2.11. Аудит доступу до об'єкту, що охороняється
Тепер перейдемо до аудиту доступу суб'єктів до об'єктів, що охороняються. Аудит доступу суб'єкта до об'єкту, що охороняється, виконується таким чином. При відкритті суб'єктом доступу до об'єкту, що охороняється, що зазвичай виконується за допомогою функцій типа create, система управління безпекою проглядає список управління доступом SACL цього об'єкту.
Якщо в списку SACL знайдений елемент, який містить ідентифікатор безпеки, співпадаючий з ідентифікатором безпеки суб'єкта, і в цьому елементі встановлені прапори successful_access_ace_flag або failed_access_ace_flag (або обидва прапори разом), то система перевіряє прапори управління доступом, встановлені в цьому елементі. Якщо запрошуваний суб'єктом доступ відповідає правам користувача, тобто суб'єкт дістає доступ до об'єкту, що охороняється, і в елементі списку SACL для тих, що зажадалися суб'єктом прав доступу встановлений прапор successful_access_ace_flag, то система генерує аудиторське повідомлення про успішний доступ суб'єкта до об'єкту. Або якщо суб'єктові відмовлено в доступі до об'єкту, що охороняється, і в елементі списку SACL для тих, що зажадалися суб'єктом прав доступу встановлений прапор failed_access_ace_flag, то система генерує аудиторське повідомлення про невдалий доступ суб'єкта до об'єкту. У інших випадках аудиторські повідомлення не генеруються. При доступі суб'єкта до об'єктів, що охороняються, можливі наступні аудиторські повідомлення:
Object Open - об'єкт відкритий;
Object Open for Delete - об'єкт відкритий для видалення;
Object Deleted - об'єкт видалений.
Кожне повідомлення також містить інформацію про суб'єкта, який виконав дію, відмічену цим повідомленням. Аудиторські повідомлення записуються в журнал повідомлень (Event log). Доступ до цього журналу мають адміністратори системи за допомогою проглядання відповідних ключів реєстру.
2.12. Структура системи безпеки
У завершальному розділі цього розділу коротко розгледимо структуру системи безпеки операційних систем Windows. На мал. 36.1 приведена спільна схема взаємодії основних компонент системи безпеки операційних систем Windows.
Мал. 36.1. Схема взаємодії компонент системи безпеки
Дамо короткий опис і функціональне призначення кожній з компонент системи безпеки. Спочатку перерахуємо ключі реєстру, в яких зберігаються бази даних системи безпеки:
Local Security Authority Policy Database (HKEY_LOCAL_MACHINE\ SECURITY) - захищена база даних, в якій зберігаються дані, що визначають політику безпеки на локальній машині;
Security Accounts Database (HKEY_LOCAL_MACHINE\SAM) - захищена база даних, в якій зберігаються облікові записи користувачів і груп, а також пов'язана з ними інформація, така як, наприклад, паролі і ідентифікатори безпеки.
Тепер перерахуємо основні програмні компоненти системи безпеки і коротко опишемо їх функціональність:
Security Reference Monitor (компонент NTOSKRNL.EXE) - контролює доступ суб'єктів до об'єктів, що охороняються, підтримує аудит, є компонентом ядра операційної системи і працює в захищеному режимі (режимі ядра);
Local Security Authority (компонент LSASS.EXE) - визначає, чи може користувач увійти до системи, і відповідає за виконання політики безпеки на локальному комп'ютері;
Security Accounts Manager (компонент LSASS.EXE) - є компонентом Local Security Authority і підтримує базу даних облікових записів.
Крім того, вкажемо допоміжні процеси, які беруть участь в роботі системи безпеки:
Winlogon (WINLOGON.EXE) - запускається під час завантаження системи і управляє процесом входу користувачів в систему;
Authentication Package (MSV1_0.DLL) - використовується для верифікації повноважень користувача при доступі суб'єктів до об'єктів;
Netlogon (SERVICES.EXE) - контролює вхід в мережу, забезпечує безпечну передачу даних про користувача контроллеру домена.
Контрольні запитання
Що таке контроль доступу до ресурсів?
Завдання на самостійну роботу: повторити матеріал лекції; вивчити основні поняття.
К.т.н., доцент О. Є. Коваленко