Операционные системы 09.02.03 2 курс. Автономной некоммерческой образовательной организации профессионального образования
Скачать 0.57 Mb.
|
Лекция №16Стандартное программное обеспечение регистрирует события в журнале аудита 52 типов. Требования: адекватность политики заключается в том, что регистрируются те события, которые необходимы. желательно регистрировать: вход- выход пользователя (успешные и неуспешные попытки) доступ субъекта к объекту (целесообразно регистрировать, если есть подозрение злоупотребления использования объекта) успешные попытки изменения списка пользователей должны регистрироваться всегда изменения в политике безопасности должны регистрироваться всегда системные события нецелесообразно регистрировать (их слишком много) запуск и завершение процесса регистрировать целесообразно, если есть подозрение на вирус или вражескую программу Достоинства: Возможность аудита. Недостатки: Журнал защищен от несанкционированного доступа только средствами разграничения доступа. Отсутствие удобных и эффективных средств для отделения пользователей аудитора от пользователей администратора. Количество категорий событий аудита недостаточно. Многие важные с точки зрения безопасности системы события не могут быть зарегистрированы в журнале. Многие объекты ОС, …….посредством стандартных утилит администрирования, по умолчанию имеют системный ACL, что приводит к регистрированию в журналу множество малоинтересных событий. Реальный порядок регистрации некоторых событий противоречат перечисленным (описанным) в документации. Порядок функционирования системы безопасности определяется большим числом настроек которые при инсталляции по умолчанию установятся таким образом, что решению задач защиты информации отводится второстепенная роль. Угроза безопасности конфиденциальности информации Атака, реализуемая через воздействие на подсистему аутоидентификации. Действия: Возможность получения прямого доступа к разделам SAM и SECURITY…………….. Возможность перехвата и анализа сетевых пакетов. Незаконный захват привилегий: Отсутствует проверка наличия привилегий отлаживать системные процессы в некоторых функциях ОС. Возможность подмены нарушения системных именованных каналов. Внедрение в ОС дополнительных модулей или закладок. Настройка и конфигурация WINDOWS NTWindows NT сохраняет и проверяет информацию о конфигурации в одном месте – реестре. В реестре хранятся: Данные конфигурации приложений Данные конфигурации аппаратных средств Данные конфигурации драйверов устройств Параметры сетевых протоколов и адаптеров Обращения: Программа Setup при каждом запуске и при установке любого приложения, добавлении или изменении аппаратных средств, в реестр добавляются новые данные конфигурации. Программа распознавания: при каждом запуске Windows NT программа распознавания помещает данные о конфигурации аппаратных средств в реестр. Эта информация включает список аппаратных средств, обнаруженных в системе. Ядро: В процессе запуска ОС ядро извлекает из реестра различную информацию (тип драйвера и т.д.) Драйверы устройств (ДУ) посылают и получают данные загрузки и конфигурации из реестра. ДУ должен сообщить об использованных ресурсах системы (номер прерывания, возможность прямого доступа к файлу и т.д.) Административно- инструментальные средства (панель управления): в панели управления можем посмотреть и изменить конфигурацию системы и т.д. Реестр сконструирован как навод четырех поддеревьев ключей, которые содержат БД с информацией компьютера и пользователя. В реестре каждый индивидуальный ключ может содержать элементы данных, называются значениями элементов и подключи. В структуре реестра ключи аналогичны каталогам, значимые элементы – файлам. 4 корневых ключа: HKEY_LOCAL_MACHINE (содержит информацию относительно локальной компьютерной системы, включая аппаратные средств и данные ОС (например, тип шины, количество системной памяти, драйверы устройств, данные управления запуска)) HKEY_CLASSES_ROOT (содержит данные связи и внедрения объектов и данные ассоциации файловых классов) HKEY_USERS (содержит все активы, загружаемые профилем пользователя, зарегистрируемые на этой машине) HKEY_CURRENT_USER (содержит профиль пользователя для текущего зарегистрируемого пользователя, включая системные переменные, персональные группы программ, установки рабочего стола, сетевые соединения, установка приложения) Значимый элемент реестра имеет 3 части: имя, тип и значение. Значимый элемент не может быть больше 1 МБ. Значения от 0 до 7FFFFFFF зарегистрированы для определенной системы, а значения 00000000 до FFFFFFFF для приложения (для пользователя). |