Модель безопасности ОС Windows

В настоящее время ОС семейства Windows являются одними из наиболее распространенных систем в мире. Определяющим фактором при выборе данной ОС в качестве основы для построения информационных систем является комбинация дружественного пользовательского интерфейса и защиты обрабатываемых данных.

Подсистема безопасности ОС Windows построена весьма эффективно и гарантирована применением многоуровневой структуры. При разработке ОС Windows 2000, Windows XP и Windows Server 2003 учитывалось то, что они должны удовлетворять уровню безопасности C2 требований, разработанных оборонными ведомствами США. В 2003г. началась сертификация ОС Windows XP Professional и Windows Server 2003 в Гостехкомиссии России на соответствие Российским стандартам безопасности. В 2004г. началась сертификация ОС Windows XP Professional и Windows Server 2003. ОС Windows XP Professional SP2 сертифицирована в соответствии с методологией международного стандарта ИСО 15408 в декабре 2004г. В мае 2005г. в Федеральной службе технического и экспортного контроля (бывшей Гостехкомиссии России) была сертифицирована ОС Windows Server 2003. Сертификат подтверждает, что ОС Microsoft Windows XP Professional соответствует заданию по безопасности и имеет оценочный уровень доверия ОУД1, усиленный компонентом AVA_SOF.1 («Оценка стойкости функции безопасности»).

Для обеспечения требований безопасности в ОС семейства Windows реализована объектная модель защиты. Данная модель подразумевает, что любой ресурс рассматривается системой как объект, т.е. ресурс обладает набором атрибутов, которые позволяют описать его состояние с точки зрения безопасности.

Реализацию этих принципов в ОС Windows поддерживает множество компонентов и специальных баз данных, основными из которых являются следующие (рис. 5.1) (здесь и далее при анализе ОС семейства Windows употребляется термин «ОС Windows», когда описание касается общесистемных компонентов, при рассмотрении отличительных характеристик — версия ОС указывается особо):

· подсистема локальной аутентификации (Local Security Authority Subsystem, LSASS) — процесс пользовательского режима, который отвечает за правила безопасности на локальной системе: например, за множество пользователей, имеющих право на вход в систему, за правила, связанные с паролями, за привилегии, выдаваемые пользователям и их группам, за параметры аудита системы и аутентификацию пользователей;

Рис. 5.1. Базовые компоненты подсистемы защиты ОС семейства Windows

· база данных политики LSASS — набор записей подсистемы аутентификации LSASS. База содержит параметры политики безопасности локальной системы и включает информацию: каким доменам доверена аутентификация попыток входа в систему, кто имеет права на доступ к системе и каким образом, кому предоставлены те или иные привилегии;

· пакеты аутентификации (authentication package) — совокупность DLL-модулей, выполняющихся в контексте процесса LSASS и реализующих проверку пароля и имени пользователя, а в случае успешной проверки отвечающих за создание пользовательской сессии и возврат в LSASS информации о правах пользователя для формирования маркера доступа;

· диспетчер учетных записей безопасности (Security Accounts Manager, SAM) — совокупность подпрограмм, отвечающих за поддержку именования пользователей и проверку учетных записей определенных на локальной машине пользователей и групп;

· база данных SAM — база данных, которая в системах, отличных от контроллеров домена, содержит информацию о локальных пользователях и группах вместе с их паролями и другими атрибутами. На контроллерах домена (при развертывании службы каталога Active Directory) SAM содержит определение и пароль учетной записи администратора, имеющего права на восстановление системы;

· Active Directory — служба каталога, содержащая базу данных со сведениями об объектах в домене. Домен — совокупность компьютеров и сопоставленных с ними групп безопасности, которые управляются как единое целое. Active Directory хранит информацию об объектах домена, в том числе о пользователях, группах и компьютерах. Сведения о паролях и привилегиях пользователей домена и их групп содержатся в Active Directory и реплицируются на компьютеры, исполняющие роль контроллеров домена. Сервер Active Directory выполняется в процессе LSASS;

· процесс входа (Winlogon) — процесс пользовательского режима, отвечающий за управление интерактивным входом пользователя в систему;

· монитор обращений (Security Reference Monitor, SRM) — наиболее важный компонент подсистемы защиты, исполняемый в режиме ядра и отвечающий за проверку прав доступа и привилегий, а также за генерацию сообщений аудита безопасности.

Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет

Лабораторная работа №6

Средства обеспечения безопасности ОС Windows

Цель: изучить модель безопасности операционной системы Windows, получить навыки практического использования ее средств обеспечения безопасности.

Классификация защиты семейства ОС Windows

Защита конфиденциальных данных от несанкционированного доступа является важнейшим фактором успешного функционирования любой многопользовательской системы. ОС Windows не является исключением и требования к защите объектов файловой системы, памяти, объектов ядра операционной системы внесли существенный вклад в процесс ее проектирования и реализации.

Так, например, версии Windows NT/2000 были сертифицированы по классу С2 критериев TSSEC («Оранжевая книга»). Требования к операционной системе, защищенной по классу С2, включают:

— обязательную идентификацию и аутентификацию всех пользователей операционной системы. Под этим понимается способность операционной системы идентифицировать всех пользователей, которые получают санкционированный доступ к системе, и предоставление доступа к ресурсам только этим пользователям;

— разграничительный контроль доступа — предоставление пользователям возможности защиты принадлежащих им данных;

— системный аудит — способность системы вести подробный аудит всех действий, выполняемых пользователями и самой операционной системой;

— защита объектов от повторного использования — способность системы предотвратить доступ пользователя к информации ресурсов, с которыми до этого работал другой пользователь.

