Поделиться
ЛЕКЦИЯ-31.-УПРАВЛЕНИЕ-БЕЗОПАСНОСТЬЮ.docx
ЛЕКЦИЯ 31. УПРАВЛЕНИЕ БЕЗОПАСНОСТЬЮ
Обеспечение информационной безопасности в ОС
Программные средства (программное обеспечение, ПО) включают по крайней мере две компоненты — системное ПО и прикладное ПО. Мы рассмотрим встроенные средства обеспечения информационной безопасности в операционных системах (ОС) и некоторых наиболее популярных прикладных программах, в основном на примерах продуктов Microsoft — MS Windows 2000/ХР, MS Word, Access, Excel.
Отметим, что в то время как ОС (точнее, файловая система — ФС) управляет данными, оперируя такими объектами, как том (диск), раздел (партиция), кластер/сектор, файл, типичные приложения (текстовые редакторы, табличные процессоры и СУБД) «распоряжаются» на более тонких уровнях — «лист», «ячейка» (Excel), «таблица БД», «строка», «столбец» (Access).
Соответственно, разграничение доступа, шифрование, аудит событий и другие действия, связанные с информационной безопасностью, осуществляются по-разному — ОС может запретить обращение к файлу, в то время как СУБД заблокирует «запись» (строку таблицы БД) или «данное» (элемент записи).
В операционных системах MS Windows 2000/ХР направления информационной безопасности осуществляются в основном в следующих направлениях:
1. разграничение доступа к ресурсам;
2. шифрование;
3. наблюдение за событиями (аудит);
4. защита от вирусов, спама и других угроз.
Разграничение доступа
Данное направление защиты информации является неотъемлемой функцией операционных систем с момента их возникновения, и Windows ХР, как и большинство других ОС, использует два механизма такого разграничения: управление правами пользователей/процессов; управление атрибутами ресурсов ЭВМ.
Управление правами пользователей может осуществляться из оснастки локальные пользователи и группы, которая является важным средством безопасности, поскольку позволяет ограничить возможные действия пользователей и групп путем назначения им прав и разрешений.
Право дает возможность пользователю выполнять на компьютере определенные действия, а разрешение представляет собой правило, связанное с объектом (файлом, папкой, принтером и т. д.), которое определяет, каким пользователям и какого типа доступ к объекту разрешен.
Права пользователей определяют его возможности на локальном уровне. Хотя права пользователей и могут применяться к учетным записям отдельных пользователей, удобнее администрировать права пользователей на основе групп. Это обеспечивает автоматическое наследование прав, назначенных группе, пользователем, входящим в систему с учетной записью члена этой группы. Назначая права группам, а не отдельным пользователям, можно упростить администрирование учетных записей пользователей. Если всем пользователям группы требуются одинаковые права, можно один раз назначить набор прав группе, вместо того, чтобы назначать один и тот же набор прав каждому пользователю в отдельности.
Права, назначенные группе, применяются ко всем членам группы до тех пор, пока они в ней состоят. Права пользователей, являющихся членами нескольких групп, суммируются; это означает, что пользователь имеет более одного набора прав. Права, назначенные группе, могут конфликтовать с правами другой группы, только если речь идет об определенных правах на вход в систему. Тем не менее обычно права, назначенные группе, не конфликтуют с правами другой группы. Чтобы лишить пользователя прав, администратору достаточно удалить его из группы. При этом пользователь лишается прав, назначенных группе.
Существует два типа прав пользователей: привилегии и права на вход в систему. Примером привилегии может служить право на выключение системы. Примером права на вход в систему может служить право на удаленное подключение. Оба типа разрешений назначаются администраторами отдельным пользователям или группам пользователей как часть настроек безопасности компьютера.
Привилегии.
Чтобы упростить администрирование учетных записей пользователей, следует назначать привилегии учетным записям групп, а не отдельных пользователей. При назначении привилегий учетной записи группы пользователям, включаемым в эту группу, эти привилегии назначаются автоматически.
