Емельянова Н.З., Партыка Т.Л., Попов И.И. - Защита информации в персональном компьютере (Профессиональное образование) - 2009
.pdf3 . |
И зр е ч е н и е ч еш с ко го писателя |
К арела Ч ап ека: |
|
ЕЛЙГС АМ О ЛТ ЕМ ИЬР УНСЕО |
ЕАПОМ М 0 0 0 П МОЖ ОЕ ОЕКШ О Ш РАОЬ АЙОСЙ |
|
Д О Д Н Д Р ОЕЕУО |
|
4 . |
И зр е ч е н и е пол ь ского п и сател я -ф антаста С танислава Л ем а: |
|
|
ТОУМА М ЕЖ ЕЧ ЫАООО ОММГЗ ЕСНМЕ ДЕООО Ч Ы АОД НЛОТМ УМООО ТДЕРО |
|
|
ЕОЧОМ МОООО |
|
5. |
И зр е ч е н и е д а тс ко го у ч е н о го -ф и з и к а Нильса Бора: |
|
|
ТПРРО УСЕБД ОО ДИ Н О БЖ ВЛ ООЕЕУ ИОЧОЕ НАДТО Щ НЬЕУ ОТДБУ |
|
6 . |
И зр е ч е н и е ф р а н ц у зс ко го ф илософ а Ж а н а -П о л я Сартра: |
|
|
И Н К К О ОТСОЧ Я Ч ПО Т ЕАРЕЯ ОЛНЕА АЕМ ТК ОНСТШ |
|
7 . |
И зр е ч е н и е а м е р и к а н с ко го писателя Д ж о н а С тей нб ека: |
|
|
АРЕНО ЫЕТМО ЕЖ О ИБ Е Д Д Ж Й ЯПТВС ОДОКМ П С И О Ж ОЙЛГО О И ЕНТ |
|
Глава 3 ЗАЩИТА ИНФОРМАЦИИ В ОПЕРАЦИОННЫХ
СИСТЕМАХ И ПРИЛОЖЕНИЯХ
Программные средства (программное обеспечение, ПО) включают по крайней мере две компоненты — системное ПО и прикладное ПО. В настоящей главе будут рассмотрены встроен ные средства обеспечения информационной безопасности в
о п е р а ц и о н н ы х с и с т е м а х (ОС) и некоторых наиболее по |
||
пулярных п р и к л а д н ы х |
п р о г р а м м а х , |
в основном на при |
мерах продуктов Microsoft |
— MS Windows |
2000/ХР, MS Word, |
Access, Excel.
Приложения, предназначенные специально для борьбы с уг розами безопасности ПК, будут рассмотрены в гл. 4.
Отметим, что в то время как ОС (точнее, ф а й л о в а я с и с т е м а — ФС) управляет данными, оперируя такими объектами, как том (диск), раздел (партиция), кластер/сектор, файл, типич ные приложения (текстовые редакторы, табличные процессоры и СУБД) «распоряжаются» на более тонких уровнях — «лист», «ячейка» (Excel), «таблица БД», «строка», «столбец» (Access).
Соответственно, разграничение доступа, шифрование, аудит событий и другие действия, связанные с информационной безо пасностью, осуществляются по-разному — ОС может запретить обращение к файлу, в то время как СУБД заблокирует «запись» (строку таблицы БД) или «данное» (элемент записи).
3.1. Обеспечение информационной безопасности в ОС
В операционных системах MS Windows 2000/ХР направления информационной безопасности осуществляются в основном в следующих направлениях:
•разграничение доступа к ресурсам;
•шифрование;
•наблюдение за событиями (аудит);
•защита от вирусов, спама и других угроз.
Разграничение доступа
Данное направление защиты информации является неотъем лемой функцией операционных систем с момента их возникно вения, и Windows ХР, как и большинство других ОС, использует два механизма такого разграничения: управление правами поль зователей/процессов; управление атрибутами ресурсов ЭВМ.
Управление правами пользователей может осуществляться из оснастки Локальные пользователи и группы (рис. 3.1), которая является важным средством безопасности, поскольку позволяет ограничить возможные действия пользователей и групп путем на значения им п р а в и р а з р е ш е н и й . Право дает возможность пользователю выполнять на компьютере определенные действия, а разрешение представляет собой правило, связанное с объектом (файлом, папкой, принтером и т. д.), которое определяет, каким пользователям и какого типа доступ к объекту разрешен.
