- •Лекции «Операционные системы» 4 семестр, 2 курс Содержание
- •Лекция №1 История развития ос
- •Операционная система. Общая характеристика.
- •Лекция №2 Требования к ос
- •Ресурсы, виды ресурсов. Управление памятью. Виртуальная память.
- •Методы распределения памяти
- •Лекция №3
- •Cash-ирование данных
- •Понятие процесса. Управление процессами. Синхронизация процессов. Тупики и способы борьбы с ними.
- •Лекция №4 Алгоритмы планирования процессов
- •Средства синхронизации при взаимодействии процессов
- •Файловые системы
- •Лекция №5 Общая модель файловой системы
- •Файловая система fat (таблица распределения файлов)
- •Структура
- •Формат кода каталога
- •Файловая система hpfs
- •Лекция №6
- •Файловая система ntfs(кратко)
- •Операционная система ms-dos
- •Лекция №7 Прерывание. Обработка прерываний
- •Лекция №8
- •Программирование последовательного порта
- •Лекция №9
- •Планирование процесса
- •Многоуровневые очереди
- •Лекция №10
- •Лекция №11 Архитектура Windows nt
- •Лекция №12 Процессы и нити
- •Лекция №13 Алгоритмы планирования процессов и нитей
- •Процесс
- •Распределение процессорного времени между потоками
- •Лекция №14
- •Лекция №15
- •Журнал аудита
- •Политика аудита
- •Лекция №16
- •Настройка и конфигурация windows nt
- •Лекция №17
- •Структура сетевой ос
- •Лекция №18
- •Лекция №19
- •Лекция №20 Динамически подключаемая библиотека (dynamic_link_library dll)
- •Лекция №21 Внедрение dll
Журнал аудита
Расположен по адресу:
/ System 32/ Config/ SecEvent.evt
Формат файла не документирован, информация в открытом виде, защита журнала организовывается средствами системы организации доступа.
Для просмотра существуют утилиты. По умолчанию, позволяет читать журнал аудита администратору и аудиторам.
Все пользователи, которые могут читать, могут очищать его. Факт очистки журнала фиксируется сразу.
Максимальный размер 512 КБ. Может быть меньше. Шаг 64 КБ.
При переполнении журнала система может поступить следующим образом:
-
старые события стираются по мере необходимости.
-
если самое старое событие в журнале зафиксировано более n дней назад (n задается администратором), одно или несколько самых старых событий стираются. В противном случае новые события не будут регистрироваться (т.е. n дней не прошло, а журнал переполнен).
-
Если значение в реестре, записывается в реестр:
/ Registry/ Machine/ System/ Current Countable/ Control/ OSA/ Crash ON Audit FALE = 1
Если значение равно 1, при переполнении журнала это значение становится равным 2, после чего происходит крах ОС. При следующей загрузке в ОС, вход возможен только с правами администратора, который принудительно очищает журнал, возвращает значение в 1 и перезагружает компьютер.
Для обновления записи журнал аудита……………. Win 32 API вводятся следующие функции:
Object Open Audit Alarm
Object Close Audit Alarm
Object Privilege Audit Alarm
Privileged Service Audit Alarm
Access Check And Audit Alarm
Политика аудита
NT позволяет регистрировать в журнале событий:
-
Вход \ выход пользователя в ОС
-
Доступ субъекта к объекту
-
Изменение в списке пользователя
-
Изменения в политике безопасности
-
Системное событие
-
Запуск и завершение процессов
-
Использование субъектами доступа опасных привилегий
Для каждого класса событий могут регистрироваться только успешные события, только неуспешные события, и те, и те, или никакие события.
Для NT опасными считаются следующие привилегии:
-
Получение оповещения от файловой системы
-
Добавление записи в журнал аудита
-
Создание МД
-
Назначение МД процессам
-
Отладка программ
-
Создание резервной копии информации и восстановление
Лекция №16
Стандартное программное обеспечение регистрирует события в журнале аудита 52 типов.
Требования:
-
адекватность политики заключается в том, что регистрируются те события, которые необходимы.
-
желательно регистрировать:
-
вход- выход пользователя (успешные и неуспешные попытки)
-
доступ субъекта к объекту (целесообразно регистрировать, если есть подозрение злоупотребления использования объекта)
-
успешные попытки изменения списка пользователей должны регистрироваться всегда
-
изменения в политике безопасности должны регистрироваться всегда
-
системные события нецелесообразно регистрировать (их слишком много)
-
запуск и завершение процесса регистрировать целесообразно, если есть подозрение на вирус или вражескую программу
Достоинства:
Возможность аудита.
Недостатки:
-
Журнал защищен от несанкционированного доступа только средствами разграничения доступа.
-
Отсутствие удобных и эффективных средств для отделения пользователей аудитора от пользователей администратора.
-
Количество категорий событий аудита недостаточно.
-
Многие важные с точки зрения безопасности системы события не могут быть зарегистрированы в журнале.
-
Многие объекты ОС, …….посредством стандартных утилит администрирования, по умолчанию имеют системный ACL, что приводит к регистрированию в журналу множество малоинтересных событий.
-
Реальный порядок регистрации некоторых событий противоречат перечисленным (описанным) в документации.
-
Порядок функционирования системы безопасности определяется большим числом настроек которые при инсталляции по умолчанию установятся таким образом, что решению задач защиты информации отводится второстепенная роль.
Угроза безопасности конфиденциальности информации
-
Атака, реализуемая через воздействие на подсистему аутоидентификации.
Действия:
-
Возможность получения прямого доступа к разделам SAM и SECURITY……………..
-
Возможность перехвата и анализа сетевых пакетов.
-
Незаконный захват привилегий:
-
Отсутствует проверка наличия привилегий отлаживать системные процессы в некоторых функциях ОС.
-
Возможность подмены нарушения системных именованных каналов.
-
Внедрение в ОС дополнительных модулей или закладок.