- •Основные понятия иб.
- •Модель нарушителя безопасности информации.
- •Угрозы иб.
- •Организационно-правовое обеспечение иб.
- •Инженерно-технические методы и средства зи.
- •Программные и программно-аппаратные методы и средства обеспечения иб.
- •Требования к комплексным системам зи.
- •Аутентификация на основе паролей
- •Аутентификация на основ метода «рукопожатия».
- •Аутентификация пользователей по их биометрическим характеристикам.
- •Аутентификация пользователей по клавиатурному почерку.
- •Аутентификация пользователей по росписи мыши.
- •Аппаратная зи.
- •Зи в открытых версиях ос Windows.
- •Подсистема безопасности защищенных версий ос Windows.
- •Аудит событий в защищенных версиях ос Windows.
- •Некоторые важные события безопасности (например, запуск драйвера устройства) не могут регистрироваться в журнале аудита;
- •Шифрующая файловая система в защищенных версиях ос Windows.
- •Цели и задачи зи в лвс.
- •Понятие сервисов безопасности.
- •Служба каталога Active Directory.
- •Протокол Kerberos. Протокол ipSec.
- •Межсетевой экран брандмауэр.
- •Виртуальная частная сеть.
- •Прокси-сервер.
- •Криптология и основные этапы ее развития.
- •Методы криптографического преобразования данных.
- •Шифрование заменой.
- •Монофоническая замена.
- •Шифрование методом перестановки.
- •Шифрование методом гаммирования.
- •Системы с открытым ключом.
- •Электронная цифровая подпись.
- •Кодирование.
- •Криптографический стандарт des.
- •Криптографический стандарт гост 28147-89.
- •Компьютерная стеганография.
- •Вредоносные программы и классификация.
- •Загрузочные и файловые вирусы.
- •Антивирусы.
- •Программные закладки и методы защиты от них.
- •Эксплойты.
Подсистема безопасности защищенных версий ос Windows.
Защищенные подсистемы Windows NT работают в пользовательском режиме и создаются Windows NT во время загрузки операционной системы. Сразу после создания они начинают бесконечный цикл своего выполнения, отвечая на сообщения, поступающие к ним от прикладных процессов и других подсистем. Каждая подсистема работает как отдельный процесс режима пользователя, причем каждая подсистема защищена от ошибок в других подсистемах: сбой в одной из них не приведет к блокировке других подсистем или модуля Executive. Для запуска приложений также используются процессы режима пользователя, поэтому они не могут повлиять на работу подсистем или модуля Executive.
Подсистемы связываются между собой путем передачи сообщений. Когда, например, пользовательское приложение вызывает какую-нибудь API-процедуру, подсистема окружения, обеспечивающая эту процедуру, получает сообщение и выполняет ее либо обращаясь к ядру, либо посылая сообщение другой подсистеме. После завершения процедуры подсистема окружения посылает приложению сообщение, содержащее возвращаемое значение. Посылка сообщений и другая деятельность защищенных подсистем невидима для пользователя.
Основным средством, скрепляющим все подсистемы Windows NT в единое целое, является механизм вызова локальных процедур (Local Procedure Call, LPC). LPC представляет собой оптимизированный вариант более общего средства - удаленного вызова процедур (RPC), которое используется для связи клиентов и серверов, расположенных на разных машинах сети.
Windows NT предоставляет следующие защищенные подсистемы среды и виртуальные машины DOS (Virtual DOS Machines, VDM):
Виртуальная машина MS-DOS (MS-DOS NTVDM).
Виртуальная машина Win 16 (Win 16 NTVDM).
Подсистема OS/2.
Подсистема POSIX.
Подсистема Win32.
Аудит событий в защищенных версиях ос Windows.
В защищенных версиях ОС Windows аудит осуществляется с использованием журнала аудита, который находится в файле windows\System32\Config\secevent.evt. Доступ осуществляется с помощью функции «Просмотр событий» панели управления Windows.
Значения параметров политики аудита могут быть заданы в окне задания значений параметрам локальной политики безопасности, в специальном окне определения значений параметрам аудита и в окне свойств самого журнала аудита событий безопасности при его просмотре.
С помощью задания значений параметрам безопасности и аудита администратор указывает, какие события должны регистрироваться в журнале аудита. Возможна регистрация следующих событий:
вход пользователей в систему;
доступ субъектов к объектам;
доступ к службе каталогов Active Directory;
изменение политики безопасности;
использование привилегий;
отслеживание процессов;
системные события;
попытки входа в систему;
управление учетными записями пользователей и групп;
доступ к глобальным системным объектам;
использование прав на архивацию и восстановление объектов.
Для каждой категории регистрируемых событий администратор может указать тип события (успешное и (или) неудачное завершение) либо отменить его регистрацию в журнале аудита. При аудите использования привилегий регистрируются попытки использования не всех возможных привилегий, а лишь тех, которые считаются потенциально опасными с точки зрения разработчиков подсистемы безопасности защищенных версий Windows (например, создание маркерного объекта или создание журналов безопасности).
К системным событиям, которые могут регистрироваться в журнале аудита, относятся:
перезагрузка операционной системы;
завершение работы операционной системы;
загрузка пакета аутентификации;
запуск процесса входа (Winlogon);
сбой при регистрации события в журнале аудита;
очистка журнала аудита;
загрузка пакета оповещения об изменении в списке пользователей.
Параметрами журнала аудита, которые может изменить администратор, являются максимальный размер журнала и реакция операционной системы на его переполнение.
Для обеспечения безопасности информации необходимо разделить полномочия администратора КС и аудиторов. Для этого необходимо создать отдельную от Администраторов группу аудиторов и включить в нее пользователей с соответсвующими правами, назначить владельцем файла аудита одного из членов группы аудиторов, разрешить полный доступ к файлу аудита членам группы аудиторов и псевдопользователю System, а всем остальным – запретить. Предоставить группе аудиторов привелегии управления аудитом и журналом безопасности, отменив при этом эту привелегию у группы администраторов. Исключить учетные записи аудиторов из группы администраторов.
В результате этих действий просматривать и очищать журнал могут только члены группы аудиторов, а изменять значения параметров политики аудита – только члены группы администраторов.
Недостатки подсистемы аудита защищенных версий операционной системы Windows:
защита от несанкционированного доступа к файлу аудита обеспечивается только средствами разграничения доступа без применения шифрования;
отсутствуют простые средства разграничения полномочий администраторов и аудиторов КС;