ЛЕКЦИЯ 7 Средства защиты в MS-DOS, WINDOWS, OS/2.

В этой лекции использован материал книги, изданной сотрудниками Института криптографии, связи и информатики Академии ФСБ России "Программно-аппаратные средства обеспечения информационной безопасности. Защита программ и данных", 2000г.

7.1. Защита в наиболее популярных в России ОС

7.2. Разграничение доступа в OS/2

7.3. Сервер DSS

7.1. Защита в наиболее популярных в России ОС

Операционные системы MS-DOS и Windows ранних версий (до версии 3.1 включительно) не имели собственных средств защиты. Такие системы имеют довольно слабый механизм ограничения полного доступа к файлам с помощью файловых атрибутов:

• скрытый;

• системный;

• архивный;

• только для чтения.

Установленные атрибуты файлов не защищены от изменения и могут быть свободно изменяться любым пользователем. Поэтому такая защита носит условный характер и сводится к предупреждению случайного удаления или изменения файлов.

Так как MS-DOS и Windows 3.x изначально не предназначались для работы в сети, то вполне оправдано отсутствие средств ограничения доступа к совместно используемым ресурсам. некоторые возможности по управлению ресурсами появились в Windows for Workgroups, а такие ОС как Windows NT и OS/2 обладают развитыми средствами защиты сетевых ресурсов, включающими разграничение доступа на уровне ресурсов и на уровне пользователей.

Управление доступом на уровне совместно используемых ресурсов подразумевает создание для каждого защищаемого ресурса набора разрешений, регламентирующих доступ независимо от того, какой пользователь к нему обращается. Например, доступ к ресурсу может быть защищен паролем или иметь форму "только для чтения".

Механизм защиты ресурсов на уровне пользователей заключается в том, что для каждого ресурса может быть создан список пользователей с указанием разрешенного каждому из них типа доступа. Часто такая защита применяется в сочетании с организацией пользователей в группы, названия которых могут быть внесены в списки для предоставления одинакового типа доступа всем входящим в группу.

Эти механизмы могут быть рассмотрены на примере операционной системы OS/2.

7.2. Разграничение доступа в OS/2

В операционной системе IBM OS/2 Warp версии 3.0 с установленным сервером IBM LAN Server 4.0 Advanced можно реализовать разграничение доступа к сетевым ресурсам (дискам, каталогам, принтерам) на уровне пользователей, применяя для этого иерархическую модель организации пользователей в домены и группы.

Домен в OS/2 – это совокупность серверов, чьи ресурсы и пользователей можно администрировать централизованно. Пользователям, имеющим в домене учетные записи, доступ к ресурсам предоставляется администратором. Тем, кто не зарегистрирован в данном домене, расположенные в нем ресурсы недоступны. Таким образом, домены служат для разграничения доступа к ресурсам на "макроуровне", позволяя обособить, например, независимые рабочие группы.

На следующем уровне логической организации пользователи делятся на группы. Членство пользователя в группе определяется администратором, который может назначать группе права и привилегии, распространяющиеся на всех ее членов. Права и привилегии пользователя определяют диапазон его полномочий в системе. Привилегии связаны с общесистемными действиями и образуют два уровня доступа: административный и обычный пользовательский. Первый обеспечивает полный и неограниченный контроль над доменом, его серверами, пользователями и ресурсами. Второй включает привилегии, позволяющие (по терминологии ОС PS/2):

• управлять очередями печати (Print);

• создавать новых пользователей и новые группы и изменять их права (Accounts);

• управлять устройствами, подключенными к последовательным портам компьютера (COMM);

• управлять доступом к совместно разделяемым ресурсам (Server).

Управлять учетными записями пользователей (создавать, удалять и модифицировать их) может только администратор или пользователь с соответствующей привилегией. При установке ОС создается по умолчанию учетная запись с административными привилегиями с идентификатором USERID и паролем PASSWORD.

Права пользователей связаны с конкретными объектами в домене и служат инструментом разграничения доступа к совместно используемым ресурсам, с каждым из которых в момент его создания ассоциируется отдельный список контроля доступа. Доступ пользователя к ресурсу считается разрешенным, если его идентификатор или идентификатор одной из групп, членом которой он является, указан в связанным с данным ресурсом списке. Таким образом, в OS/2 реализуется защита ресурсов по принципу "что не разрешено, то запрещено". Например, список контроля доступа к совместно используемому каталогу содержит имена пользователей или групп вместе с предоставленными им видами доступа, которые могут включать:

• изменение атрибутов файлов (Attributes);

• создание файлов и каталогов (Create);

• удаление файлов и каталогов (Delete);

• изменение прав доступа (Permissions);

• чтение (Read);

• запись (Write);

• запуск программ на выполнение (Execute).

