящее

отом, что на жестком диске остается мало места).

♦Ошибка (Error) - зафиксированное событие, указывающее на ошибку, имеющую серьезное влияние на подсистему ли­ бо приложение (например, приложение отказывается запус­ каться).

♦Успешный аудит (Audit Success) - событие указывает на ус­ пешную проверку безопасности (например, пользователь пытается обратиться к файлу, доступ к которому ему разре­ шен).

♦Неудачный аудит (Audit Failure) - событие указывает на не­ удачу при проверке безопасности (например, пользователь не может зарегистрироваться в системе, зафиксирован отказ

вдоступе пользователя к файлу).

Существует 3 основных типа журналов событий в Windows 2000.

♦Журнал приложений (Application Log) - журнал, в который приложения записывают свои сообщения о событиях.

♦Системный журнал (System Log) - содержит события от компонентов ОС. Приложения не имеют права записывать сюда свою информацию.

♦Журнал безопасности (Security Log) - содержит информа­

цию, необходимую для проведения аудита безопасности. Настройка политики аудита

Правила аудита в ОС Windows 2000 определяют, аудит каких событий необходим. В Windows 2000 политика аудита настраивается во вкладке ПОЛИТИКА АУДИТА. Для ее вызова необходимо войти в: ПАНЕЛЬ УПРАВЛЕНИЯ -> АДМИНИСТРИРОВАНИЕ -> ЛОКАЛЬНАЯ ПОЛИТИКА БЕЗОПАСНОСТИ -> ЛОКАЛЬНЫЕ ПОЛИТИКИ -> ПОЛИТИКА АУДИТА. По умолчанию аудит для всех событий выключен. Для изменения политики аудита необходи­ мо дважды щелкнуть по соответствующей записи (рис. 1)

Для просмотра журналов безопасности необходимо использо­ вать функцию ОС ПАНЕЛЬ УПРАВЛЕНИЯ -> АДМИНИСТРИРО­ ВАНИЕ -> ПРОСМОТР СОБЫТИЙ, после чего выбрать требуемый журнал.

Порядок выполнения практической работы

1.Зарегистрироваться в ОС как администратор (под учетной за­ писью ZOS).

2.Зарегистрировать в ОС нового пользователя Userl и отнести его к группе ПОЛЬЗОВАТЕЛИ.

Настроить политику аудита ОС следующим образом (таблица).

Политика аудита ОС

3.Прокомментировать каждую из этих функций: какие дейст­ вия будут протоколироваться в журнале безопасности, а какие нет?

4.Создать на диске с файловой системой NTFS каталог «For Userl» и установить для него следующие разрешения доступа:

♦для пользователей - администраторов - полные права;

♦для пользователя Userl - вывод списка содержимого папки чтение;

♦для каталога «For Userl» задайте следующие параметры аудита:

- фиксировать успех выполнения операции «Содержание палки / чтение данных» для пользователя Userl;

-фиксировать отказ в записи любых данных и удаления любых данных для пользователя Userl;

-фиксировать успех в выполнении операции «Обзор папок / Выполнение файлов» для пользователя Userl;

-фиксировать успех в удалении любых данных из каталога для любых пользователей-администраторов.

5.Очистить все журналы безопасности.

6.Перезагрузить систему и войти в ОС под учетной записью Userl, введя вначале несколько раз неправильный пароль, а затем - правильный.

7.Войдя в ОС под учетной записью Userl, попытаться открыть каталог «For Userl», скопировать туда какой-либо файл. Был ли раз­ решен данный доступ?

8. Войти в ОС под учетной записью администратора и изучить за­ фиксированные события в журнале безопасности. Сколько отказов

вдействиях и сколько подтверждений было зафиксировано в журнале?

9.Скопировать в каталог For Userl некоторый файл. Войти

всистему под учетной записью Userl и попытаться удалить его.

10.Под учетной записью администратора изучить журнал безопасности. Какие новые события зафиксировались в журнале?

11.Изучить свойства журнала безопасности. Каков его текущий размер? Каков максимальный размер журнала? Когда он создан? Че­ рез какой промежуток времени затираются старые события?

12.По каким атрибутам можно поставить фильтр в журнале безопасности?

13.Открыть несколько записей журнала безопасности и изу­

чить их более подробные описания.

Контрольные вопросы

1.Что понимается под аудитом безопасности в ОС?

2.Перечислите типы сообщений, которые могут регистриро­ ваться в журналах ОС, и кратко охарактеризуйте их.

3.Перечислите 3 типа журналов событий в Windows 2000, крат­

ко охарактеризуйте их.

4.Как задать политику аудита для доступа субъекта к объекту

вWindows 2000?