Права пользователей определяют его возможности на ло кальном уровне. Хотя права пользователей и могут применяться к учетным записям отдельных пользователей, удобнее админист рировать права пользователей на основе групп. Это обеспечивает автоматическое наследование прав, назначенных группе, пользо вателем, входящим в систему с учетной записью члена этой
?Администрирование
|
|
|
|
Файл |
Правка Вид Избранное Сервис |
Справка |
|
|
|
||
|
|
|
|
|
|
|
Поиск |
Папки |
jVi';] |
|
В Переход |
|
|
|
|
|
|
|
|
|
|
ш |
|
|
|
|
|
|
|
|
|
|
Л і І |
ш |
|
|
|
Ш |
Консоль |
Д< |
|
|
|
Іроизводи... |
Просмотр |
||
|
|
|
|
|
|
событий |
|||||
|
|
|
|
|
|
ѳ ѳ ® |
|
|
|
||
Ш Управление компьютером |
|
|
|
|
|||||||
|
|
|
|
|
|
||||||
Щ |
Консоль |
Действие |
Вид Окно Справка |
|
^Пользователи |
|
Уп^эепеиие |
|
|||
Ф» |
|S:ID |
0 |
і |
|
|
|
|
||||
|
|
J Группы |
|
|
|
||||||
|
ш Служебные програг уѵ |
|
|
|
|
|
|
|
|||
|
Ш Просмотр событ |
Администраторы |
|
|
|
|
|
|
|||
|
j Общие папки |
|
§ Гости |
|
|
|
|
|
|
||
|
j g Локальные nom |
|
|
|
|
|
|
||||
|
д Операторы архива |
|
|
|
|
|
|
||||
|
I |
-.'t Пользоеате |
|
|
|
|
|
|
|||
|
5 Операторы настройки... |
4neHbN |
|
|
|
|
|||||
|
|
Группы |
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
||
|
ШЖурналы и опоі |
«Опытные пользователи |
Опытте <. |
|
|
|
|
||||
|
|
|
> |
|
|
|
|
|
|
|
|
Рис. 3.1. Экран Администрирование (У); окна Управление компьютером (2)
И Локальные пользователи (3)
группы. Назначая права группам, а не отдельным пользователям, можно упростить администрирование учетных записей пользова телей. Если всем пользователям группы требуются одинаковые права, можно один раз назначить набор прав группе, вместо того, чтобы назначать один и тот же набор прав каждому поль зователю в отдельности.
Права, назначенные группе, применяются ко всем членам группы до тех пор, пока они в ней состоят. Права пользователей, являющихся членами нескольких групп, суммируются; это озна чает, что пользователь имеет более одного набора прав. Права, назначенные группе, могут конфликтовать с правами другой группы, только если речь идет об определенных правах на вход в систему. Тем не менее обычно права, назначенные группе, не конфликтуют с правами другой группы. Чтобы лишить пользо вателя прав, администратору достаточно удалить его из группы. При этом пользователь лишается прав, назначенных группе.
Существует два типа прав пользователей: п р и в и л е г и и и
п р а в а на в х о д в с и с т е му . Примером привилегии может служить право на выключение системы. Примером права на вход в систему может служить право на удаленное подключение. Оба типа разрешений назначаются администраторами отдель ным пользователям или группам пользователей как часть на строек безопасности компьютера.
Привилегии. Чтобы упростить администрирование учетных за писей пользователей, следует назначать привилегии учетным за писям групп, а не отдельных пользователей. При назначении привилегий учетной записи группы пользователям, включаемым
вэту группу, эти привилегии назначаются автоматически.
Втабл. 3.1 перечислены и описаны некоторые из привиле гий, которыми могут быть наделены пользователи.
Ряд из этих привилегий имеют более высокий приоритет, чем разрешения объекта. Например, пользователь домена может являться членом группы Операторы архива, которая имеет пра во выполнения задач архивирования на всех серверах домена. Однако для этого требуется наличие разрешения на чтение всех файлов на этих серверах, в том числе и тех файлов, для которых владельцы установили разрешения, явно запрещающие доступ других пользователей, включая и членов группы Операторы ар хива. В данном случае право пользователя выполнять архивиро
вание получает приоритет над всеми разрешениями для файлов и каталогов.
