22_Райх_Реализация_защиты

реклама
Реализация механизмов
защиты информации
в современных
операционных системах
к.т.н. Райх В.В.
Рассматриваемые
вопросы





Обзор задач администрирования
Реализация доступа к ресурсам в ОС Windows
NT/2000
Реализация доступа к ресурсам в ОС Linux
Управление учетными записями и
документирование процессов реализации
политики безопасности
Аудит действий пользователей в ОС Windows
NT/2000 и Linux
Обзор задач
администрирования
Администрирование –
процесс, заключающийся в
планировании, конфигурировании и
обеспечении работоспособности
вычислительной системы или сети
Обзор задач
администрирования





Подключение и удаление аппаратных
средств
Инсталляция и обновление
программных средств
Управление учетными записями
пользователей и их группами
Аудит и контроль защиты от НСД
Ведение документации
Обзор задач
администрирования




Резервное копирование
Мониторинг рабочих станций, сервисов
и сети в целом
Поиск и устранение неисправностей и
уязвимостей
Оказание помощи пользователям
Обзор задач
администрирования



Учетная запись – набор уникальных
реквизитов, однозначно идентифицирующих
пользователя (субъекта) в системе
Права доступа – определяют правомочность
пользователей выполнять определенные
действия с ресурсами
Привилегии – регулируют возможность
выполнения пользователями системных
операций
Доступ к ресурсам
в ОС Windows



Учетные записи пользователей, хранятся в
реестре Windows winnt\system32\config\Sam
или HKLM/SAM и HKLM/SECURITY/SAM
Информация о привилегиях и иных
настройках безопасности также хранится в
реестре winnt\system32\config\Security или
HKLM/SECURITY
Права доступа к ресурсам описываются
атрибутами файловой системы NTFS на
основе листов контроля доступа
Доступ к ресурсам
в ОС Windows




Read – просматривать содержимое, атрибуты,
разрешения и сведения о владельце
Write – изменять атрибуты, изменять данные,
добавлять данные (файлы), просматривать
данные, атрибуты и разрешения
Execute – просматривать атрибуты,
разрешения и сведения о владельце,
запускать файлы, просматривать подпапки
Delete – удалять файлы и папки
Доступ к ресурсам
в ОС Windows







Change Permissions – изменять разрешения
на доступ (обладает Creator-Owner)
Take Ownership – назначить себя владельцем
List – RX
Add – WX (только для папок)
Add & Read – RWX (для папок), RX (для
файлов)
Change – RWXD
Full Control – все права
Доступ к ресурсам
в ОС Windows





Совокупность прав складывается из
индивидуальных и групповых прав
Явное аннулирование разрешений блокирует
доступ, даже если он разрешен группе
Права на файл имеют преимущество перед
правами на папку
Разрешения наследуются от родительской
папки
При перемещении ресурса права сохраняются,
при копировании – наследуются от папки
назначения
Управление учетными
записями (Windows)
Управление учетными
записями (Windows)
Управление
привилегиями (Windows)
Управление
разрешениями (Windows)
Доступ к ресурсам
в ОС Linux



Учетные записи пользователей хранятся в
файлах /etc/passwd, /etc/shadow и /etc/group
Привилегии частично заданы в ядре,
частично реализуются атрибутами
исполняемых процессов (UID, GID, EUID,
EGID) и файлов на диске (биты смены
идентификаторов)
Права доступа к ресурсам определяются
атрибутами файловой системы Linux
(владелец, группа, ugs/rwx/rwx/rwx)
Управление учетными
записями (Linux)
/etc/passwd
 Имя
 UID, GID
 Сведения о
пользователе
 Домашний каталог
 Командный
интерпретатор
/etc/shadow
 Пароль
 Параметры смены
пароля
 Статистика
использования
 Сроки действия
Управление учетными
записями (Linux)





adduser, userdel, passwd
groupadd, groupdel
chown пользователь имя_файла
chgrp группа имя_файла
chmod права имя_файла
Документирование










Имя пользователя
Должность, служебные обязанности
Имя учетной записи
Требования к паролю
Тип учетной записи
Членство в группах
Привилегии
Разрешения на время и место работы
Разрешения на доступ к ресурсам
Срок действия учетной записи
Документирование






Название группы
Описание (назначение) группы
Тип и местонахождение группы
Состав группы
Привилегии группы
Права доступа к ресурсам
Аудит действий
пользователей (Windows)
Аудит действий
пользователей (Windows)
Аудит действий
пользователей (Linux)



/var/log/pacct – статистика
использования команд и ресурсов (sa)
/var/log/wtmp – статистика о сеансах
работы пользователей (ac)
Syslogd, /etc/syslog.conf – системный
журнал
Реализация механизмов
защиты информации
в современных
операционных системах
к.т.н. Райх В.В.
Скачать