19. DELPHI И WINDOWS API ДЛЯ ЗАЩИТЫ СЕКРЕТОВ

Цель работы

Приведенные ниже алгоритмы предназначены для ознакомления студентов с основными принципами, составляющими ядро методов защиты информации. Они же по своим функциям определяют про­ фессиональные системы защиты информации, на основании которых реализованы ГОСТы, принятые в России. К такому пакету относится приложение GryptoApi, входящее в состав библиотек Windows. В семействе Windows, начиная с Windows 95, обеспечивается реали­ зация шифрования, генерации ключей, создания и проверки цифро­ вых подписей и других криптографических задач. Эти функции не­ обходимы для работы операционной системы, однако ими может воспользоваться и любая прикладная программа - для этого про­ граммисту достаточно обратиться к нужной подпрограмме так, как предписывает криптографический интерфейс прикладных программ (CryptoAPI).

Сведения из теории

Разумеется, по мере совершенствования Windows расширялся и состав ее криптографической подсистемы. Помимо базовых опера­ ций в настоящее время в CryptoAPI 2.0 поддерживается работа с сер­ тификатами, шифрованными сообщениями в формате PKCS.

Опишем круг задач, на решение которых ориентирован Crypto API. Существующие системы электронного документооборота «Вер­ ба, Omega, Сигнатура» в качестве основного ядра защиты информа­ ции исподьзуют CryptoAPI. Основные функции этой подсистемы:

♦надежное сокрытие данных;

♦возможность передачи сокрытых данных третьим лицам;

♦надежная система проверки достоверности пришедшей от третьих лиц информации;

♦расшифровывание полученных конфиденциальных данных;

♦работа с «идентификационными удостоверениями» третьих лиц;

♦обеспечение работы с признанными криптографическими стандартами;

♦возможность расширения и работы пока еще с неизвестными алгоритмами.

Реализация всех алгоритмов (шифрования, цифровой подписи и т.п.) полностью выведена из состава самого Crypto API и реализуется в отдельных, независимых динамических библиотеках - «криптопро­ вайдерах» (Cryptographic Service Provider - CSP). Сам же Crypto API просто предъявляет определенные требования к набору функций (интерфейсу) криптопровайдера и предоставляет конечному пользо­ вателю унифицированный интерфейс работы с CSP. Конечному пользователю для полноценного использования всех функций крип­ топровайдера достаточно знать его строковое имя и номер типа.

В программных решениях рано или поздно встает вопрос стан­ дартизации передаваемых между приложениями данных. В сфере криптографии для решения данного вопроса применяется набор стандартов «PKCS», предложенный компанией «RSA Security». В данном комплекте стандартов учитываются все возможные случаи, возникающие в криптографических приложениях. Предусмотрены стандарты для обмена сертификатами, зашифрованными и подпи­ санными данными и многое другое. Crypto API, как основная биб­ лиотека для обеспечения работы с криптографическими данными в Windows, также достаточно полно поддерживает данный комплект стандартов и позволяет формировать криптографические приложе­ ния, которые могут быть обработаны в дальнейшем любыми про­ граммными продуктами.

Таким образом, мы можем разделить весь интерфейс Crypto API на 5 функциональных групп:

1.Базовые криптографические функции:

♦функции шифрования/расшифровывания данных;

♦функции хеширования и получения цифровой подписи дан­ ных;

♦функции инициализации криптопровайдера и работы с по­ лученным контекстом;

♦функции генерации ключей;

♦функции обмена ключами.

2.Функции кодирования/декодирования. Под кодированием

вданном случае подразумевается получение на выходе информации, кодированной в формате ASN.l (Abstract Syntax Notation One).

3.Функции работы с сертификатами.

4.Высокоуровневые функции обработки криптографических сообщений.

5.Низкоуровневые функции обработки криптографических со­ общений.

Взаимодействие с CryptoAPI

Функции CryptoAPI можно вызвать из программы, написанной на Delphi, на языке C++, MS Visual C++.

Код функций криптографической подсистемы содержится в не­ скольких динамически загружаемых библиотеках Windows (advapi32.dll, crypt32.dll). Для обращения к такой функции из приклад­ ной программы следует объявить ее как внешнюю. Заголовок функции

винтерфейсной части модуля будет выглядеть, например, так:

function CryptAcquireContext (phPROV: PHCRYPTPROV; pszContainer: LPCTSTR;pszProvider: LPCTSTR;dwProvType: DWORD; dwFlags: DWORD): BOOL;

а в исполняемой части вместо тела функции нужно вписать директи­ ву extern с указанием библиотеки, в которой содержится функция, и, возможно, ее имени в этой библиотеке (если оно отличается от имени функции в создаваемом модуле), например:

function CryptAcquireContext; external ‘advapi32.dll’ name ’CryptAcquireContextA';

Таким образом, имея описание функций CryptoAPI, можно со­ брать заголовки функций в отдельном модуле, который будет обес­