Таблица 3.1. Некоторые привилегии пользователей
Привилегия |
Описание |
Работа в режиме операционной |
Эта привилегия разрешает процессу проходить проверку |
системы |
подлинности как любому пользователю и таким образом |
|
получать доступ к тем же ресурсам, что и любой пользова |
|
тель |
Архивирование файлов и катаДанная привилегия позволяет пользователю избежать дей-
логов |
ствия разрешений файлов и каталогов для архивирования |
|
системы. Эта привилегия выбирается только при попытке |
|
приложения получить доступ через API архивации NTFS |
Обход перекрестной проверки |
Эта привилегия позволяет пользователю проходить через |
|
папки, к которым иначе у него нет доступа, на пути к объек |
|
ту в файловой системе NTFS или в реестре. Эта привилегия |
|
не разрешает пользователю выводить список содержимое |
|
папки, а только проходить через него |
Изменение системного времени |
Пользователь получает возможность устанавливать время |
|
на системных часах компьютера |
Отладка программ |
Пользователь получает возможность запускать программу |
|
отладки для любого процесса. Эта привилегия обеспечивает |
|
большие возможности доступа к важным и необходимым |
|
компонентам операционной системы |
Принудительное удаленное за Пользователь получает возможность завершать работу ком
вершение работы |
пьютера из удаленного расположения в сети |
Создание журналов безопасно |
Позволяет выполнять процесс создания записей журнала |
сти |
безопасности. Журнал безопасности используется для от |
|
слеживания несанкционированного доступа в систему |
Увеличение приоритета диспет |
Процесс с доступом для записи свойств к другому процессу |
черизации |
получает возможность повысить приоритет выполнения |
|
другого процесса. Пользователь, обладающий данной при |
|
вилегией, может изменять приоритет диспетчеризации про |
|
цесса С ПОМОЩЬЮ интерфейса Диспетчера задач |
Загрузка и выгрузка драйверов |
Пользователь получает возможность устанавливать и уда |
устройств |
лять драйверы самонастраиваемых устройств. Эта привиле |
|
гия не влияет на возможность установки драйверов для уст |
|
ройств, не являющихся самонастраиваемыми. Драйверы |
|
для таких устройств могут быть установлены только адми |
|
нистраторами |
Управление аудитом и журна |
Пользователь получает возможность указывать параметры |
лом безопасности |
аудита доступа к объекту для отдельных ресурсов, таких как |
|
файлы, объекты Active Directory и разделы реестра |
|
Окончание табл. 3.1 |
Привилегия |
Описание |
Профилирование загруженно Пользователь получает возможность работать со средства
сти системы |
ми наблюдения за производительностью для отображения |
|
быстродействия системных процессов |
Восстановление файлов и ката |
Пользователь получает возможность восстанавливать заар |
логов |
хивированные файлы и каталоги, несмотря на их разреше |
|
ния, а также назначать любого допустимого участника безо |
|
пасности владельцем объекта |
Завершение работы системы |
Пользователь получает возможность завершать работу опе |
|
рационной системы на локальном компьютере |
Овладение файлами или иными |
Пользователь получает возможность становиться владель |
объектами |
цем любых объектов безопасности системы, включая объек |
|
ты Active Directory, файлы и папки NTFS, принтеры, разделы |
|
реестра, службы, процессы и потоки |
Существуют три фундаментальных уровня защиты, предос тавляемых пользователям. Они предоставляются конечным пользователям через членство в группах Администраторы, Опытные пользователи или Пользователи.
В узле Группы (рис. 3.1, 3) отображаются все встроенные группы и группы, созданные пользователем. Встроенные группы создаются автоматически при установке Windows 2000 или Win dows ХР. Принадлежность к группе предоставляет пользователю права и возможности для выполнения различных задач на ком пьютере.
Узел Пользователи отображает две встроенные учетные за писи пользователей — Администратор и Гость, а также все соз данные учетные записи пользователей. Встроенные учетные за писи пользователей создаются автоматически при установке Windows 2000/ХР.
