2015-09-06
736
Принцип «тысячи глаз» всегда упоминают сторонники программного обеспечения с открытыми исходными кодами, подчеркивая, что продукты категории Open Source просматривает множество разработчиков, которые обязательно найдут ошибку, если она есть. Поэтому, по их словам, открытые коды более безопасны, чем закрытые, которые никто кроме разработчиков не видел. Между тем, существует огромное количество открытого кода, который фактически вообще не анализировался с точки зрения безопасности, в то время как самый известный коммерческий программный продукт — операционная система Windows — напротив, активно анализируется на предмет ее защищенности.
В отличие от семейства Unix где все задачи разграничения доступа решаются средствами управления доступом к объектам файловой системы в ОС семейства Windows разграничение доступа осуществляется собственным механизмом каждого ресурса. При рассмотрении механизмов защиты Windows встает задача определения что является объектом доступа.
Так же как и в Unix основными механизмами защиты Windows являются
|
|
|
- идентификация и аутентификация пользователя при входе в систему
- разграничение прав доступа к файловой системе в основе которой лежит дискреционный (произвольный) метод доступа
- аудит или регистрация событий
По сравнению с Unix в файловой системе NTFS существенно увеличены возможности разграничения прав доступа к файлам. За счет того что существенно увеличен набор атрибутов доступа к файловым объектам. Например, атрибут исполнения может устанавливаться и на каталог, при этом все файлы хранящиеся в каталоге автоматически наследуют это атрибут. Однако при этом существенно ограничены возможности управления доступом к другим защищаемым ресурсам. Например устройствам ввода. Например, здесь отсутствует атрибут исполнение. То есть невозможно запретить запуск несанкционированной программы с устройства ввода.
Основные недостатки защитных механизмов ОС Семейства Windows:
- в отличие от ОС семейства Unix в Windows не возможна реализация централизованной схемы администрирования механизмов защиты. То есть невозможно выполнение соответствующих формализованных требований. Это связано с тем, что в Windows используется другая концепция разграничительной политики доступа к ресурсам. В рамках этой концепции разграничение для файлов приоритетнее чем для каталогов. Это приводит к тому, что пользователь создавая файл и являясь его владельцем может назначать любые атрибуты доступа к такому файлу. То есть разрешить к нему доступ любому другому пользователю. При этому обратиться к этому файлу может пользователь вне зависимости от прав установленных администратором на каталог. Этот недостаток связан с той моделью которая реализована в ОС семейства Windows
|
|
|
- в ОС семейства Windows не полностью реализуется дискреционная модель доступа. В частности не могут разграничиваться права доступа к объектам, которые создает сама система. ОС семейства Windows есть пользовательские процессы и есть системные процессы. При этом разграничение доступа к системным процессам не существует. Отсюда системные процессы имеют неограниченный доступ к защищаемым ресурсам. На этом основывается большое количество атак, когда злоумышленник запускает собственный процесс с правами системного.
- в ОС семейства Windows не возможно в общем случае обеспечить замкнутость или целостность программной среды. При этом существует коренное отличие этого недостатка который был в ОС семейства Unix. Там это недостаток был связан с невозможностью установки атрибута исполнения на каталог.
Механизм замкнутости рабочей среды может быть обеспечен с помощью 2 подходов:
- заключается в том что задается список разрешенных к запуску процессов и пользователь может запускать процессы только из этого списка. При чем пользователь не имеет возможности изменять этот список.
- разрешение запуска пользователями программ из заданных каталогов при невозможности изменения этих каталогов. В ОС Windows некорректно реализован данный подход, т.к. в Windows невозможно установить атрибут исполнение на устройства ввода (CDROM, Flash), в соответствии с этим пользователь может запустить несанкционированную программу с этих устройств, следует также отметить, что с точки зрения реализации механизма обеспечивающего возможность пользователя запускать только санкционированные программы, действия пользователя могут быть как явными так и скрытыми. Явные действия предполагают запуск процессов, которые однозначно идентифицируются своим именем, скрытые действия позволяют осуществлять встроенные в некоторые приложения интерпретаторы команд, пример - Word, excel.. При запуске программы Word идентифицируется только сама программа Word, однако скрытые действия могут осуществляться с помощью макросов встроенных в программу, которые не идентифицируются, таким образом в ОС Windows в неполном объеме осуществляется контроль. Кроме того отсутствуют механизмы, которые позволяют очищать остаточную информацию из ОЗУ. Отсутствует аудит твердой копии информации. Отсутствует механизм управление хостами.
