33667

МОДЕЛЬ БЕЗОПАСНОСТИ ОС WINDOWS В СЕТИ. КОМПОНЕНТЫ БЕЗОПАСНОСТИ. УЧЕТНЫЕ ЗАПИСИ

Доклад

Информатика, кибернетика и программирование

МОДЕЛЬ БЕЗОПАСНОСТИ ОС WINDOWS В СЕТИ. КОМПОНЕНТЫ БЕЗОПАСНОСТИ. Существующие разнообразные сетевых операционные системы поразному подходят к построению системы безопасности. Операционная система Windows Server 2003 согласно заверениям Microsoft соответствует классу безопасности С2.

Русский

2013-09-06

69 KB

29 чел.

36. МОДЕЛЬ БЕЗОПАСНОСТИ ОС WINDOWS В СЕТИ. КОМПОНЕНТЫ БЕЗОПАСНОСТИ. УЧЕТНЫЕ ЗАПИСИ.

Существующие разнообразные сетевых операционные системы по-разному подходят к построению системы безопасности. Операционная система Windows Server 2003, согласно заверениям Microsoft, соответствует классу безопасности С2. Следует заметить, что Windows Server 2003, будучи операционной системой нового поколения, фактически унаследовала модель системы безопасности, использовавшуюся в предыдущих версиях Windows.

Копоненты:

1) Локальная служба безопасности (Local Security Authority, LSA) - главная в системе безопасности Windows. Ее задача — предоставлять доступ в систему только пользователям, имеющим на это право.

2) Менеджер учет записей (Security Account Manager, SAM). Управляет базой данных учета пользователей. Эта база данных содержит информацию обо всех пользоват и группах пользоват.

2) Монитор безопасности (Security Reference Monitor, SRM) функционирует на уровне ядра операционной системы и осуществляет контроль доступа пользователей к объектам на осн их прав.

3) Механизмы аутентификации осуществляют проверку полномочий, предъявляемых пользователем при входе в систему.

4) Служба каталога. В службе каталога вся информация об объектах сети (пользователи, ресурсы, сетевые службы и т. п.) объединяется в так называемый каталог (directory). Внутри каталога объекты организуются в соответствии либо с физической, либо с логической структурой.

Управл сетевыми ресурсами Служба каталога облегчает пользователям поиск нужных ресурсов, скрывая от них подробности реализации механизма поиска. Пользователь формулирует запрос, а служба каталога локализует требуемый ресурс.

Управление пользователями. Каждому пользователю поставлен в соответствие определенный набор характеристик, позволяющий персонализировать его деятельность в сети. Это дает возможность управлять доступом к сетевым ресурсам на уровне пользователей.

Обеспечение функционирования сети. При построении сети приходится также решать вопросы, связанные с конкретным способом е организации. Большинство сетевых служб может быть интегрировано со службой каталога, что позволит более эффективно организовать функционирование этих служб.

В ОС Windows Server 2003 реализована служба каталога Active Directory. Она является центральным компонентом семейства операционных систем Windows Server 2003. Большинство служб операционной системы (в том числе и сетевых служб) использует каталог как базу для размещения информации о своей конфигурации.

Пользователь должен иметь ассоциированную с ним учетную запись (user account). Она исп для идентификации пользователя в системе и всех его действий. Каждая учетная запись должна быть уникальной в пределах того домена, в котором она определена. Комбинация имени домена и имени учетной записи является уникальной в рамках всей корпорат сети и позв однозначно идентифицировать пользователя.

Учетная запись содержит:

Инфа, связанная с личностью владельца учетной записи (полное имя и краткое описание пользователя). Она позволяет администратору ориентироваться в большом количестве учетных записей.

Пароль (password). Знание пароля является единственным способом пользователя подтвердить свою личность в Windows.

Идентификатор безопасности (security ID). Система оперирует не именем учетной записи, а ассоциированным с ним идентификатором безопасности - многозначным числом. Идентификатор безопасности является уникальным и никогда не повторяется. Это позволяет гарантировать уникальность пользователя, независимо от имени его учетной записи.