Средства OS/2 позволяют по выбору администратора проконтролировать доступ к ресурсу, для чего связанные с доступом события разделены на три категории:

• успешные обращения;

• отказы;

• успешные обращения и отказы.

Таким образом, прежде, чем получить возможность обращаться к ресурсам домена, пользователь должен войти в домен, указав свой идентификатор и правильно набрав пароль. Аутентификацию пользователя производит контроллер домена, который поддерживает базу данных учетных записей и базу данных ресурсов домена. В случае успешной аутентификации пользователь получает доступ к ресурсам в соответствии с имеющимися у него правами и привилегиями.

Для защиты от атак на парольную систему в OS/2 предусмотрены возможности блокирования учетной записи после заданного числа неудачных попыток ввода пароля, установки срока действия пароля и запрещения смены пароля пользователем.

Помимо разграничения доступа на уровне пользователей для файлов и каталогов в OS/2 поддерживается разграничение доступа на уровне ресурсов посредством четырех атрибутов:

• только для чтения (read-only);

• скрытый (hidden);

• системный (system);

• архивный (archive).

7.3. Сервер DSS

Расширением предназначенного для организации рабочих групп сервера IBM LAN Server 4.0 является сервер IBM Directory and Security Server for OS/2 Warp (DSS), позволяющий реализовать распределенную вычислительную среду, совместимую с моделью OSF DCE. Сервер DSS содержит несколько компонентов обеспечения безопасности, которые позволяют создавать более гибкую и защищенную сетевую среду, чем при использовании сервера IBM LAN Server 4.0.

Основой механизма разграничения доступа в DSS служит понятие области. В отличии от доменов LAN Server, объединяющих ресурсы одной рабочей группы, область может объединять ресурсы всей организации. Кроме того, область администрируется централизованно и может состоять из образующих иерархическую структуру подобластей. Будучи средством "прозрачного" объединения доменов LAN Server, область упрощает администрирование и доступ к ресурсам. Пользователю области достаточно иметь одну учетную запись для доступа к ресурсам всех образующих ее доменов.

Для идентификации и аутентификации пользователей, а также клиентских и серверных приложений в DSS, как ив DCE, применяется служба Керберос. Разграничение доступа к ресурсам области на уровне пользователей реализуется списками контроля доступа, которыми управляют владельцы ресурсов. Списки обеспечивают повышенную гибкость и больше уровней защиты по сравнению со списками контроля доступа в LAN Server, Важное расширение концепции защиты DSS по отношению к LAN Server заключается в том, что защита распространяется не только на сетевые ресурсы, но и на сетевые службы и приложения.

Основными компонентами DSS, участвующими в обеспечении безопасности являются:

• серверы службы каталогов;

• серверы службы безопасности;

• серверы службы времени.

Сервер службы каталогов позволяет приложениям находить сетевые объекты в гетерогенной среде на основе DSS или DCE. Такой сервер поддерживает базу данных с информацией обо всех имеющихся в области ресурсах и службах и обеспечивает сетевых клиентов информацией об адресах нужных им объектов. База данных может быть растиражирована на нескольких серверах или разделена между ними для повышения производительности и доступности.

Сервер безопасности осуществляет аутентификацию пользователей, приложений и других серверов (включая серверы службы каталогов и времени). Он поддерживает базу данных учетных записей для своей области, которая также может быть растиражирована и размещена на серверах, расположенных непосредственно рядом с определенными группами пользователей. При этом одна копия базы данных объявляется главной и в ней производятся все изменения. Остальные копии предназначены только для чтения и должны регулярно обновляться в соответствии с главной копией. Компонентами сервера безопасности являются:

• служба поддержки базы данных учетных записей (Registry Service);

• служба аутентификации (Authentication Service);

• служба разграничения доступа (Privilege Service);

• служба поддержки списков управления доступом (ACL facility);

• служба регистрации в сети (Login facility).

Сервер времени отвечает за синхронизацию всех системных часов в области, что, в частности необходимо для функционирования службы аутентификации Керберос.