С момента выхода версии 3.1 осенью 1993 года в Windows NT гарантировалось соответствие уровню безопасности C2. В настоящее время (точнее, в 1999г.) сертифицирована версия NT 4 с Service Pack 6a с использованием файловой системы NTFS в автономной и сетевой конфигурации. Следует помнить, что этот уровень безопасности не подразумевает защиту информации, передаваемой по сети, и не гарантирует защищенности от физического доступа.
Компоненты защиты NT частично встроены в ядро, а частично реализуются подсистемой защиты. Подсистема защиты контролирует доступ и учетную информацию. Кроме того, Windows NT имеет встроенные средства, такие как поддержка резервных копий данных и управление источниками бесперебойного питания, которые не требуются "Оранжевой книгой", но в целом повышают общий уровень безопасности.
ОС Windows 2000 сертифицирована по стандарту Common Criteria. В дальнейшем линейку продуктов Windows NT/2000/XP, изготовленных по технологии NT, будем называть просто Windows NT.
Ключевая цель системы защиты Windows NT - следить за тем, кто и к каким объектам осуществляет доступ. Система защиты хранит информацию, относящуюся к безопасности для каждого пользователя, группы пользователей и объекта. Единообразие контроля доступа к различным объектам (процессам, файлам, семафорам и др.) обеспечивается тем, что с каждым процессом связан маркер доступа, а с каждым объектом - дескриптор защиты. Маркер доступа в качестве параметра имеет идентификатор пользователя, а дескриптор защиты - списки прав доступа. ОС может контролировать попытки доступа, которые производятся процессами прямо или косвенно инициированными пользователем.
|
|
|
Windows NT отслеживает и контролирует доступ как к объектам, которые пользователь может видеть посредством интерфейса (такие, как файлы и принтеры), так и к объектам, которые пользователь не может видеть (например, процессы и именованные каналы). Любопытно, что, помимо разрешающих записей, списки прав доступа содержат и запрещающие записи, чтобы пользователь, которому доступ к какому-либо объекту запрещен, не смог получить его как член какой-либо группы, которой этот доступ предоставлен.
Система защиты ОС Windows NT состоит из следующих компонентов:
- Процедуры регистрации (Logon Processes), которые обрабатывают запросы пользователей на вход в систему. Они включают в себя начальную интерактивную процедуру, отображающую начальный диалог с пользователем на экране и удаленные процедуры входа, которые позволяют удаленным пользователям получить доступ с рабочей станции сети к серверным процессам Windows NT.
- Подсистемы локальной авторизации (Local Security Authority, LSA), которая гарантирует, что пользователь имеет разрешение на доступ в систему. Этот компонент - центральный для системы защиты Windows NT. Он порождает маркеры доступа, управляет локальной политикой безопасности и предоставляет интерактивным пользователям аутентификационные услуги. LSA также контролирует политику аудита и ведет журнал, в котором сохраняются сообщения, порождаемые диспетчером доступа.
- Менеджера учета (Security Account Manager, SAM), который управляет базой данных учета пользователей. Эта база данных содержит информацию обо всех пользователях и группах пользователей. SAM предоставляет услуги по легализации пользователей, применяющиеся в LSA.
- Диспетчера доступа (Security Reference Monitor, SRM), который проверяет, имеет ли пользователь право на доступ к объекту и на выполнение тех действий, которые он пытается совершить. Этот компонент обеспечивает легализацию доступа и политику аудита, определяемые LSA. Он предоставляет услуги для программ супервизорного и пользовательского режимов, для того чтобы гарантировать, что пользователи и процессы, осуществляющие попытки доступа к объекту, имеют необходимые права. Данный компонент также порождает сообщения службы аудита, когда это необходимо.
|
|
|
Microsoft Windows NT - относительно новая ОС, которая была спроектирована для поддержки разнообразных защитных механизмов, от минимальных до C2, и безопасность которой наиболее продумана. Дефолтный уровень называется минимальным, но он легко может быть доведен системным администратором до желаемого уровня.