Таблица 3.1. Некоторые привилегии пользователей
|
№ |
Привилегия |
Описание |
|
1 |
Работа в режиме операционной системы |
Эта привилегия разрешает процессу, проходить проверку подлинности как любому пользователю и таким образом получать доступ к тем же ресурсам, что и любой пользователь. |
|
2 |
Архивирование файлов и каталогов |
Данная привилегия позволяет пользователю избежать действия разрешений файлов и каталогов для архивирования системы. Эта привилегия выбирается только при попытке приложения получить доступ через API архивации NTFS |
|
3 |
Обход перекрестной проверки |
Эта привилегия позволяет пользователю проходить через папки, к которым иначе у него нет доступа, на пути к объекту в файловой системе NTFS или в реестре. Эта привилегия не разрешает пользователю выводить список содержимое папки, а только проходить через него |
|
4 |
Изменение системного времени |
Пользователь получает возможность устанавливать время на системных часах компьютера |
|
5 |
Отладка программ |
Пользователь получает возможность запускать программу отладки для любого процесса. |
|
6 |
Принудительное удаленное завершение работы |
Пользователь получает возможность завершать работу компьютера из удаленного расположения в сети |
|
7 |
Создание журналов безопасности |
Позволяет выполнять процесс создания записей журнала безопасности. Журнал безопасности используется для отслеживания несанкционированного доступа в систему |
|
8 |
Увеличение приоритета диспетчеризации |
Пользователь, обладающий данной привилегией, может изменять приоритет диспетчеризации процесса с помощью интерфейса Диспетчера задач |
|
9 |
Загрузка и выгрузка драйверов устройств |
Пользователь получает возможность устанавливать и удалять драйверы самонастраиваемых устройств. Эта привилегия не влияет на возможность установки драйверов для устройств, не являющихся самонастраиваемыми. Драйверы для таких устройств могут быть установлены только администраторами. |
|
10 |
Управление аудитом и журналом безопасности |
Пользователь получает возможность указывать параметры аудита доступа к объекту для отдельных ресурсов, таких как файлы, объекты Active Directory и разделы реестра. |
|
11 |
Профилирование загруженности системы |
Пользователь получает возможность работать со средствами наблюдения за производительностью, для отображения быстродействия системных процессов. |
|
12 |
Восстановление файлов и каталогов |
Пользователь получает возможность восстанавливать заархивированные файлы и каталоги, несмотря на их разрешения, а также назначать любого допустимого участника безопасности владельцем объекта |
|
13 |
Завершение работы системы |
Пользователь получает возможность, завершать работу операционной системы на локальном компьютере |
|
14 |
Овладение файлами или иными объектами |
Пользователь получает возможность становиться владельцем любых объектов безопасности системы, включая объекты Active Directory, файлы и папки NTFS, принтеры, разделы реестра, службы, процессы и потоки |
В табл. 3.1 перечислены и описаны некоторые из привилегий, которыми могут быть наделены пользователи. Ряд из этих привилегий имеют более высокий приоритет, чем разрешения объекта. Например, пользователь домена может являться членом группы Операторы архива, которая имеет право выполнения задач архивирования на всех серверах домена. Однако для этого требуется наличие разрешения на чтение всех файлов на этих серверах, в том числе и тех файлов, для которых владельцы установили разрешения, явно запрещающие доступ других пользователей, включая и членов группы Операторы архива. В данном случае право пользователя выполнять архивирование получает приоритет над всеми разрешениями для файлов и каталогов.
Существуют три фундаментальных уровня защиты, предоставляемых пользователям. Они предоставляются конечным пользователям через членство в группах Администраторы, Опытные пользователи или Пользователи.
В узле Группы отображаются все встроенные группы и группы, созданные пользователем. Встроенные группы создаются автоматически при установке Windows 2000 или Windows ХР. Принадлежность к группе предоставляет пользователю права и возможности для выполнения различных задач на компьютере.
Узел Пользователи отображает две встроенные учетные записи пользователей — Администратор и Гость, а также все созданные учетные записи пользователей. Встроенные учетные записи пользователей создаются автоматически при установке Windows 2000/ХР.
Учетная запись Администратор используется при первой установке рабочей станции или рядового сервера. Эта учетная запись позволяет выполнять необходимые действия до того, как пользователь создаст свою собственную учетную запись. Она входит в группу Администраторы на рабочей станции или сервере.
