Аутентифікація користувача. Вхід у систему
Згідно з п. 1 політики безпеки, для доступу до комп’ютера користувач повинен пройти процедуру аутентифікації. Ця процедура ініціюється комбінацією клавіш "ctrl+alt+del". Дана комбінація клавіш, відома як SAS (secure attention sequence), завжди перехоплюється драйвером клавіатури, який викликає при цьому справжню (а не „троянського коня”) програму аутентифікації. Процес користувача не може сам перехопити цю комбінацію клавіш або відмінити її обробку драйвером. Кажучи мовою стандартів, в системі реалізована функціональність захищеного каналу (trusted path functionality). Ця особливість також відповідає вимогам захисту рівня B „Оранжевої” книги.
Процедурою аутентифікації користувача в системі управляє програма, WinLogon, що є початковою інтерактивною процедурою, яка відображає початковий діалог із користувачем на екрані. Процес WinLogon активно взаємодіє з бібліотекою GINA (Graphic Identification aNd Authentication - графічною бібліотекою ідентифікації і аутентифікації). Бібліотека GINA є замінюваним компонентом, інтерфейс із нею добре документований, тому іноді в застосуваннях, що реалізовують захист, наявна версія GINA, відмінна від оригінальної. Одержавши ім’я і пароль користувача від GINA, WinLogon викликає модуль LSASS для аутентифікації цього користувача. В разі успішного входу в систему Winlogon отримує з реєстру профіль користувача і визначає тип оболонки, що запускається.
Комбінація SAS може бути одержана системою не тільки на етапі реєстрації користувача. Якщо користувач уже увійшов до системи, то після натиснення клавіш "ctrl-alt-del" він дістає можливість: подивитися список активних процесів, ініціювати перезавантаження або вимкнення комп’ютера, змінити свій пароль і заблокувати робочу станцію. У свою чергу, якщо робоча станція заблокована, то після введення SAS користувач має можливість її розблокування. Іноді може бути здійснене примусове виведення користувача із системи з подальшим входом у неї адміністратора.
У процесі аутентифікації викликається системна функція LogonUser, яка, виходячи з імені користувача, його пароля та імені робочої станції або домену, повертає вказівник на маркер доступу користувача. Маркер згодом передається всім дочірнім процесам. При формуванні маркера використовуються ключі SECURITY і SAM реєстру. Перший ключ визначає загальну політику безпеки, а другий ключ містить інформацію про захист для індивідуальних користувачів.
- Основні поняття та визначення захисту інформації. Захист інформації це діяльність спрямована забезпечення
- Властивості інформації, що підлягають захисту.
- Класифікація загроз інформації
- 5. Посередництво (Man-In-Middle).
- 6. Зловживання довірою
- 7. Комп’ютерні віруси:
- 8. Атаки на рівні застосувань:
- Причини виникнення загроз
- Структура політики безпеки
- 1) Таблиця збитків:
- 2) Таблиця імовірності атаки:
- 3) Таблиця ризиків:
- V) Реакція системи на вторгнення
- VI) Опис повноважень користувачів системи
- Політика інформаційної безпеки та її основні поняття. Моделі керування безпекою.
- Захист інформації від витоку технічними каналами. Поняття небезпечного сигналу. Класифікація технічних каналів витоку інформації. Типи захисту від витоку інформації технічними каналами.
- Захист інформації від витоку технічними каналами. Пасивний та активний захист.
- 1) Пасивні методи:
- 2) Активні методи:
- Методи захисту комп’ютерної техніки від витоку інформації технічними каналами.
- Формальні моделі доступу
- Захист інформації в комп’ютерних системах від несанкціонованого доступу. Критерії оцінки захищеності інформації від нсд.
- Захист інформації в комп’ютерних системах від несанкціонованого доступу.
- Аналіз захищеності сучасних універсальних ос. Основні завдання захисту ос. Принципи керування доступом сучасних універсальних ос. Аутентифікація, авторизація та аудит.
- I. Протокол „виклик-відповідь”
- II. Використання одноразових паролів.
- IV. Протокол Kerberos.
- Аналіз захищеності сучасних універсальних ос. Особливості підсистеми захисту в ос Windows nt/2000/xp. Політика безпеки
- Основні компоненти системи безпеки ос Windows
- Аутентифікація користувача. Вхід у систему
- Маркер доступу. Контекст користувача
- Запозичення прав
- Контроль доступу. Маркер доступу. Ідентифікатор безпеки sid. Структура ідентифікатора безпеки
- Ролевий доступ. Привілеї
- 5. Заборона використання usb-дисків.
- 7. Блокування мережевих загроз.
- 9. Захисник Windows.
- Аналіз захищеності сучасних універсальних ос. Особливості підсистеми захисту ос типу *nix.
- 2. Підтримка шифрувальних файлових систем у зазначених ос.
- Захищені протоколи. Протокол ssl.
- Методи підсилення стандартних засобів захисту. Електронні засоби ідентифікації та аутентифікації. Біометричні засоби ідентифікації.
- 2. Біометричні засоби ідентифікації