Защита в оСях Основные функции

1. разграничение доступа. каждый пользователь системы должен иметь доступ только к тем объектам, которые разрешены ему в соответствии с текущей политикой безопасности

2. идентификация/аутентификация. не один пользователь системы не может начать работу с ней не подтвердив своей подлинности

3. аудит. должны регистрироваться события потенциально опасные для работы системы.

4. криптографические функции – поддержка модулей шифрования данных при их хранении и передачи.

Сетевые функции. Поддержка современных сетевых протоколов, в том числе используемых для защиты информации.

В состав Windows входят следующие подсистемы, отвечающие за работу средств защиты:

• справочный монитор защиты информации. Security Reference Monitor

– проверка прав доступа

– генерация сообщений аудита

– манипуляция привилегиями

• Lsass (local security authentication subsystem) – отвечает за локальную политику безопасности

• SAM (Security Accounts Manager) – учетные записи при локальном входе.

Active Directory –Доменная аутентификация

HKLM\SAM

Winlogon.exe

Рассмотрим процесс входа в систему в этом процессе участвуют msgina.dll ( graphic authentication ) рисование окна входа пользователей в систему, имя прописною в реестре \

Передается в lsa для подтверждения подлинности, пароли пользователей в ос хранятся в двух хэш значениях размерностью 128 бит.

Алгоритм 1

1. Строка паролей усекается до 14 символов -> Unicode

2. Nd4 вычисляется хэш от пароля ND4 -> M(P) (128 бит)

3. E_{des N уч} (H(P) ) => S AM

Алгоритм 2 более старые версии windows

Все буквы преобразуются к верхнему регистру

1. Если строка короче 14 символов, наполнется пробелами и делится на 2 по 7 в каждой

2. P1 P2

3. M=”KGS!@#$%”

4. H₁ = DES _p1 (M) и H ₂= DES _p2 (M)

5. H=H₁ || H₂

Разграничение доступа в ос Windows

Для идентификации субъектов, выполняющих в системе различные действия, Windows использует не имена, а числовые значения, называемые идентификатором защиты.

SID(security identifies)

Они есть у локальных, доменных пользователей, групп и представляют собой совокупность следующих значений:

• версия SID

• 48-битный код агента id

• переменное количество 32-битных относительных идентификаторов, называющиеся RID(relative). Средство для получения уникальных значений.

Код агента выдается либо локальным компьютером, либо доменом

S-1-5-21-1463437245-12248128000-...

версия для ОС Windows 2000 RID

Системе выдается SID при установке. Затем назначаются учетным записям, причем каждый SID генерируется на основе SID системы, с добавление случайным образом сгенерированного RID.

RID:

500 - локальный админ

1000 - доменный админ

Все объекты в системе имеют свои идентификаторы. На каждый объект заводится своя структура, который называется дескриптор защиты:

• версия SRM

• флаги

• Id владельца

• id группы владельца

• список избирательного контроля доступа (DACL)

• системный список контроля доступа, использующийся для аудита (SACL)

Если объект не имеет дескриптора защиты, то права к нему не применяются.

Сам список DACL представляет собой совокупность записей (элементов): ACE (access control entries), каждый из которых содержит SID и маску доступа. Маска может содержать 1 из 4 элементов: доступ разрешен, доступ отклонен, разрешенный объект, запрещенный объект. Причем для одного и того же SID могут быть установлены взаимоисключающие маски.

Упрощенная схема организации дескриптора

ACE

ACE

ACE

DACL

Работа алгоритма проверки прав доступа выгляди следующим образом:

1. если дескриптор защиты отсутствует то система предоставляет запрошенный тип доступа

2. если вызывающий поток имеет право владения объектом, то систем защиты предоставляет владельцу право для записи, а затем анализирует дескриптор защиты.

3. если владелец запросил доступ на изменение дескриптора защиты, он ему предоставляется без проверки самого дескриптора

4. если вызываемый поток не владелец, то просматриваются элемент ACE от 1 к последнему. При это выполняются следующие условия:

• является ли SID запросившего потока заблокированным или нет

• SID в ACE типа "доступ разрешен" совпадает с SID в маркере доступа

• проверяются ограничения SID

В системе Windows каждый user при входе в систему получает свой маркер доступа, который не может быть изменен за весь сеанс работы пользователя. В него входят:

• id пользователя

• Id групп, в которые он входит

• привилегии

Для пользователей маркер доступа создается winlogon.exe. Маркер доступа, используется при проверке прав доступа в системе.