- •Питання 3.
- •Основні принципи реалізації програмно-технічних засобів. Функції та механізми захисту. (нд тзі 1.1-002)
- •Основні принципи реалізації програмно-технічних засобів. Реалізація комплексу засобів захисту. (нд тзі 1.1-002)
- •Основні принципи реалізації програмно-технічних засобів. Концепція диспетчера доступу. (нд тзі 1.1-002)
- •Систем виявлення вторгнень. Призначення. Основні функції. Архітектура.
- •Сенсори систем виявлення вторгнень. Призначення. Основні функції. Архітектура.
- •Детектори систем виявлення вторгнень. Призначення. Основні функції. Архітектура.
- •Менеджери систем виявлення вторгнень. Призначення. Основні функції. Архітектура.
- •Кзз "Лоза-1". Призначення. Основні функції і можливості. Профілі захищеності, що реалізовуються.
- •Кзз "Лоза-1". Основні ролі користувачів і їх функціональні обов'язки (звичайний користувач, адміністратор безпеки, системний адміністратор, адміністратор баз даних).
- •Основні стани кзз "Лоза-1" (робочий стан, стан профілактики, Стан поновлення пз, стан відновлення). Призначення. Умови переходу між станами.
- •Кзз "Рубіж-рсо". Призначення. Основні функції і можливості. Профілі захищеності, що реалізовуються.
- •Основні захисні механізми ос сімейства unix.
- •Принципіальні недоліки захисних меланізмів ос сімейства unix
- •Основні захисні меланізми ос сімейства windows (nt,200,xp).
- •Принципіальні недоліки захисних меланізмів ос сімейства windows (nt,200,xp).
- •Визначення вбудованого та додаткового захисту. Основні підходи до побудови додаткового захисту.
- •Вимоги і задачі системи додаткового захисту.
Основні захисні меланізми ос сімейства windows (nt,200,xp).
Відзначимо, що в ОС даного сімейства ряд об'єктів доступу (Зокрема, пристрої, реєстр ОС і т.д.) не є об'єктами файлової системи. Тому виникає питання, як слід трактувати вимогу «Система захисту повинна контролювати доступ визначених суб'єктів (користувачів) до визначених об'єктів (файлів, програмам, томам і т.д. ) ». Тобто, не ясно, чи є об'єктами доступу, до яких, за формальними вимогам, необхідно розмежувати доступ користувачів, наприклад, реєстр ОС тощо.
На відміну від сімейства ОС UNIX, де всі завдання розмежувальної політики доступу до ресурсів вирішуються засобами управління доступом до об'єктів файлової системи, доступ в даних ОС розмежовується власним механізмом для кожного ресурсу. Іншими словами, при розгляді механізмів захисту ОС Windows постає завдання визначення та встановлення вимог до повноти розмежувань (що визначається
тим, що саме вважати об'єктом доступу).
Також, як і для сімейства ОС UNIX, тут основними механізмами захисту є:
Ідентифікація та автентифікація користувача при вході в систему;
Розмежування прав доступу до ресурсів, в основі якого лежить реалізація дискреційної моделі доступу (окремо до об'єктів файлової системи, до пристроїв, до реєстру ОС, до принтерів та інше);
Аудит, тобто реєстрація подій.
Тут явно виділяються (в кращу сторону) можливості розмежувань прав доступу до файлових об'єктів (для NTFS) - істотно розширено атрибути доступу, що встановлюються на різні ієрархічні об'єкти файлової системи (логічні диски, каталоги, файли). Зокрема, атрибут «Виконання» може встановлюватися і на каталог, тоді він успадковується відповідними файлами (на відміну від ОС сімейства UNIX).
При цьому істотно обмежені можливості управління доступом до
інших ресурсів, що захищаються, зокрема, до пристроїв введення. Наприклад, для них відсутній атрибут «виконання», тобто неможливо заборонити запуск несанкціонованої програми з пристроїв введення.
Принципіальні недоліки захисних меланізмів ос сімейства windows (nt,200,xp).
На відміну від ОС сімейства UNIX в ОС Windows неможлива в загальному випадку реалізація централізованої схеми адміністрування механізмів захисту або відповідних формалізованих вимог. (Згадаймо, що в ОС UNIX це поширювалося лише на запуск процесів.) Пов'язано це з тим, що в ОС Windows прийнята інша концепція реалізації розмежувальної політики доступу до ресурсів (для NTFS).В рамках цієї концепції розмежування для файлу вище за пріоритетом, ніж для каталогу, а в загальному випадку - розмежування для файлового об'єкта, який включається, вище за пріоритетом, ніж для об’єкта, що його включає.
Це призводить до того, що користувач, створюючи файл і будучи його «власником», може призначити будь-які атрибути доступу до такого файлу (тобто дозволити до нього доступ будь-якому іншому користувачеві). При цьому звернутися до цього файлу користувач (якому призначив права доступу «власник») може незалежно від встановлених адміністратором атрибутів доступу на каталог, в якому користувач створює цей файл. Дана проблема безпосередньо пов'язана з реалізованої в ОС Windows концепцією захисту інформації.
