- •Основні поняття та визначення захисту інформації. Захист інформації це діяльність спрямована забезпечення
- •Властивості інформації, що підлягають захисту.
- •Класифікація загроз інформації
- •5. Посередництво (Man-In-Middle).
- •6. Зловживання довірою
- •7. Комп’ютерні віруси:
- •8. Атаки на рівні застосувань:
- •Причини виникнення загроз
- •Структура політики безпеки
- •1) Таблиця збитків:
- •2) Таблиця імовірності атаки:
- •3) Таблиця ризиків:
- •V) Реакція системи на вторгнення
- •VI) Опис повноважень користувачів системи
- •Політика інформаційної безпеки та її основні поняття. Моделі керування безпекою.
- •Захист інформації від витоку технічними каналами. Поняття небезпечного сигналу. Класифікація технічних каналів витоку інформації. Типи захисту від витоку інформації технічними каналами.
- •Захист інформації від витоку технічними каналами. Пасивний та активний захист.
- •1) Пасивні методи:
- •2) Активні методи:
- •Методи захисту комп’ютерної техніки від витоку інформації технічними каналами.
- •Формальні моделі доступу
- •Захист інформації в комп’ютерних системах від несанкціонованого доступу. Критерії оцінки захищеності інформації від нсд.
- •Захист інформації в комп’ютерних системах від несанкціонованого доступу.
- •Аналіз захищеності сучасних універсальних ос. Основні завдання захисту ос. Принципи керування доступом сучасних універсальних ос. Аутентифікація, авторизація та аудит.
- •I. Протокол „виклик-відповідь”
- •II. Використання одноразових паролів.
- •IV. Протокол Kerberos.
- •Аналіз захищеності сучасних універсальних ос. Особливості підсистеми захисту в ос Windows nt/2000/xp. Політика безпеки
- •Основні компоненти системи безпеки ос Windows
- •Аутентифікація користувача. Вхід у систему
- •Маркер доступу. Контекст користувача
- •Запозичення прав
- •Контроль доступу. Маркер доступу. Ідентифікатор безпеки sid. Структура ідентифікатора безпеки
- •Ролевий доступ. Привілеї
- •5. Заборона використання usb-дисків.
- •7. Блокування мережевих загроз.
- •9. Захисник Windows.
- •Аналіз захищеності сучасних універсальних ос. Особливості підсистеми захисту ос типу *nix.
- •2. Підтримка шифрувальних файлових систем у зазначених ос.
- •Захищені протоколи. Протокол ssl.
- •Методи підсилення стандартних засобів захисту. Електронні засоби ідентифікації та аутентифікації. Біометричні засоби ідентифікації.
- •2. Біометричні засоби ідентифікації
Запозичення прав
В ОС Windows є цікаві можливості виконання коду з маркером, відмінним від маркера даного процесу. Це, наприклад, істотно для серверів, які повинні виступати від імені і з привілеями клієнтів. Одна з таких можливостей - запуск нового процесу з вказаним маркером за допомогою функції CreateProcessAsUser. Ця функція є аналогом функції CreateProcess, за винятком параметра hToken, який указує на маркер, що визначає контекст користувача нового процесу.
Інший спосіб виконати код із запозиченим маркером - здійснити запозичення прав (impersonation). Запозичення прав означає, що один з потоків процесу функціонує з маркером, відмінним від маркера поточного процесу. Зокрема, клієнтський потік може передати свій маркер доступу серверному потоку, щоб сервер міг отримати доступ до захищених файлів та інших об’єктів від імені клієнта. Згодом потік може повернутися в нормальний стан, тобто використовувати маркер процесу.
Windows не дозволяє серверам виступати в ролі клієнтів без їх відома. Щоб уникнути цього, клієнтський процес може обмежити рівень запозичення прав. Тому для участі в перевтіленні маркер повинен мати відповідний рівень перевтілення. Цей рівень визначається параметром маркера TokenImpersonationLevel і може бути отриманий функцією GetTokenInformation. Для процесу перевтілення важливо, щоб цей параметр мав значення не нижче за SecurityImpersonation, що означає можливість імперсонації на локальній машині. Значення SecurityDelegation дозволяє серверному процесу виступати від імені клієнта як на локальному, так і на віддаленому комп’ютері. Останнє значення має відношення до делегування, яке є природним розвитком запозичення прав, але працює тільки за наявності домена і функціонуванні активного каталогу. За замовчуванням встановлюється рівень SecurityImpersonation.
Маркер перевтілення зазвичай створюють шляхом дублювання існуючого маркера і додання йому потрібних прав доступу і рівня імперсонації. Це можна зробити за допомогою функції DuplicateTokenEx. Власне, перевтілення здійснюється за допомогою функції ImpersonateLoggedOnUser. Щоб повернутися в початковий стан, потік повинен викликати функцію RevertToSelf.
Важливо також не забувати, що коли перевтілений потік здійснює доступ до об’єкта, то решта потоків процесу, навіть не перевтілених, також має до нього доступ. Подібні ситуації вимагають ретельного аналізу, оскільки тут можуть виникати важко відстежувані помилки.
Контроль доступу. Маркер доступу. Ідентифікатор безпеки sid. Структура ідентифікатора безпеки
SID користувача (і групи) є унікальним внутрішнім ідентифікатором і структурою змінної довжини з коротким заголовком, за яким іде довге випадкове число. Це числове значення формується з ряду параметрів, причому стверджується, що ймовірність появи двох однакових SID практично дорівнює нулю. Зокрема, якщо видалити користувача в системі, а потім створити його під тим же ім’ям, то SID знов створеного користувача буде вже іншим.
Дізнатися свій ідентифікатор безпеки користувач легко може за допомогою утиліт whoami або getsid з ресурсів Windows. Наприклад, так:
> whoami /user /sid
Система зберігає ідентифікатори безпеки в бінарній формі, проте існує і текстова форма зображення SID. Текстова форма використовується для виведення поточного значення SID, а також для інтерактивного введення (наприклад, у реєстр).
У текстовій формі кожен ідентифікатор безпеки має певний формат. Спочатку знаходиться префікс S, за яким розміщується група чисел, розділених дефісами. Наприклад, SID адміністратора системи має вигляд: S-1-5-<домен>-500, а SID групи everyone, в яку входять всі користувачі, включаючи анонімних і гостей, - S-1-1-0.