Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4606 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Национальный университет Львовская политехника
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Лекція.doc
Скачиваний:
2
Добавлен:
22.11.2019
Размер:
180.22 Кб
Скачать
►Содержание►

3.3. Безпека системи

У порівнянні з Windows XP, у Windows 7 самозахист системи реалізований на високому рівні. Це стало можливим завдяки використанню режиму пісочниці – забороні для некерованого коду прямого доступу до файлової системи, пам'яті, та рівня абстрагування від обладнання. В цьому режимі ОС регулює всі звернення до зовнішніх програм, файлів та протоколів і руйнує всі спроби втрутитися в роботу системи.

Головною проблемою безпеки ранніх версій Windows було те, що більшість користувачів використовували при вході в систему обліковий запис з правами адміністратора, який дозволяв їм виконувати будь-які дії в системі, в тому числі – запускати різні програми, що таким чином також отримували аналогічні права і могли значно нашкодити системі. У Windows XP з метою обмеження прав користувачів були створені облікові записи другого рівня з обмеженими правами, які, однак, мали ряд суттєвих недоліків, і робота під ними була досить незручною.

Тому при вдосконаленні системи безпеки Windows Vista та Windows 7 була поставлена задача створити такий рівень облікового запису користувача, що мав би не більше прав, ніж йому необхідно. В результаті було отримано гнучку систему управління правами облікових записів під назвою UACUser Account Control (Контроль облікових записів користувачів), в основу якої покладено принцип найменш привілейованого користувача.

При вході в систему під звичайним обліковим записом користувач отримує маркер доступу стандартного користувача, але під обліковим записом адміністратора він, крім цього, отримує також маркер повного доступу адміністратора. Таким чином, зареєструвавшись у системі, при виконанні стандартних задач, що не потребують високих привілеїв, в обох випадках використовується маркер доступу стандартного користувача, однак, при виконанні адміністративних задач, UAC дозволяє їх лише за наявності маркера повного доступу, автоматично підвищуючи права, а за його відсутності вимагає надання коректних даних облікового запису адміністратора. Якщо не будуть надані коректні дані, UAC не дозволить виконання цих дій.

Кожна програма, яка для свого виконання потребує надання маркера повного доступу, має певний рівень інтеграції – високий, якщо програма виконує задачі, що можуть змінювати системні дані, або низький, якщо вона може потенціально нашкодити системі. Програми з нижчим рівнем інтеграції не можуть змінювати дані в програмах, що мають вищий рівень.

В оновленій UAC для Windows 7 доступні 4 рівні повідомлень безпеки:

  • повідомляти при кожній зміні в системі;

  • повідомляти лише тоді, коли до системи вносяться зміни;

  • повідомляти лише тоді, коли до системи вносяться зміни, але без використання безпечного робочого стола;

  • ніколи не повідомляти.

Якщо програма намагається запуститися з маркером повного доступу – дає запит на підвищення прав, UAC спочатку аналізує видавця цієї програми, і якщо він внесений до списку небезпечних, блокує її виконання. Якщо ж у цьому списку видавець не значиться, UAC перевіряє наявність підпису системою та інформує користувача про видавця – підписаний системою Windows 7, перевірений (підписаний) видавець або не перевірений (непідписаний) видавець – та пропонує йому заблокувати або розблокувати виконання цієї програми.

З міркувань безпеки до складу Windows 7 була включена програма для відстежування та видалення шпигунського програмного забезпечення під назвою Захисник Windows. Захисник Windows інтегрований в систему, що дозволяє йому в реальному часі відслідковувати всі системні процеси, сканувати завантажені DLL та драйвери, і повідомляти при можливості небажаних для системи наслідків. Кожна служба, що запускається системою чи змінює підпис, автоматично сканується захисником і примусово завершується та видаляється, якщо вона класифікується ним як серйозна загроза. Захисник Windows намагається оптимально використовувати системні ресурси, враховуючи при плануванні перевірки комп'ютера графік простою системи, а також сканує не системні файли, а їх кеш.

