Основні компоненти системи безпеки ос Windows

Вивчення структури системи захисту допомагає зрозуміти особливості її функціонування. Незважаючи на слабку документованість ОС Windows за непрямими джерелами, можна судити про особливості її функціонування.

Архітектура системи безпеки Windows XP складається з наступних компонентів:

1. Процес реєстрації користувачів (logon-process, winlogon). Його задача: перехоплювати запити користувача на реєстрацію та приймати ідентифікаційні дані від користувачів.

2. Локальна підсистема безпеки (Local Security Authority SubSysthem LSASS).

Задача: Слідкувати за аутентифікацією та доступом користувачів, а також за аудитом в системі.

3. Менеджер облікових записів (SAM):

Задача: Забезпечення підтримки бази даних SAM.

4. Диспетчер звернень (SRM):

Задача: Перехоплює звернення користувачів до об’єктів захисту і передає їх на обробку LSASS. SRM виконується в режимі ядра операційної системи.

Якщо розглядати детальніше, то система захисту ОС Windows складається з таких компонентів (див. рис. 1).

Рис. 1. Структура системи безпеки ОС Windows

• Процедура реєстрації (Logon Processes), яка обробляє запити користувачів на вхід у систему. Вона включає початкову інтерактивну процедуру, що відображає початковий діалог із користувачем на екрані, і віддалені процедури входу, які дозволяють віддаленим користувачам дістати доступ з робочої станції мережі до серверних процесів Windows NT. Процес Winlogon реалізований у файлі Winlogon.exe і виконується як процес режиму користувача. Стандартна бібліотека аутентифікації Gina реалізована у файлі Msgina.dll.

• Локальний адміністратор безпеки (Local Security Authority, LSA), яка гарантує, що користувач має дозвіл на доступ в систему. Цей компонент - центральний для системи захисту Windows NT. Він породжує маркери доступу, управляє локальною політикою безпеки і надає інтерактивним користувачам аутентифікаційні послуги. LSA також контролює політику аудиту і веде журнал, в якому зберігаються повідомлення, що породжуються диспетчером доступу. Основна частина функціональності реалізована в Lsasrv.dll.

• Менеджер облікових записів (Security Account Manager, SAM), який управляє базою даних обліку користувачів. Ця база даних містить інформацію про всіх користувачів і групи користувачів. Дана служба реалізована в Samsrv.dll і виконується в процесі LSASS.

• Диспетчер звернень (Security Reference Monitor, SRM), який перевіряє, чи має користувач право на доступ до об’єкта і на виконання тих дій, які він намагається зробити. Цей компонент забезпечує легалізацію доступу і політику аудиту, що визначаються LSA. Він надає послуги для програм супервізорного режиму і режиму користувача, щоб гарантувати, що користувачі і процеси, що здійснюють спроби доступу до об’єкта, мають необхідні права. Цей компонент також породжує повідомлення служби аудиту, коли це необхідно. Це компонент ядра системи: Ntoskrnl.exe.

Всі компоненти активно використовують базу даних LSASS, що містить параметри політики безпеки локальної системи, яка зберігається в розділі HKLM\SECURITY реєстру.

Як уже зазначалося, реалізація моделі дискреційного контролю доступу пов’язана з наявністю в системі одного з її найважливіших компонентів - монітора безпеки. Це особливий вид суб’єкта, який активується при кожному доступі, в змозі відрізнити легальний доступ від нелегального і не допустити останнього. Монітор безпеки входить до складу диспетчера звернень (SRM), який, згідно з описом, забезпечує також управління ролевим і привілейованим доступом.