В ОС сімейства Windows (NT/2000/XP) не в повному обсязі реалізується дискреційна модель доступу, зокрема, не можуть розмежовуватися права доступу для користувача «Система». В ОС присутні не тільки для користувача, але й системні процеси, які запускаються безпосередньо системою. При цьому доступ системних процесів не може бути розмежований. Відповідно, всі системні процеси мають необмежений доступ до ресурсів, що захищаються. З цим недоліком системи захисту пов'язано безліч атак, зокрема, несанкціонований запуск власного процесу з правами системного.
В ОС сімейства Windows (NT/2000/XP) неможливо в загальному випадку забезпечити замкнутість (або цілісність) програмного середовища, але це пов'язано з іншими проблемами, ніж в ОС сімейства UNIX, в яких неможливо встановити атрибут «виконання» на каталог.
Розглянемо два способи, якими в загальному випадку можна реалізувати
даний механізм і покажемо їх неспроможність в ОС Windows. Отже, механізм замкнутості програмного середовища в загальному випадку може бути забезпечений:
1) Завданням списку дозволених до запуску процесів з наданням можливості користувачам запускати процеси тільки з цього списку. При цьому процеси задаються повними іменами, причому засобами розмежування доступу забезпечується неможливість їх модернізації користувачем. Даний підхід просто не реалізується
вбудованими в ОС механізмами.
2) Дозволом запуску користувачами програм тільки із заданих каталогів при неможливості модернізації цих каталогів. Одним з умов коректної реалізації даного підходу є заборона користувачам запуску програм інакше, ніж з, відповідних каталогів. Некоректність реалізації ОС Windows даного підходу пов'язана з неможливістю встановлення атрибута «виконання» на пристрої введення (дисковод або CD-ROM). У зв'язку з цим при розмежуванні доступу користувач може запустити несанкціоновану програму з дискети, або з диска CD-ROM (як далі побачимо -
це дуже поширена атака на ОС даного сімейства).
Тут же варто відзначити, що з точки зору забезпечення замкнутості програмного середовища (тобто реалізації механізму, що забезпечує можливість користувачам запускати тільки санкціоновані процеси (програми)) дії користувача щодо запуску процесу можуть бути як явними, так і прихованими. Явні дії припускають запуск процесів (виконуваних файлів), які однозначно ідентифікуються своїм ім'ям. Приховані дії дозволяють здійснювати вбудовані в додатки інтерпретатори команд. Прикладом таких можуть служити офісні додатки. При цьому прихованими діями користувача буде запуск макросу.
В даному випадку ідентифікації підлягає лише власне додаток, наприклад, процес winword.exe. При цьому він може крім своїх регламентованих дій виконувати ті приховані дії, які задаються макросом (відповідно, ті, які допускаються інтерпретатором), що зберігаються в документі, який відкривають. Те ж стосується і будь віртуальної машини, яка містить вбудований інтерпретатор команд. При цьому
зазначимо, що при використанні додатків, які мають вбудовані інтерпретатори команд (в тому числі офісних додатків), не в повному обсязі забезпечується виконання вимоги щодо ідентифікації програм.
В ОС сімейства Windows (NT/2000/XP) неможливо вбудованими засобами гарантовано видаляти залишкову інформацію. В системі просто відсутні відповідні механізми. Крім того, ОС сімейства Windows (NT/2000/XP) не володіють в повному
обсязі можливістю контролю цілісності файлової системи. Вбудовані механізми системи дозволяють контролювати тільки власні системні файли, не забезпечуючи контроль цілісності файлів користувача. Крім того, вони не вирішують найважливіше завдання даних механізмів - контроль цілісності програм (додатків) перед їх запуском,
контроль файлів даних користувача тощо.
Що стосується реєстрації (аудиту), то в ОС сімейства Windows (NT/2000/XP)
не забезпечується реєстрація видачі документів на «тверду копію», а також деякі інші вимоги до реєстрації подій.
Знову ж таки, якщо трактувати вимоги до управління доступом в загальному
випадку, то при захисті комп'ютера в складі ЛВС необхідно управління доступом до хостів (розподілений пакетний фільтр). В ОС сімейства Windows (NT/2000/XP) механізм управління доступу до хостів в необхідному обсязі не реалізується. Що стосується розподілюваних мережних ресурсів, то фільтрації застосовуються тільки до вхідного доступ до ресурсу, а запит доступу на комп'ютері, з якого він здійснюється, фільтрації не підлягає. Це принципово, тому що не можуть підлягати фільтрації додатки, якими користувач здійснює доступ до поділюваних ресурсів. Завдяки цьому, дуже поширеними є атаки на протокол NETBIOS.
Крім того, в повному обсязі (в частині фільтрації тільки вхідного трафіку) керувати доступом до ресурсів можливо тільки при встановленій на всій комп'ютерах ЛВС файлової системи NTFS. В іншому випадку неможливо заборонити запуск несанкціонованої програми з віддаленого комп'ютера, тобто забезпечити замкнутість програмного середовища в цій частині.
З наведеного аналізу можемо бачити, що багато механізмів, необхідних
мі з точки зору виконання формалізованих вимог, ОС сімей-
ства Windows не реалізують в принципі, або реалізують лише частково