2015-10-13
295
Лабораторна робота №11
Операційна система Windows «Доступ та безпека».
Тема: Операционная система Windows «Доступ и безопасность»
Цель работы: Изучить систему безопасности Windows XP, получить навыки практического использования средств обеспечения ее безопасности.
Ход работы:
1. Изучить теоретические положения, составить краткий отчет.
2. Предъявить отчет преподавателю.
3. Выполнить упражнения.
4. Ответить на контрольные вопросы.
Теоретические положения
В операционной системы Windows XP существует единая система для идентификации, проверки подлинности, контроля доступа и записи информации о событиях связанных с безопасностью. В рамках данной архитектуры все процессы Windows XP подчиняются требованиям системы безопасности. Последняя включает в себя несколько основных компонентов (рис 1).
Рис. 1. Компоненты системы безопасности.
Процессы входа в систему (logon processes) обрабатывают запросы пользователей о входе в систему. Сюда включается начальный интерактивный вход в систему, осуществляемый через диалоговое окно входа пользователя, и процессы удаленного входа, открывающие доступ к серверу с удаленных компьютеров.
Центральная часть системы безопасности Windows XP - Локальный администратор безопасности (Local Security Authority, LSA) - проверяет, есть ли у пользователя необходимые полномочия для входа в систему. Этот компонент создает маркеры доступа, управляет локальными правами безопасности (local security policy), обеспечивает службы интерактивной проверки подлинности. LSA также контролирует правила аудита и записывает в журнал аудита сообщения, полученные от монитора безопасности.
При старте операционной системы вначале запускается подсистема Win32, которая автоматически инициализирует процесс winlogon.exe запускающий в свою очередь Локальный администратор безопасности (Isass.exe). Лишь после этого winlogon выводит диалоговое окно Press Ctrl+Alt+DeJ to log on.
Журнал аудита (Security log) содержит записи о событиях, связанных с работой системы безопасности. Сюда может заносится информация о входах пользователей изменениях в базе учетных записей и системной политике, событиях доступа пользователей к секретным файлам.
Пакет проверки подлинности (Authentication package) проверяет подлинность пользователя. Windows XP no умолчанию использует пакет проверки подлинности MSV1_0, однако эта операционная система может поддерживать несколько таких пакетов выполненных как динамические библиотеки DLL.
Пакет MSV1_0 обращается к диспетчеру учетных записей, причем последний может находится как на локальном так и на удаленном компьютере, Технически это достигается разбиением пакета на две части. Одна выполняется на компьютере, где осуществляется вход пользователя, другая - на компьютере, который хранит базу учетных записей. Пакет MSV1_0 по имени домена определяет, где находится база данных учетных записей, и, если она расположена на удаленном компьютере, первая часть пакета передает запрос на удаленный компьютер, где вторая часть пакета MSV1_0 проверяет подлинность. Этот процесс; называется сквозной проверкой подлинности.
Диспетчер учетных записей (Security Account Manager, SAM) поддерживает базу данных учетных записей (Security Account Database). В ней хранятся все учетные записи пользователей и групп. Эта база является частью реестра операционной системы и недоступна обычным пользователям в ходе нормальной работы. SAM обеспечивает службы подтверждения подлинности пользователя, используемые администратором локальной безопасности.
Монитор безопасности (Security Reference Monitor, SRM) проверяет, имеет ли пользователь достаточные права для доступа к объекту. В отличие о других компонентов система безопасности он работает в режиме ядра. Компоненты ядра и пользовательские процессы обращаются к монитору безопасности, чтобы выяснить, имеют ли право пользователи и процессы получить доступ к объекту.
SRM хранит в себе весь код, ответственный за подтверждение доступа, и это единственна копия данного кода для любой системы Windows XP. Благодаря этому все проверки выполняются одинаково для всех объектов в системе.