Учетную запись Администратор нельзя удалить, отключить или вывести из локальной группы Администраторы, благодаря чему исключается возможность случайной потери доступа к компьютеру после уничтожения всех учетных записей администратора. Профилирование загруженности системы, восстановление файлов и каталогов, завершение работы системы, овладение файлами или иными объектами - это свойства отличает учетную запись Администратор от остальных членов локальной группы Администраторы.
Администраторы.
Членство в группе Администраторы по умолчанию предоставляет самый широкий набор разрешений и возможность изменять собственные разрешения.
Рекомендуется использовать административный доступ только для выполнения следующих действий:
1. установка операционной системы и ее компонентов (на пример, драйверов устройств, системных служб и т. д.);
2. установки пакетов обновления;
3. обновления операционной системы;
4. восстановления операционной системы;
5. настройки важнейших параметров операционной системы (политики паролей, управления доступом, политики аудита, настройки драйверов в режиме ядра и т. д.);
6. вступления во владение файлами, ставшими недоступными;
7. управления журналами безопасности и аудита;
8. архивирования и восстановления системы.
На практике учетные записи администраторов часто должны использоваться для установки и запуска программ, написанных для предыдущих версий Windows.
Опытные пользователи.
Члены группы Опытные пользователи могут создавать учетные записи пользователей, но изменять и удалять могут только те из них, которые создали сами. Кроме того, они могут создавать локальные группы и удалять пользователей из созданных ими локальных групп, а также из групп Опытные пользователи, Пользователи и Гости.
Члены группы Опытные пользователи имеют больше разрешений, чем члены группы Пользователи, и меньше, чем члены группы Администраторы.
Опытные пользователи могут выполнять любые задачи с операционной системой, кроме задач, зарезервированных для группы Администраторы.
Опытные пользователи могут:
1. выполнять приложения, сертифицированные для Windows 2000 и Windows ХР, а также устаревшие приложения;
2. устанавливать программы, не изменяющие файлы операционной системы и системные службы;
3. настраивать ресурсы на уровне системы, включая принтеры, дату и время, параметры электропитания и другие ресурсы панели управления;
4. создавать и управлять локальными учетными записями пользователей и групп;
5. останавливать и запускать системные службы, не запущен ные по умолчанию.
Члены этой группы не могут изменять группы Администраоры и Операторы архива, являться владельцами файлов, выполнять архивирование и восстановление каталогов, загружать и выгружать драйверы устройств или управлять журналами безо пасности и аудита.
Опытные пользователи не могут добавлять себя в группу Администраторы. Они не имеют доступа к данным других пользо вателей на томе NTFS, если соответствующие разрешения этих пользователей не получены.
Для выполнения устаревших программ в Windows 2000/ХР часто необходимо изменить доступ к некоторым параметрам системы. Разрешения по умолчанию, позволяющие опытным пользователям выполнять устаревшие программы, также позво ляют им получать дополнительные привилегии в системе (даже полный административный контроль).
Поскольку опытные пользователи могут устанавливать и из менять программы, работа под учетной записью группы Опытные пользователи при подключении к Internet может сделать систе му уязвимой для троянских коней и других программ, угрожающих безопасности.
Пользователи.
Члены группы могут выполнять наиболее распространенные задачи, например запуск приложений, использование локальных и сетевых принтеров, завершение работы и блокировку рабочих станций. Группа Пользователи является наиболее безопасной, поскольку разрешения, предоставленные этой группе по умолчанию, не позволяют пользователям изменять параметры реестра на уровне системы, файлы операционной системы, программы или данные других пользователей. Пользователи могут выключать рабочие станции, но не серверы, могут создавать локальные группы, но управлять могут только теми, которые они создали. Пользователи не могут организовывать общий доступ к каталогам или создавать локальные принтеры.
Пользователи не могут запускать большинство программ для версий, более ранних, чем Windows 2000.
Материалы на данной страницы взяты из открытых источников либо размещены пользователем в соответствии с договором-офертой сайта. Вы можете сообщить о нарушении.
