33667

МОДЕЛЬ БЕЗОПАСНОСТИ ОС WINDOWS В СЕТИ. КОМПОНЕНТЫ БЕЗОПАСНОСТИ. УЧЕТНЫЕ ЗАПИСИ

Доклад

Информатика, кибернетика и программирование

МОДЕЛЬ БЕЗОПАСНОСТИ ОС WINDOWS В СЕТИ. КОМПОНЕНТЫ БЕЗОПАСНОСТИ. Существующие разнообразные сетевых операционные системы поразному подходят к построению системы безопасности. Операционная система Windows Server 2003 согласно заверениям Microsoft соответствует классу безопасности С2.

Русский

2013-09-06

69 KB

43 чел.

36. МОДЕЛЬ БЕЗОПАСНОСТИ ОС WINDOWS В СЕТИ. КОМПОНЕНТЫ БЕЗОПАСНОСТИ. УЧЕТНЫЕ ЗАПИСИ.

Существующие разнообразные сетевых операционные системы по-разному подходят к построению системы безопасности. Операционная система Windows Server 2003, согласно заверениям Microsoft, соответствует классу безопасности С2. Следует заметить, что Windows Server 2003, будучи операционной системой нового поколения, фактически унаследовала модель системы безопасности, использовавшуюся в предыдущих версиях Windows.

Копоненты:

1) Локальная служба безопасности (Local Security Authority, LSA) - главная в системе безопасности Windows. Ее задача — предоставлять доступ в систему только пользователям, имеющим на это право.

2) Менеджер учет записей (Security Account Manager, SAM). Управляет базой данных учета пользователей. Эта база данных содержит информацию обо всех пользоват и группах пользоват.

2) Монитор безопасности (Security Reference Monitor, SRM) функционирует на уровне ядра операционной системы и осуществляет контроль доступа пользователей к объектам на осн их прав.

3) Механизмы аутентификации осуществляют проверку полномочий, предъявляемых пользователем при входе в систему.

4) Служба каталога. В службе каталога вся информация об объектах сети (пользователи, ресурсы, сетевые службы и т. п.) объединяется в так называемый каталог (directory). Внутри каталога объекты организуются в соответствии либо с физической, либо с логической структурой.

Управл сетевыми ресурсами Служба каталога облегчает пользователям поиск нужных ресурсов, скрывая от них подробности реализации механизма поиска. Пользователь формулирует запрос, а служба каталога локализует требуемый ресурс.

Управление пользователями. Каждому пользователю поставлен в соответствие определенный набор характеристик, позволяющий персонализировать его деятельность в сети. Это дает возможность управлять доступом к сетевым ресурсам на уровне пользователей.

Обеспечение функционирования сети. При построении сети приходится также решать вопросы, связанные с конкретным способом е организации. Большинство сетевых служб может быть интегрировано со службой каталога, что позволит более эффективно организовать функционирование этих служб.

В ОС Windows Server 2003 реализована служба каталога Active Directory. Она является центральным компонентом семейства операционных систем Windows Server 2003. Большинство служб операционной системы (в том числе и сетевых служб) использует каталог как базу для размещения информации о своей конфигурации.

Пользователь должен иметь ассоциированную с ним учетную запись (user account). Она исп для идентификации пользователя в системе и всех его действий. Каждая учетная запись должна быть уникальной в пределах того домена, в котором она определена. Комбинация имени домена и имени учетной записи является уникальной в рамках всей корпорат сети и позв однозначно идентифицировать пользователя.

Учетная запись содержит:

Инфа, связанная с личностью владельца учетной записи (полное имя и краткое описание пользователя). Она позволяет администратору ориентироваться в большом количестве учетных записей.

Пароль (password). Знание пароля является единственным способом пользователя подтвердить свою личность в Windows.

Идентификатор безопасности (security ID). Система оперирует не именем учетной записи, а ассоциированным с ним идентификатором безопасности - многозначным числом. Идентификатор безопасности является уникальным и никогда не повторяется. Это позволяет гарантировать уникальность пользователя, независимо от имени его учетной записи.

Членство пользователя в группах (security groups). Группы исп для объединения пользователей, с одинаковой потребностью в доступе к определенным объектам системы. Пользователь может одновременно принадлежать к нескольким группам.

Права пользователей (user rights). Под правами пользователей в Windows понимается совокупность правил, регламентирующих привилегии пользователей (групп пользователей) на осуществление определенных действий. Некоторые права пользователь может получить косвенно, через членство в группах, но большая часть прав специфическая и может быть получена только явным указанием.

5.1Модель безопасности ОС Windows. Компоненты системы безопасности.

Из продуктов Microsoft более защищенными являются ОС Windows NT, Windows 2000 Server и Windows 2003 Server. Большие возможности для гибкой настройки защиты имеются во FreeBSD и Linux.

В сетевой операционной системе Windows существует единая система для идентификации, проверки подлинности (аутентификации), контроля (разграничения) доступа и записи информации о событиях (аудита), связанных с безопасностью. В рамках данной архитектуры все объекты и все процессы подчиняются требованиям системы безопасности, включающей в себя несколько основных компонентов (рис. 5.5.).

Структурная схема системы безопасности Windows

Рис 5.1

Процессы входа в систему обрабатывают запросы пользователей о входе в систему. Сюда включается начальный интерактивный вход в систему через диалоговое окно входа пользователя и процессы удаленного входа, открывающие доступ к серверу Windows с удаленных компьютеров. Вход в систему обязателен для работы с сервером или рабочей станцией Windows 2000/2003.