Для Windows 7, а також для Windows Vista та XP, компанією Microsoft створений безкоштовний антивірус MS Security Essentials, що забезпечує базовий рівень захисту від вірусів та іншого шкідливого програмного забезпечення. Цей антивірус може бути встановлений лише на активовані копії Windows, що пройшли перевірку достовірності. Його можливості аналогічні до більшості продуктів цього класу: захист в реальному часі, можливість сканування системи за розкладом або за вимогою користувача, встановлення виключень для окремих процесів, файлів та папок. Сканування системи відбувається у фоновому режимі з обмеженням завантаженості процесора та використання пам'яті, що дозволяє грамотно використовувати системні ресурси. В Security Essentials існує 4 рівні безпеки – низький, середній, високий та дуже високий, і від поточного рівня залежать дії зі знайденими загрозами за замовчуванням – ігнорування, попередження, лікування, переміщення до карантину та видалення. Перед лікуванням програма може створювати точку відновлення системи на випадок порушення її цілісності в результаті знешкодження. Інформація про знайдені та ліквідовані MS Security Essentials загрози в обов'язковому порядку надсилається до мережевої спільноти Microsoft SpyNet, однак рівень членства у ній, а відповідно і об'єм та зміст інформації, яка надсилається в мережу, може обиратися та встановлюватися користувачем. MSE також поєднує в собі функції брендмауера, оскільки може захищати комп'ютер від хакерських атак з Інтернету, скануючи мережевий трафік та блокуючи підозрілі підключення, а також перевіряючи підозрілі сценарії перед їх запуском у браузері.

Для захисту даних від локального доступу у Windows 7 створені найрізноманітніші технології, що дозволяють блокувати несанкціонований доступ до особистих файлів, носіїв інормації та можливостей комп'ютера загалом.

У Windows 7 існує комплексний засіб для управління дозволами на запуск програм на локальному комп'ютері та в мережі, що має назву AppLocker. Дана програма може працювати в двох режимах: дозволу та заборони. В режимі дозволів AppLocker обмежує виконання будь-яких програм, якщо вони не занесені до списку дозволених. В режимі заборони він діє навпаки – дозволяє виконання будь-яких програм, крім тих, що знаходяться у списку заборонених. Дані політики можуть бути розширені за допомогою виключень для окремих програм або видавців для підписаних програм. Крім того, кожна політика може бути протестована в режимі аудиту перед тим, як використовуватися на комп'ютерах кінцевих користувачів.

У Windows 7 для захисту жорстких та портативних дисків використовується технологія повного шифрування даних на томі BitLocker To Go, яка дозволяє уникнути несанкціонованого доступу до особистих даних, якщо диск буде загублено чи втрачено. Особливістю цієї функції є те, що вона інтегрована в систему, отже використання зашифрованого диска не потребує попереднього встановлення спеціального програмного забезпечення чи налаштування.

BitLocker може шифрувати том, а не весь диск, алгоритмами AES-128, AES-128 Elephant diffuser, AES-256 та AES-256 Elephant diffuser. Опція Elephant diffuser ускладнює криптографічний алгоритм так, що в результаті шифрування однакових вхідних даних щоразу отримуються абсолютно різні вихідні дані. Для отримання доступу до зашифрованих даних використовується смарт-карта або пароль, що встановлюється користувачем, однак до нього висуваються певні критерії якості. В ході шифрування створюється код відновлення, що складається з 48 цифр, який може бути роздрукований чи збережений.

Функція BitLocker дозволяє зашифрувати системний диск, що сильно ускладнює процес несанкціонованого знищення системних файлів Windows 7 чи спроби використання засобів неавторизованого доступу до файлів. Можливості цієї функції включають:

  • попередження несанкціонованого доступу до будь-яких даних на диску, в тому числі, і до системних файлів;

  • перевірка цілісності компонентів раннього завантаження системи, що дозволяє впевнитися у відсутності вторгнення та внесенні до неї сторонніх змін;

  • захист від атак «холодного перезавантаження» вимогою надання користувачем PIN-коду запуску або USB-диска з ключем перед завантаженням чи відновленням системи після гібернації.

Для захисту комп'ютера у Windows 7 підтримуються біометричні пристрої, які дозволяють обмежити доступ до ПК, програм чи файлів користувача шляхом сканування відбитків пальців та порівняння їх з оригіналом.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности