Авторизация. Разграничение доступа к объектам ОС

После успешной регистрации система должна осуществлять авторизацию (authorization) – предоставление субъекту прав на доступ к объекту. Средства авторизации контролируют доступ легальных пользователей к ресурсам системы, предоставляя каждому из них именно те права, которые были определены администратором, а также осуществляют контроль возможности выполнения пользователем различных системных функций. Система контроля базируется на общей модели, называемой матрицей доступа. Рассмотрим ее более подробно.

Компьютерная система может быть смоделирована как набор субъектов (процессы, пользователи) и объектов. Под объектами мы понимаем как ресурсы оборудования (процессор, сегменты памяти, принтер, диски и ленты), так и программные ресурсы (файлы, программы, семафоры), т.е. все то, доступ к чему контролируется. Каждый объект имеет уникальное имя, отличающее его от других объектов в системе, и каждый из них может быть доступен через хорошо опр-ые и значимые операции.

Операции зависят от объектов. Например, процессор может только выполнять команды, сегменты памяти могут быть записаны и прочитаны, считыватель магнитных карт может только читать, а файлы данных могут быть записаны, прочитаны, переименованы и т. д.

Желательно добиться того, чтобы процесс осуществлял авторизованный доступ только к тем ресурсам, которые ему нужны для выполнения его задачи. Это требование минимума привилегий полезно с точки зрения ограничения количества повреждений, которые процесс может нанести системе. Например, когда процесс P вызывает процедуру А, ей должен быть разрешен доступ только к переменным и формальным параметрам, переданным ей, она не должна иметь возможность влиять на другие переменные процесса. Аналогично компилятор не должен оказывать влияния на произвольные файлы, а только на их хорошо определенное подмножество (исходные файлы, листинги и др.), имеющее отношение к компиляции. С другой стороны, компилятор может иметь личные файлы, используемые для оптимизационных целей, к которым процесс Р не имеет доступа.

Различают дискреционный (избирательный) способ управления доступом и полномочный (мандатный). При дискреционном доступе определенные операции над конкретным ресурсом запрещаются или разрешаются субъектам или группам субъектов. С концептуальной точки зрения текущее состояние прав доступа при дискреционном управлении описывается матрицей, в строках которой перечислены субъекты, в столбцах – объекты, а в ячейках – операции, которые субъект может выполнить над объектом. Полномочный подход заключается в том, что все объекты могут иметь уровни секретности, а все субъекты делятся на группы, образующие иерархию в соответствии с уровнем допуска к информации. Иногда это называют моделью многоуровневой безопасности, которая должна обеспечивать выполнение следующих правил.

· Простое свойство секретности. Субъект может читать информацию только из объекта, уровень секретности которого не выше уровня секретности субъекта. Генерал читает документы лейтенанта, но не наоборот.

· *-свойство. Субъект может записывать информацию в объекты только своего уровня или более высоких уровней секретности. Генерал не может случайно разгласить нижним чинам секретную информацию.

Отметим, что данная модель разработана для хранения секретов, но не гарантирует целостности данных. Например, лейтенант имеет право писать в файлы генерала.

Большинство операционных систем реализуют именно дискреционное управление доступом. Главное его достоинство – гибкость, основные недостатки – рассредоточеность управления и сложность централизованного контроля.

Чтобы рассмотреть схему дискреционного доступа более детально, введем концепцию домена безопасности (protection domain). Каждый домен определяет набор объектов и типов операций, которые могут производиться над каждым объектом. Возможность выполнять операции над объектом есть права доступа, каждое из которых есть упорядоченная пара <object-name, rights-set>. Домен, таким образом, есть набор прав доступа.

Модель имеет вид матрицы, которая называется матрицей доступа. В общем случае она будет разреженной, т. е. большинство ее клеток будут пустыми. Поэтому на практике матрица доступа применяется редко. Эту матрицу можно разложить по столбцам, в результате чего получаются списки прав доступа (access control list – ACL). В результате разложения по строкам получаются мандаты возможностей (capability list или capability tickets).

