logo search
95 - 141

Анализ некоторых популярных ос с точки зрения их защищенности: ms-dos; Windows nt/2000/xp; Windows Vista; Windows 7.

ОС должна способствовать реализации мер безопасности или непосредственно поддерживать их. Примерами подобных решений в рамках аппаратуры и операционной системы могут быть:

Большое значение имеет структура файловой системы. В ОС с дискреционным контролем доступа каждый файл должен хр-ся вместе с дискреционным списком прав доступа к нему, а, например, при копировании файла все атрибуты, в том числе и ACL, должны быть автоматически скопированы вместе с телом файла.

Меры безопасности не обязательно должны быть заранее встроены в ОС – достаточно принципиальной возможности дополнительной установки защитных продуктов. Так, сугубо ненадежная система MS-DOS может быть усовершенствована за счет средств проверки паролей доступа к компьютеру и/или жесткому диску, за счет борьбы с вирусами путем отсл-ия попыток записи в загрузочный сектор CMOS-средствами и т.п. MS-DOS. ОС MS-DOS функционирует в реальном режиме (real-mode) процессора i80x86. В ней невозможно выполнение требования, касающегося изоляции программных модулей (отсутствует аппаратная защита памяти). Уязвимым местом для защиты является также файловая система FAT, не предполагающая у файлов наличия атрибутов, связанных с разграничением доступа к ним. Т.О, MS-DOS находится на самом нижнем уровне в иерархии защищенных ОС.

Windows NT/2000/XP. С момента выхода версии 3.1 осенью 1993 года в Windows NT гарантировалось соответствие уровню безопасности C2. В 1999 г. сертифицирована версия NT 4 с Service Pack 6a с исп-ем файловой системы NTFS в автономной и сетевой конфигурации. Следует помнить, что этот ур безопасности не подразумевает защиту инфо, передаваемой по сети, и не гарантирует защищ-ти от физ. доступа.

Компоненты защиты NT частично встроены в ядро, а частично реализуются подсистемой защиты. Подсистема защиты контролирует доступ и учетную информацию. Windows NT имеет встроенные средства, такие как поддержка резервных копий данных и управление источниками бесперебойного питания.

ОС Windows 2000 сертифицирована по стандарту Common Criteria. В дальнейшем продукты Windows NT/2000/XP, изготовленные по технологии NT, будем называть просто Windows NT.

Ключевая цель системы защиты Windows NT – следить за тем, кто и к каким объектам осуществляет доступ. Система защиты хранит инфо, относящуюся к безопасности для каждого пользователя, группы пользователей и объекта. Единообразие контроля доступа к различным объектам обеспечивается тем, что с каждым процессом связан маркер доступа, а с каждым объектом – дескриптор защиты. Маркер доступа в качестве параметра имеет идентификатор пользователя, а дескриптор защиты – списки прав доступа. ОС может контролировать попытки доступа, которые производятся процессами прямо или косвенно инициированными пользователем.

Windows NT отслеж-ет и контр-ет доступ как к объектам, которые польз-ль может видеть посредством интерфейса, так и к объектам, которые польз-ль не может видеть.

Система защиты ОС Windows NT состоит из следующих компонентов:

Процедуры регистрации, которые обраб-ют запросы польз-ей на вход в систему.

Подсистемы локальной авторизации, гарантирует, что польз-ль имеет разрешение на доступ в систему.

Менеджера учета, который управляет бд учета пользователей. Эта база данных содержит информацию обо всех пользователях и группах пользователей.

Диспетчер доступа, который проверяет, имеет ли пользователь право на доступ к объекту и на выполнение тех действий, которые он пытается совершить.

Windows Vista. Windows Vista – это первая клиентская ОС от Microsoft, в которой контроль за безопасностью осуществляется на всех этапах разработки.

Аппаратная защита Windows Vista. Использование технологий NX (No Execute) на аппаратном уровне. NX позволяет программному обеспечению помечать сегменты памяти, в которых будут хранится только данные, и процессор не позволит приложениям и службам исполнять произвольный код в этих сегментах.

Случайное расположение адресного пространства Каждый раз, когда компьютер перезагружается, ASLR в случайном порядке назначает 1 из 256 возможных вариантов адреса для расположения ключевых системных DLL и EXE файлов.

Защита ядра для x64. 64-битные версии Windows Vista поддерживают технологию защиты ядра (иногда используется термин PatchGuard), которая запрещает неавторизованному ПО изменять ядро Windows.

Запрещена модификация следующих компонентов ядра:

Программная защита. Подписывание драйверов для x64. Для того чтобы пользователи могли видеть поставщиков драйверов и других программных продуктов.

Контроль пользовательских учетных записей. Windows Vista содержит компонент User Account Control (UAC). Это новый подход, который разделяет все операции в системе на 2 категории: те, которые может выполнять польз-ль со своими стандартными правами и те, которые требуют административных привилегий. Когда обычные польз-ли пытаются вып-ть задачу, требующую админ-ых привилегий, им предлагается ввести пароль админа.

Защита доступа к сети (Network Access Protection, NAP). NAP – это система, которая позволяет системным администраторам быть уверенным в том, что в сети находятся только «здоровые» машины. Под понятием «здоровые» подразумеваются машины со всеми необходимыми обновлениями ПО, антивирусных баз и т.д. Если компьютер, не соответствует требованиям, предъявляемым NAP, он объявляется «нездоровым», ему не разрешается доступ к сети, до тех пор, пока все требования NAP не будут выполнены.

Защита от вредоносного кода и компьютерных атак.

Windows Defender – компонент который защищает компьютер от руткитов, кейлоггеров, шпионов, adware, bots и другого вредоносного ПО. (не защищает от червей и вирусов).

Защита данных. BitLocker Drive Encryption (Шифрованиетома). BitLocker Drive Encryption – инструмент, позволяющий защитить конфиденциальную информацию на диске, путем его шифрования. В случае, если диск, защищенный с помощью технологии BitLocker украден или, например, списан, то информацию на нем прочесть не удастся, поскольку все содержимое диска зашифровано.

Контроль USB-устройств.