Членство пользователя в группах (security groups). Группы исп для объединения пользователей, с одинаковой потребностью в доступе к определенным объектам системы. Пользователь может одновременно принадлежать к нескольким группам.

Права пользователей (user rights). Под правами пользователей в Windows понимается совокупность правил, регламентирующих привилегии пользователей (групп пользователей) на осуществление определенных действий. Некоторые права пользователь может получить косвенно, через членство в группах, но большая часть прав специфическая и может быть получена только явным указанием.

5.1Модель безопасности ОС Windows. Компоненты системы безопасности.

Из продуктов Microsoft более защищенными являются ОС Windows NT, Windows 2000 Server и Windows 2003 Server. Большие возможности для гибкой настройки защиты имеются во FreeBSD и Linux.

В сетевой операционной системе Windows существует единая система для идентификации, проверки подлинности (аутентификации), контроля (разграничения) доступа и записи информации о событиях (аудита), связанных с безопасностью. В рамках данной архитектуры все объекты и все процессы подчиняются требованиям системы безопасности, включающей в себя несколько основных компонентов (рис. 5.5.).

Структурная схема системы безопасности Windows

Рис 5.1

Процессы входа в систему обрабатывают запросы пользователей о входе в систему. Сюда включается начальный интерактивный вход в систему через диалоговое окно входа пользователя и процессы удаленного входа, открывающие доступ к серверу Windows с удаленных компьютеров. Вход в систему обязателен для работы с сервером или рабочей станцией Windows 2000/2003.

Центральная часть системы безопасности WindowsЛокальный администратор безопасности (Local Security Authority, LSA) - проверяет, есть ли у пользователя необходимые полномочия для входа в систему. Этот компонент создает маркеры доступа, управляет локальными правилами безопасности, обеспечивает службы интерактивной проверки подлинности, а также контролирует правила аудита и записывает в журнал аудита сообщения, полученные от Монитора безопасности.

Диспетчер учетных записей (Security Account Manager, SAM) поддерживает базу данных учетных записей. В ней хранятся все учетные записи пользователей и групп. Эта база является частью реестра операционной системы и недоступна обычным пользователям в ходе нормальной работы, обеспечивает службы подтверждения подлинности пользователя, используемые администратором локальной безопасности. SAM обеспечивает службы подтверждения подлинности пользователя, используемые администратором локальной безопасности.

Монитор безопасности (Security Reference Monitor, SRM) проверяет, имеет ли пользователь достаточные права для доступа к объекту. В отличие от других компонентов системы безопасности он работает в режиме ядра. Компоненты ядра и пользовательские процессы обращаются к Монитору безопасности, чтобы выяснить, имеют ли право пользователи и процессы получить доступ к объекту. SRM хранит в себе весь код, ответственный за подтверждение доступа, и это единственная копия данного кода для любой системы Windows. Благодаря этому все проверки выполняются одинаково для всех объектов в системе.

Журнал аудита (Security log) содержит записи о событиях, связанных с работой системы безопасности. Сюда может заноситься информация о входах пользователей, изменениях в базе учетных записи и системной политике, событиях доступа пользователей к секретам файлам.

Пакет проверки подлинности (Authentication package) проверяя подлинность пользователя. Windows по умолчанию использует текст проверки подлинности MSV1_0, однако эта операционная система может поддерживать несколько таких пакетов, выполненных как динамические библиотеки DLL. Благодаря этому независимые поставщики программного обеспечения могут включать в Windows свои модули проверки подлинности.

В рамках архитектуры системы безопасности Windows реализованы новые подходы к проверке подлинности пользователя и защиты данных:

1 полное интегрирование с активным каталогом Windows - для обеспечения масштабируемого управления учетными записями в больших доменах с гибким контролем доступа и распределением административных полномочий;

2 протокол проверки подлинности Kerberos версии 5 — зрелый стандарт безопасности для Internet, реализуемый как основной протокол проверки подлинности сетевого входа;

3 усиленная проверка подлинности с применением сертификатов, основанных на открытых ключах;

4 безопасные сетевые каналы, основанные на стандарте SSL;

5 файловая система с шифрованием.