Связь конкретных субъектов, функционирующих в операционных системах, может быть организована следующим образом.

· Каждый пользователь может быть доменом. В этом случае набор объектов, к которым может быть организован доступ, зависит от идентификации пользователя.

· Каждый процесс может быть доменом. В этом случае набор доступных объектов определяется идентификацией процесса.

· Каждая процедура может быть доменом. В этом случае набор доступных объектов соответствует локальным переменным, определенным внутри процедуры. Заметим, что когда процедура выполнена, происходит смена домена.

Аудит системы защиты.

Даже самая лучшая система защиты рано или поздно будет взломана. Обнаружение попыток вторжения является важнейшей задачей системы защиты, поскольку ее решение позволяет минимизировать ущерб от взлома и собирать информацию о методах вторжения. Как правило, поведение взломщика отличается от поведения легального пользователя. Иногда эти различия можно выразить количественно, например, подсчитывая число некорректных вводов пароля во время регистрации.

Основным инструментом выявления вторжений является запись данных аудита. Отдельные действия пользователей протоколируются, а полученный протокол используется для выявления вторжений.

Аудит, таким образом, заключается в регистрации специальных данных о различных типах событий, происходящих в системе и так или иначе влияющих на состояние безопасности компьютерной системы. К числу таких событий обычно причисляют следующие:

· вход или выход из системы;

· операции с файлами (открыть, закрыть, переименовать, удалить);

· обращение к удаленной системе;

· смена привилегий или иных атрибутов безопасности (режима доступа, уровня благонадежности пользователя и т. п.).

Помимо протоколирования, можно периодически сканировать систему на наличие слабых мест в системе безопасности. Такое сканирование может проверить разнообразные аспекты системы:

· короткие или легкие пароли;

· неавторизованные set-uid программы, если система поддерживает этот механизм;

· неавторизованные программы в системных директориях;

· долго выполняющиеся программы;

· нелогичная защита как пользовательских, так и системных директорий и файлов. Примером нелогичной защиты может быть файл, который запрещено читать его автору, но в который разрешено записывать информацию постороннему пользователю;

· потенциально опасные списки поиска файлов, которые могут привести к запуску «троянского коня»;

· изменения в системных программах, обнаруженные при помощи контрольных сумм.

Любая проблема, обнаруженная сканером безопасности, может быть как ликвидирована автоматически, так и передана для решения менеджеру системы.

140. Анализ некоторых популярных ОС с точки зрения их защищенности: MS-DOS; Windows NT/2000/XP; Windows Vista; Windows 7.

ОС должна способствовать реализации мер безопасности или непосредственно поддерживать их. Примерами подобных решений в рамках аппаратуры и операционной системы могут быть:

· разделение команд по уровням привилегированности;

· сегментация адресного пространства процессов и организация защиты сегментов;

· защита различных процессов от взаимного влияния за счет выделения каждому своего виртуального пространства;

· особая защита ядра ОС;

· контроль повторного использования объекта;

· наличие средств управления доступом;

· структурированность системы, явное выделение надежной вычислительной базы (совокупности защищенных компонентов), обеспечение компактности этой базы;

· следование принципу минимизации привилегий – каждому компоненту дается ровно столько привилегий, сколько необходимо для вып-ия им своих функций.

Большое значение имеет структура файловой системы. В ОС с дискреционным контролем доступа каждый файл должен хр-ся вместе с дискреционным списком прав доступа к нему, а, например, при копировании файла все атрибуты, в том числе и ACL, должны быть автоматически скопированы вместе с телом файла.

Меры безопасности не обязательно должны быть заранее встроены в ОС – достаточно принципиальной возможности дополнительной установки защитных продуктов. Так, сугубо ненадежная система MS-DOS может быть усовершенствована за счет средств проверки паролей доступа к компьютеру и/или жесткому диску, за счет борьбы с вирусами путем отсл-ия попыток записи в загрузочный сектор CMOS-средствами и т.п. MS-DOS. ОС MS-DOS функционирует в реальном режиме (real-mode) процессора i80x86. В ней невозможно выполнение требования, касающегося изоляции программных модулей (отсутствует аппаратная защита памяти). Уязвимым местом для защиты является также файловая система FAT, не предполагающая у файлов наличия атрибутов, связанных с разграничением доступа к ним. Т.О, MS-DOS находится на самом нижнем уровне в иерархии защищенных ОС.