Центральная часть системы безопасности WindowsЛокальный администратор безопасности (Local Security Authority, LSA) - проверяет, есть ли у пользователя необходимые полномочия для входа в систему. Этот компонент создает маркеры доступа, управляет локальными правилами безопасности, обеспечивает службы интерактивной проверки подлинности, а также контролирует правила аудита и записывает в журнал аудита сообщения, полученные от Монитора безопасности.

Диспетчер учетных записей (Security Account Manager, SAM) поддерживает базу данных учетных записей. В ней хранятся все учетные записи пользователей и групп. Эта база является частью реестра операционной системы и недоступна обычным пользователям в ходе нормальной работы, обеспечивает службы подтверждения подлинности пользователя, используемые администратором локальной безопасности. SAM обеспечивает службы подтверждения подлинности пользователя, используемые администратором локальной безопасности.

Монитор безопасности (Security Reference Monitor, SRM) проверяет, имеет ли пользователь достаточные права для доступа к объекту. В отличие от других компонентов системы безопасности он работает в режиме ядра. Компоненты ядра и пользовательские процессы обращаются к Монитору безопасности, чтобы выяснить, имеют ли право пользователи и процессы получить доступ к объекту. SRM хранит в себе весь код, ответственный за подтверждение доступа, и это единственная копия данного кода для любой системы Windows. Благодаря этому все проверки выполняются одинаково для всех объектов в системе.

Журнал аудита (Security log) содержит записи о событиях, связанных с работой системы безопасности. Сюда может заноситься информация о входах пользователей, изменениях в базе учетных записи и системной политике, событиях доступа пользователей к секретам файлам.

Пакет проверки подлинности (Authentication package) проверяя подлинность пользователя. Windows по умолчанию использует текст проверки подлинности MSV1_0, однако эта операционная система может поддерживать несколько таких пакетов, выполненных как динамические библиотеки DLL. Благодаря этому независимые поставщики программного обеспечения могут включать в Windows свои модули проверки подлинности.

В рамках архитектуры системы безопасности Windows реализованы новые подходы к проверке подлинности пользователя и защиты данных:

1 полное интегрирование с активным каталогом Windows - для обеспечения масштабируемого управления учетными записями в больших доменах с гибким контролем доступа и распределением административных полномочий;

2 протокол проверки подлинности Kerberos версии 5 — зрелый стандарт безопасности для Internet, реализуемый как основной протокол проверки подлинности сетевого входа;

3 усиленная проверка подлинности с применением сертификатов, основанных на открытых ключах;

4 безопасные сетевые каналы, основанные на стандарте SSL;

5 файловая система с шифрованием.


 

А также другие работы, которые могут Вас заинтересовать

1589. Защитные функции желтка куриного яйца и глицерина при замораживании спермы в жидком азоте 19.4 KB
  Хранение спермы в жидком азоте позволяет значительно улучшить породные качества разводимого скота, так как в тысячи раз увеличивается количество самок, осеменяемых спермой ценных производителей.
1590. Значение и необходимость разбавления спермы 19.32 KB
  Целью разбавления спермы - создание окружающей среды, способность защитить половые клетки от повреждений в процессе консервирования, увеличивается объем полового продукта для разделения его на множество спермодоз и обеспечение высокой выживаемости спермиев после хранения.
1591. Иннервация, кровоснабжение и лимфатическая система половых органов самок 19.28 KB
  Иннервация (от лат. in — в, внутри и нервы), снабжение органов и тканей нервами, что обеспечивает их связь с центральной нервной системой. Иннервация осуществляется симпатическими и парасимпатическими нервными стволами.
1592. Искусственно приобретенное бесплодие как результат неправильной организации естественного и искусственного осеменения 18.56 KB
  Бесплодие - нарушение воспроизводства потомства, вызванное ненормальными условиями существования самок и самцов (погрешности в кормлении, содержании и эксплуатации, неправильное осеменение, болезни полового аппарата и других органов).
1593. Исходы абортов: мумификация, мацерация, гнилостное разложение 18.99 KB
  Аборт — прерывание беременности до момента, когда плоды становятся зрелыми и способными к внеутробному существованию.
1594. Прерывание беременности. Классификация абортов 18.79 KB
  Аборт - это прерывание беременности с последующим рассасыванием зародыша, мумификацией, мацерацией, путрификацией либо изгнанием из матки мертвого неизмененного плода (выкидыша) или незрелого живого плода (недоноска).
1595. Клиническая и рефлексологическая оценка племенных производителей 18.58 KB
  Клиническое исследование животного дает специалисту комплекс точных данных для постановки диагноза, позволяет сделать прогноз и назначить соответствующее лечение. Наружное исследование начинают с общего осмотра животного, затем осматривают круп и наружные половые органы.
1596. Клинические исследования молочной железы 18.95 KB
  Молочная железа, вымя коровы - железистый орган, состоящий из 4 четвертей; каждая из них внизу заканчивается соском. Вымя осматривают сзади и сбоку; при этом обращают внимание на его форму, сохранность волосяного покрова, цвет кожи; выявляют повреждения, кожные заболевания или их следы
1597. Конструкция искусственных вагин используемых в ветеринарии 19.23 KB
  Искусственная вагина - прибор, состоящий из цилиндра, изготовленного из металла, резины или эбонита, в просвет которого вставлена эластичная резиновая трубка. Искусственная вагина для быка имеет цилиндр из толстой резины и эластичную камеру, концы которой завернуты на концы цилиндра.