Учетная запись Администратор используется при первой ус тановке рабочей станции или рядового сервера. Эта учетная за пись позволяет выполнять необходимые действия до того, как пользователь создаст свою собственную учетную запись. Она вхо дит в группу Администраторы на рабочей станции или сервере.
Учетную запись Администратор нельзя удалить, отключить или вывести из локальной группы Администраторы, благодаря чему исключается возможность случайной потери доступа к компьютеру после уничтожения всех учетных записей админист
раторов. Это свойство отличает учетную запись Администратор от остальных членов локальной группы Администраторы.
А д м и н и с т р а т о р ы . Членство в группе Администраторы по умолчанию предоставляет самый широкий набор разрешений и возможность изменять собственные разрешения. Рекомендует ся использовать административный доступ только для выполне ния следующих действий:
•установки операционной системы и ее компонентов (на пример, драйверов устройств, системных служб и т. д.);
•установки пакетов обновления;
•обновления операционной системы;
•восстановления операционной системы;
•настройки важнейших параметров операционной системы (политики паролей, управления доступом, политики ауди та, настройки драйверов в режиме ядра и т. д.);
•вступления во владение файлами, ставшими недоступными;
•управления журналами безопасности и аудита;
•архивирования и восстановления системы.
На практике учетные записи администраторов часто должны использоваться для установки и запуска программ, написанных для предыдущих версий Windows.
О п ы т н ы е п о л ь з о в а т е л и . Члены группы Опытные пользователи могут создавать учетные записи пользователей, но изменять и удалять могут только те из них, которые создали сами. Кроме того, они могут создавать локальные группы и уда лять пользователей из созданных ими локальных групп, а также
ИЗ групп Опытные пользователи, Пользователи и Гости.
Члены группы Опытные пользователи имеют больше разре шений, чем члены группы Пользователи, и меньше, чем члены группы Администраторы. Опытные пользователи могут выпол нять любые задачи с операционной системой, кроме задач, заре зервированных для группы Администраторы.
Опытные пользователи могут:
•выполнять приложения, сертифицированные для Win dows 2000 и Windows ХР, а также устаревшие приложения;
•устанавливать программы, не изменяющие файлы опера ционной системы и системные службы;
•настраивать ресурсы на уровне системы, включая принте ры, дату и время, параметры электропитания и другие ре сурсы панели управления;
•создавать и управлять локальными учетными записями пользователей и групп;
•останавливать и запускать системные службы, не запущен ные по умолчанию.
Члены этой группы не могут изменять группы Администра торы и Операторы архива, являться владельцами файлов, вы полнять архивирование и восстановление каталогов, загружать и выгружать драйверы устройств или управлять журналами безо пасности и аудита.
Опытные пользователи не могут добавлять себя в группу А д министраторы. Они не имеют доступа к данным других пользо вателей на томе NTFS, если соответствующие разрешения этих пользователей не получены.
Для выполнения устаревших программ в Windows 2000/ХР часто необходимо изменить доступ к некоторым параметрам системы. Разрешения по умолчанию, позволяющие опытным пользователям выполнять устаревшие программы, также позво ляют им получать дополнительные привилегии в системе (даже полный административный контроль).
Поскольку опытные пользователи могут устанавливать и из менять программы, работа под учетной записью группы Опытные пользователи при подключении к Internet может сделать систе му уязвимой для троянских коней и других программ, угрожаю щих безопасности.
П о л ь з о в а т е л и . Члены группы могут выполнять наиболее распространенные задачи, например запуск приложений, исполь зование локальных и сетевых принтеров, завершение работы и блокировку рабочих станций. Группа Пользователи является наиболее безопасной, поскольку разрешения, предоставленные этой группе по умолчанию, не позволяют пользователям изменять параметры реестра на уровне системы, файлы операционной сис темы, или программы или данные других пользователей. Пользо ватели могут выключать рабочие станции, но не серверы, могут создавать локальные группы, но управлять могут только теми, ко торые они создали. Пользователи не могут организовывать общий доступ к каталогам или создавать локальные принтеры.
Пользователи не могут запускать большинство программ для версий, более ранних, чем Windows 2000.
