ВУЗ:
Составители:
2) разграничение прав доступа к ресурсам, в основе которого лежит реализация дискреционной модели доступа (от-
дельно к объектам файловой системы, к устройствам, к реестру ОС, к принтерам и др.);
3)
аудит, т.е. регистрация событий.
Здесь явно выделяются (в лучшую сторону) возможности разграничений прав доступа к файловым объектам (для
NTFS) – существенно расширены атрибуты доступа, устанавливаемые на различные иерархические объекты файловой сис-
темы (логические диски, каталоги, файлы). В частности, атрибут "исполнение" может устанавливаться и на каталог, тогда он
наследуется соответствующими файлами.
При этом существенно ограничены возможности управления доступом к другим защищаемым ресурсам, в частности, к
устройствам ввода. Например, здесь отсутствует атрибут "исполнение", т.е. невозможно запретить запуск несанкциониро-
ванной программы с устройств ввода.
Принципиальные недостатки защитных механизмов ОС семейства Windows (NT/2000/XP). Прежде всего рассмот-
рим принципиальные недостатки защиты ОС семейства Windows, напрямую связанные с возможностью НСД к информации.
При этом в отличие от ОС семейства Unix в ОС Windows невозможна в общем случае реализация централизованной схемы
администрирования механизмов защиты или соответствующих формализованных требований. Вспомним, что в ОС Unix это
распространялось лишь на запуск процессов. Связано это с тем, что в ОС Windows принята иная концепция реализации раз-
граничительной политики доступа к ресурсам (для NTFS).
В рамках этой концепции разграничения для файла приоритетнее, чем для каталога, а в общем случае – разграничения
для включаемого файлового объекта приоритетнее, чем для включающего. Это приводит к тому, что пользователь, создавая
файл и являясь его "владельцем", может назначить любые атрибуты доступа к такому файлу (т.е. разрешить к нему доступ
любому иному пользователю). Обратиться к этому файлу может пользователь (которому назначил права доступа "владелец")
вне зависимости от установленных администратором атрибутов доступа на каталог, в котором пользователь создает файл.
Данная проблема непосредственно связана с реализуемой в ОС Windows концепцией защиты информации.
Далее, в ОС семейства Windows (NT/2000/XP) не в полном объеме реализуется дискреционная модель доступа, в част-
ности, не могут разграничиваться права доступа для пользователя "Система". В ОС присутствуют не только пользователь-
ские, но и системные процессы, которые запускаются непосредственно системой. При этом доступ системных процессов не
может быть разграничен. Соответственно, все запускаемые системные процессы имеют неограниченный доступ к защищае-
мым ресурсам. С этим недостатком системы защиты связано множество атак, в частности, несанкционированный запуск
собственного процесса с правами системного. Кстати, это возможно и вследствие некорректной реализации механизма обес-
печения замкнутости программной среды.
В ОС семейства Windows (NT/2000/XP) невозможно в общем случае обеспечить замкнутость (или целостность) про-
граммной среды. Это связано совершено с иными проблемами, чем в ОС семейства Unix, в которых невозможно установить
атрибут "исполнение" на каталог. Для выяснения сложности данного вопроса рассмотрим два способа, которыми в общем
случае можно реализовать данный механизм, причем оба способа несостоятельны. Итак, механизм замкнутости программ-
ной среды в общем случае может быть обеспечен:
−
заданием списка разрешенных к запуску процессов с предоставлением возможности пользователям запускать про-
цессы только из этого списка. При этом процессы задаются полнопутевыми именами, причем средствами разграничения
доступа обеспечивается невозможность их модернизации пользователем. Данный подход просто не реализуется встроенны-
ми в ОС механизмами;
−
разрешением запуска пользователями программ только из заданных каталогов при невозможности модернизации
этих каталогов. Одним из условий корректной реализации данного подхода является запрет пользователям запуска программ
иначе, чем из соответствующих каталогов. Некорректность реализации ОС Windows данного подхода связана с невозможно-
стью установки атрибута "исполнение" на устройства ввода (дисковод или CD-ROM). В связи с этим при разграничении дос-
тупа пользователь может запустить несанкционированную программу с дискеты, либо с диска CD-ROM (очень распростра-
ненная атака на ОС данного семейства).
Здесь же стоит отметить, что с точки зрения обеспечения замкнутости программной среды [т.е. реализации механизма,
обеспечивающего возможность пользователям запускать только санкционированные процессы (программы)] действия поль-
зователя по запуску процесса могут быть как явными, так и скрытыми.
Явные действия предполагают запуск процессов (исполняемых файлов), которые однозначно идентифицируются своим
именем. Скрытые действия позволяют осуществлять встроенные в приложения интерпретаторы команд. Примером таковых мо-
гут служить офисные приложения. При этом скрытыми действиями пользователя будет запуск макроса.
В данном случае идентификации подлежит лишь собственно приложение, например, процесс winword.exe. При этом он
может помимо своих регламентированных действий выполнять те скрытые действия, которые задаются макросом (соответ-
ственно, те, которые допускаются интерпретатором), хранящимся в открываемом документе. То же относится и к любой
виртуальной машине, содержащей встроенный интерпретатор команд. При этом отметим, что при использовании приложе-
ний, имеющих встроенные интерпретаторы команд (в том числе офисных приложений), не в полном объеме обеспечивается
выполнение требования по идентификации программ.
Возвращаясь к обсуждению недостатков, отметим, что в ОС семейства Windows (NT/2000/XP) невозможно встроенны-
ми средствами гарантированно удалять остаточную информацию. В системе просто отсутствуют соответствующие механиз-
мы.
Кроме того, ОС семейства Windows (NT/2000/XP) не обладают в полном объеме возможностью контроля целостности
файловой системы. Встроенные механизмы системы позволяют контролировать только собственные системные файлы, не
обеспечивая контроль целостности файлов пользователя. Кроме того, они не решают важнейшую задачу данных механизмов
– контроль целостности программ (приложений) перед их запуском, контроль файлов данных пользователя и др.
Что касается регистрации (аудита), то в ОС семейства Windows (NT/2000/XP) не обеспечивается регистрация выдачи
документов на "твердую копию", а также некоторые другие требования к регистрации событий.
Страницы
- « первая
- ‹ предыдущая
- …
- 85
- 86
- 87
- 88
- 89
- …
- следующая ›
- последняя »
