2015-09-06
236
Опреаційні системи класу Windows завжди проектувалися з урахуванням вимог інформаційної безпеки. Зокрема, Windows NT проектувалася відповідно до вимог програми оцінки продуктів (Trusted Product Evaluation Program - TPEP) Національного Центра Комп'ютерної Безпеки (National Computer Security Center - NCSA) США. Ця програма призначена для оцінки рівня безпеки, наданого комп'ютерною системою.
Базовим у системі безпеки Windows NT є поняття облікового запису користувача (user account). Для того щоб користувач міг одержати доступ до системи, він, як правило, повинний мати обліковий запис. Обліковий запис містить ім'я користувача і його пароль у зашифрованому виді, а також інформацію про групи, до яких належить користувач, інформацію про користувача (наприклад, його дійсне ім'я) і список загальносистемних прав користувача (user rights).
Користувачі в Windows NT для спрощення адміністрування можуть поєднуватися в групи. Користувач може належати до однієї чи декількох груп. Групам також можуть призначатися права доступу до об'єктів.
Кожному користувальницькому запису ставиться у відповідність унікальний ідентифікатор безпеки (Security ID - SID). Цей ідентифікатор є унікальним протягом усього часу життя системи і не може використовуватися повторно, навіть якщо обліковий запис користувача був вилучений.
|
|
|
Облікові записи користувачів зберігаються в так називаній базі даних Security Account Manager (SAM). У ній для кожного користувача зберігається SID, користувальницьке ім'я, пароль у зашифрованому виді (який докладно буде описаний нижче), інформація про членство в групах, загальносистемні права, якими наділений даний користувач, текстовий коментар і інша інформація.
База даних SAM знаходиться в ключі реєстру HKEY_LOCAL_MACHINE\SAM. Цей ключ зв'язаний із ключем HKEY_LOCAL_MACHINE\SECURITY\SAM, так що зміни, внесені в один ключ, автоматично дублюються в іншому. Системний реєстр частково зберігається на диску в каталозі <SYSTEMROOT>\SYSTEM32\CONFIG. Зокрема, база даних SAM зберігається у файлі sam. Під час роботи системи цей файл заблокований і недоступний. Недоступна ця інформація також і безпосередньо з редактора реєстру, причому як для зміни, так і для перегляду. У той же час, звернутися до цих даних можна через Windows API. Звичайно, права доступу до цих ключів установлені таким чином, що користувачі (у тому числі адміністратори) не можуть їх читати або змінювати. Однак адміністратори можуть програмно змінити права доступу до цих ключів і дозволити собі доступ по читанню.
Windows NT дозволяє використовувати пароль довжиною до 14 символів, що складає з букв, цифр, розділових знаків і пробілу. Паролі в Windows NT, як і користувальницькі імена, розрізняють регістр.
|
|
|
Хэш пароля в Windows NT складається наступним шляхом:
- пароль користувача конвертується в Unicode
- отриманий рядок шифрується по алгоритму md4 для одержання 16-байтного значення, що і зберігається в реєстрі.
Таким чином, Windows NT дозволяє використовувати в паролі букви російського (українського) алфавіту.
Вхід користувача в систему й аутентифікація може відбуватися локально або по мережі. База даних SAM може зберігатися на тій же машині, на якій працює користувач, або на іншій машині, як у випадку реєстрації в домені.
У Windows NT уведена структура, яка названа доменом. Зміст її полягає в тому, що група машин (і користувачів) має загальну базу даних SAM. Головна копія цієї бази даних зберігається на машині, називаної головним контролером домену (primary domain controller - PDC). У домені також можуть бути машини, які зберігають резервні копії бази даних SAM, названі резервними контролерами домену (backup domain controller - BDC). Всі інші машини в домені - сервери або робочі станції - для аутентифікації користувачів звертаються до головного або одного з резервних контролерів домену.
Windows NT дозволяє адміністратору керувати різними аспектами процесу входу користувачів у систему. Зокрема, можливо:
- обмежити робочі станції, з яких користувач може входити в систему
- обмежити час входу в систему
- задати мінімальну довжину і час дії пароля
- задати блокування користувальницьких облікових записів після визначеного числа неправильно введених паролів
- заблокувати користувальницький обліковий запис, не видаляючи його.