Windows NT/2000/XP. С момента выхода версии 3.1 осенью 1993 года в Windows NT гарантировалось соответствие уровню безопасности C2. В 1999 г. сертифицирована версия NT 4 с Service Pack 6a с исп-ем файловой системы NTFS в автономной и сетевой конфигурации. Следует помнить, что этот ур безопасности не подразумевает защиту инфо, передаваемой по сети, и не гарантирует защищ-ти от физ. доступа.

Компоненты защиты NT частично встроены в ядро, а частично реализуются подсистемой защиты. Подсистема защиты контролирует доступ и учетную информацию. Windows NT имеет встроенные средства, такие как поддержка резервных копий данных и управление источниками бесперебойного питания.

ОС Windows 2000 сертифицирована по стандарту Common Criteria. В дальнейшем продукты Windows NT/2000/XP, изготовленные по технологии NT, будем называть просто Windows NT.

Ключевая цель системы защиты Windows NT – следить за тем, кто и к каким объектам осуществляет доступ. Система защиты хранит инфо, относящуюся к безопасности для каждого пользователя, группы пользователей и объекта. Единообразие контроля доступа к различным объектам обеспечивается тем, что с каждым процессом связан маркер доступа, а с каждым объектом – дескриптор защиты. Маркер доступа в качестве параметра имеет идентификатор пользователя, а дескриптор защиты – списки прав доступа. ОС может контролировать попытки доступа, которые производятся процессами прямо или косвенно инициированными пользователем.

Windows NT отслеж-ет и контр-ет доступ как к объектам, которые польз-ль может видеть посредством интерфейса, так и к объектам, которые польз-ль не может видеть.

Система защиты ОС Windows NT состоит из следующих компонентов:

Процедуры регистрации, которые обраб-ют запросы польз-ей на вход в систему.

Подсистемы локальной авторизации, гарантирует, что польз-ль имеет разрешение на доступ в систему.

Менеджера учета, который управляет бд учета пользователей. Эта база данных содержит информацию обо всех пользователях и группах пользователей.

Диспетчер доступа, который проверяет, имеет ли пользователь право на доступ к объекту и на выполнение тех действий, которые он пытается совершить.

Windows Vista. Windows Vista – это первая клиентская ОС от Microsoft, в которой контроль за безопасностью осуществляется на всех этапах разработки.

Аппаратная защита Windows Vista. Использование технологий NX (No Execute) на аппаратном уровне. NX позволяет программному обеспечению помечать сегменты памяти, в которых будут хранится только данные, и процессор не позволит приложениям и службам исполнять произвольный код в этих сегментах.

Случайное расположение адресного пространства Каждый раз, когда компьютер перезагружается, ASLR в случайном порядке назначает 1 из 256 возможных вариантов адреса для расположения ключевых системных DLL и EXE файлов.

Защита ядра для x64. 64-битные версии Windows Vista поддерживают технологию защиты ядра (иногда используется термин PatchGuard), которая запрещает неавторизованному ПО изменять ядро Windows.

Запрещена модификация следующих компонентов ядра:

· таблицы системных вызовов (system service tables, SST);

· таблица прерываний (interrupt descriptor table (IDT));

· таблица глобальных дескрипторов;

· изменение любой части ядра.

Программная защита. Подписывание драйверов для x64. Для того чтобы пользователи могли видеть поставщиков драйверов и других программных продуктов.

Контроль пользовательских учетных записей. Windows Vista содержит компонент User Account Control (UAC). Это новый подход, который разделяет все операции в системе на 2 категории: те, которые может выполнять польз-ль со своими стандартными правами и те, которые требуют административных привилегий. Когда обычные польз-ли пытаются вып-ть задачу, требующую админ-ых привилегий, им предлагается ввести пароль админа.