О п е р а т о р ы архива . Члены группы могут архивировать и восстанавливать файлы на компьютере независимо от всех разрешений, которыми защищены эти файлы. Они могут также
входить в систему и завершать работу компьютера, но не могут изменять параметры безопасности.
Для архивирования и восстановления файлов данных и сис темных файлов требуются разрешения на чтение и запись. Раз решения по умолчанию для операторов архива, позволяющие им архивировать и восстанавливать файлы, делают для них возмож ным использование разрешений группы для других целей, на пример для чтения файлов других пользователей и установки программ с троянскими вирусами.
Г о с ти . Группа позволяет случайным или разовым пользо вателям войти в систему со встроенной учетной записью гостя рабочей станции и получить ограниченные возможности. Члены группы Гости могут только завершить работу системы на рабо чей станции.
Учетная запись Гость используется теми, кто не имеет ре альной учетной записи на компьютере. Если учетная запись пользователя отключена (но не удалена), он также может вос пользоваться учетной записью Гость. Учетная запись гостя не требует пароля. По умолчанию она отключена, но ее можно включить. Дополнительные права, как любые разрешения, мо гут быть присвоены группе Гости членом группы
раторы.
Р е п л и к а т о р . Группа поддерживает функции репликации каталога. Только член этой группы может иметь учетную запись пользователя домена, которая используется для входа в систему службы репликации контроллера домена. Не добавляйте в эту группу учетные записи реальных пользователей.
С п е ц и а л ь н ы е группы. В Windows 2000/ХР автоматиче ски создаются несколько дополнительных групп:
• Интерактивные. В этой группе находятся пользователи, в данный момент работающие в системе. Во время обновле ния Windows 2000/ХР участники группы Интерактивные также добавляются в группу Опытные пользователи, та ким образом устаревшие приложения будут работать так же, как и до обновления;
• Сеть. В этой группе находятся все пользователи, в данный момент имеющие доступ на компьютер по сети;
• Пользователь сервера терминалов. При установке сер вера терминалов в режиме сервера приложений в эту груп пу помещаются пользователи, в данный момент работаю щие в системе с помощью сервера терминалов. Все про
граммы, которые могут выполняться участниками группы Пользователи в Windows NT/2000/XP, могут выполняться участниками группы Пользователь сервера терминалов.
Разрешения, назначаемые по умолчанию этой группе, по зволяют пользователям сервера терминалов выполнять ус таревшие программы.
Для выполнения устаревших программ в Windows 2000/ХР необходимо разрешение на изменение некоторых параметров системы. Разрешения по умолчанию, позволяющие пользовате лям сервера терминалов выполнять устаревшие программы, так же позволяют им получать дополнительные привилегии в систе ме, даже полный административный контроль.
Локальные учетные записи, созданные на локальном компь ютере, создаются без паролей и по умолчанию добавляются в группу Администраторы. Используя диспетчер настройки безо пасности, МОЖНО управлять членством В группе Администрато ры (или в любой другой группе) с помощью политики Группы с
ограниченным доступом.
При установке сервера терминалов в режим удаленного управления пользователи, работающие на компьютере с помо щью сервера терминалов, не будут членами этой группы.
Создание/удаление учетной записи пользователя. Для выпол нения этой процедуры необходимо войти в систему с учетной записью Администратор или члена группы Администраторы.
Если компьютер подключен к сети, то параметры сетевой поли тики могут запретить выполнение данной процедуры.
Далее, следует открыть оснастку Управление компьютером
(Пуск\Панель управленияхАдминистрирование\Управление компьютером, см. рис. 3.1).
Чтобы создать новую учетную запись пользователя, в дереве консоли (рис. 3.1, 3) следует выбрать Пользователи\Дейст
вие \Новый |
пользователь, затем ввести |
соответствующие све |
||
дения в диалоговое окно и установить или снять флажки: |
||||
• Потребовать смену |
пароля при |
следующем входе в |
||
систему; |
|
пользователем; |
||
• Запретить смену пароля |
||||
• Срок |
действия пароля не |
ограничен; |
||
• Отключить учетную |
запись. |
|
||
Затем нажать кнопки Создать\3акрыть.
Имя пользователя не должно совпадать с другим именем пользователя или группы на данном компьютере. Оно не может