ОС Microsoft Windows XP Professional (SP2/SP3) имеет действующие сертификаты ФСТЭК России и может использоваться в составе автоматизированных систем до класса защищенности 1Г включительно в соответствии с требованиями руководящего документа «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации» (Гостехкомиссия России, 1992).

1.2. Идентификация пользователей

Для защиты данных Windows использует следующие основные механизмы: аутентификация и авторизация пользователей, аудит событий в системе, шифрование данных, поддержка инфраструктуры открытых ключей, встроенные средства сетевой защиты. Эти механизмы поддерживаются такими подсистемами Windows как LSASS (Local Security Authority Subsystem Service, подсистема локальной аутентификации), SAM (Security Account Manager, диспетчер локальных записей безопасности), SRM (Security reference Monitor, монитор состояния защиты), Active Directory (служба каталогов), EFS (Encrypting File System, шифрующая файловая система) и др.

Защита объектов и аудит действий с ними в ОС Windows организованы на основе избирательного (дискреционного) доступа, когда права доступа (чтение, запись, удаление, изменение атрибутов) субъекта к объекту задается явно в специальной матрице доступа. Для укрупнения матрицы пользователи могут объединяться в группы. При попытке субъекта (одного из потоков процесса, запущенного от его имени) получить доступ к объекту указываются, какие операции пользователь собирается выполнять с объектом. Если подобный тип доступа разрешен, поток получает описатель (дескриптор) объекта и все потоки процесса могут выполнять операции с ним. Подобная схема доступа, очевидно, требует аутентификации каждого пользователя, получающего доступ к ресурсам и его надежную идентификацию в системе, а также механизмов описания прав пользователей и групп пользователей в системе, описания и проверки дискреционных прав доступа пользователей к объектам. Рассмотрим, как в ОС Windows организована аутентификация и авторизация пользователей.

S – R – I – S0 — S1 — … — Sn – RID

Все действующие в системе объекты (пользователи, группы, локальные компьютеры, домены) идентифицируются в Windows не по именам, уникальность которых не всегда удается достичь, а по идентификаторам защиты (Security Identifiers, SID). SID представляет собой числовое значение переменной длины:

S — неизменный идентификатор строкового представления SID;

R – уровень ревизии (версия). На сегодня 1.

I — (identifier-authority) идентификатор полномочий . Представляет собой 48-битную строку, идентифицирующую компьютер или сеть, который(ая) выдал SID объекту. Возможные значения:

0 (SECURITY_NULL_SID_AUTHORITY) — используются для сравнений, когда неизвестны полномочия идентификатора;

1 (SECURITY_WORLD_SID_AUTHORITY) — применяются для конструирования идентификаторов SID, которые представляют всех пользователей. Например, идентификатор SID для группы Everyone (Все пользователи) — это S-1-1-0;

2 (SECURITY_LOCAL_SID_AUTHORITY) — используются для построения идентификаторов SID, представляющих пользователей, которые входят на локальный терминал;

5 (SECURITY_NT_AUTHORITY) — сама операционная система. То есть, данный идентификатор выпущен компьютером или доменом.

Sn – 32-битные коды (колчеством 0 и более) субагентов, которым было передано право выдать SID. Значение первых подчиненных полномочий общеизвестно. Они могут иметь значение:

5 — идентификаторы SID присваиваются сеансам регистрации для выдачи прав любому приложению, запускаемому во время определенного сеанса регистрации. У таких идентификаторов SID первые подчиненные полномочия установлены как 5 и принимают форму S-1-5-5-x-y;

6 —когда процесс регистрируется как служба, он получает специальный идентификатор SID в свой маркер для обозначения данного действия. Этот идентификатор SID имеет подчиненные полномочия 6 и всегда будет S-1-5-6;

21 (SECURITY_NT_NON_UNIQUE) — обозначают идентификатор SID пользователя и идентификатор SID компьютера, которые не являются уникальными в глобальном масштабе;

32 (SECURITY_BUILTIN_DOMAIN_RID) — обозначают встроенные идентификаторы SID. Например, известный идентификатор SID для встроенной группы администраторов S-1-5-32-544;

80 (SECURITY_SERVICE_ID_BASE_RID) — обозначают идентификатор SID, который принадлежит службе.

Остальные подчиненные полномочия идентификатора совместно обозначают домен или компьютер, который издал идентификатор SID.

RID – 32-битный относительный идентификатор. Он является является идентификатором уникального объекта безопасности в области, для которой был определен SID. Например, 500 — обозначает встроенную учетную запись Administrator, 501 — обозначает встроенную учетную запись Guest, а 502 — RID для билета на получение билетов протокола Kerberos .

При генерации SID Windows использует генератор случайных чисел, чтобы обеспечить уникальность SID для каждого пользователя. Для некоторого произвольного пользователя SID может выглядеть так:

Предопределенным пользователям и группам Windows выдает характерные SID, состоящие из SID компьютера или домена и предопределенного RID. В таблице 1 приведен перечень некоторых общеизвестных SID.