Защита доступа к сети (Network Access Protection, NAP). NAP – это система, которая позволяет системным администраторам быть уверенным в том, что в сети находятся только «здоровые» машины. Под понятием «здоровые» подразумеваются машины со всеми необходимыми обновлениями ПО, антивирусных баз и т.д. Если компьютер, не соответствует требованиям, предъявляемым NAP, он объявляется «нездоровым», ему не разрешается доступ к сети, до тех пор, пока все требования NAP не будут выполнены.

Защита от вредоносного кода и компьютерных атак.

Windows Defender – компонент который защищает компьютер от руткитов, кейлоггеров, шпионов, adware, bots и другого вредоносного ПО. (не защищает от червей и вирусов).

Защита данных. BitLocker Drive Encryption (Шифрованиетома). BitLocker Drive Encryption – инструмент, позволяющий защитить конфиденциальную информацию на диске, путем его шифрования. В случае, если диск, защищенный с помощью технологии BitLocker украден или, например, списан, то информацию на нем прочесть не удастся, поскольку все содержимое диска зашифровано.

Контроль USB-устройств.

Брандмауэр ОС MS Windows.

Брандмауэр – сочетание программного и аппаратного обеспечения, образующее систему защиты, как правило, от несанкционированного доступа из внешней глобальной сети во внутреннюю сеть. Брандмауэр предотвращает прямую связь между внутренней сетью и внешними компьютерами, пропуская сетевой трафик через прокси-сервер, находящийся снаружи сети. Прокси-сервер определяет, следует ли разрешить файлу попасть во внутреннюю сеть. Брандмауэр называется также шлюзом.

Прокси-сервер – промежуточная программа для обслуживания запросов клиентов. Запросы обслуживаются внутри или за счет передачи их другим серверам.

Брандмауэр Windows помогает повысить безопасность компьютера. Он ограничивает информацию, поступающую на компьютер с других компьютеров, позволяя лучше контролировать данные на компьютере и обеспечивая линию обороны компьютера от людей или программ (включая вирусы и «черви»), которые несанкционированно пытаются подключиться к компьютеру.

Как работает брандмауэр? Когда к компьютеру пытается подключиться кто-то из Интернета или локальной сети, такие попытки называют «непредусмотренными запросами». Когда на компьютер поступает непредусмотренный запрос, брандмауэр Windows блокирует подключение. Если на компьютере используются такие программы, как программа передачи мгновенных сообщений или сетевые игры, которым требуется принимать информацию из Интернета или локальной сети, брандмауэр запрашивает пользователя о блокировании или разрешении подключения. Если пользователь разрешает подключение, брандмауэр Windows создает исключение, чтобы в будущем не тревожить пользователя запросами по поводу поступления информации для этой программы.

Характеристика брандмауэра Windows.

Может:

--Блокировать компьютерным вирусам и «червям» доступ на компьютер.

--Запросить пользователя о выборе блокировки или разрешения для определенных запросов на подключение.

--Вести учет (журнал безопасности) — по желанию пользователя — записывая разрешенные и заблокированные попытки подключения к компьютеру. Этот журнал может оказаться полезным для диагностики неполадок.

Не может:

--Обнаружить или обезвредить компьютерных вирусов и «червей», если они уже попали на компьютер. По этой причине необходимо также установить антивирусное программное обеспечение и своевременно обновлять его, чтобы предотвратить повреждение компьютера вирусами, «червями» и другими опасными объектами, а также не допустить использования данного компьютера для распространения вирусов на другие компьютеры.

--Запретить пользователю открывать сообщения электронной почты с опасными вложениями. Не открывайте вложения в сообщениях электронной почты от незнакомых отправителей.

--Блокировать спам или несанкционированные почтовые рассылки, чтобы они не поступали в папку входящих сообщений. Однако некоторые программы электронной почты способны делать это.