Встроенными средствами зашиты некоторых ОС семействаUNIX управление доступом к хостам не реализуется

Основные защитные механизмы ОС семейства Windows(NT/2000/XP)

В отличие от семейства ОС UNIX,где все задачи разграничительной политики доступа к ресурсам решаются средствами управления доступом к объектам файловой системы, доступ в данных ОС разграничивается собственным механизмом для каждого ресурса. Другими словами, при рассмотрении механизмов защиты ОС Windows встает задача определения и задания требований к полноте разграничений (это определяется тем,что считать объектом доступа).

Также,как и для семейства ОС UNIX,здесь основными механизмами защиты являются:

» идентификация и аутентификация пользователя при входе в систему;

» разграничение прав доступа к ресурсам,в основе которого лежит реализация дискреционной модели доступа (отдельно к объектам файловой системы,к устройствам,к реестру ОС,к принтерам и др.);

» аудит,то есть регистрация событий.

Принципиальные недостатки защитных механизмов ОС семейства Windows(NT/2000/XP)

В ОС Windows принята иная концепция реализации разграничительной политики доступа к ресурсам (для NTFS). В рамках этой концепции разграничения для файла приоритетнее,чем для каталога, а в общем случае — разграничения для включаемого файлового объекта приоритетнее,чем для включающего (более подробно данный вопрос анализируется в четвертой части книги).Это приводит к тому, что пользователь, создавая файл и являясь его «владельцем», может назначить любые атрибуты доступа к такому файлу (т.е.разрешить к нему доступ любому иному пользователю).При этом обратиться к этому файлу может пользователь (которому назначил права доступа «владелец»)вне зависимости от установленных администратором атрибутов доступа на каталог, в котором пользователь создает файл. Данная проблема непосредственно связана с реализуемой в ОС Windows концепцией защиты информации.

В Windows (NT/2000/XP) не в полном объеме реализуется дискреционная модель доступа, в частности,не могут разграничиваться права доступа для пользователя «Система».В ОС присутствуют не только пользовательские,но и системные процессы,которые запускаются непосредственно системой.При этом доступ системных процессов не может быть разграничен.Соответственно,все запускаемые системные процессы имеют неограниченный доступ к защищаемым ресурсам. С этим недостатком системы защиты связано множество атак,в частности,несанкционированный запуск собственного процесса с правами системного. Это возможно и вследствие некорректной реализации механизма обеспечения замкнутости программной среды.

В ОС семейства Windows (NT/2000/XP) невозможно в общем случае обеспечить замкнутость (или целостность)программной среды.

Рассмотрим два способа,которыми в общем случае можно реализовать данный механизм, и покажем их несостоятельность в ОС Windows.Итак,механизм замкнутости программной среды в общем случае может быть обеспечен:

» Заданием списка разрешенных к запуску процессов с предоставлением возможности пользователям запускать процессы только из этого списка.При этом процессы задаются полнопутевыми именами, причем средствами разграничения доступа обеспечивается невозможность их модернизации пользователем.Данный подход просто не реализуется встроенными в ОС механизмами.

*Разрешением запуска пользователями программ только из заданных каталогов при невозможности модернизации этих каталогов.Одним из условий корректной реализации данного подхода является запрет пользователям запуска программ иначе,чем из,соответствующих каталогов.Некорректность реализации ОС Windows данного подхода

связана с невозможностью установки атрибута «исполнение» на устройства ввода (дисковод или CD-ROM).В связи с этим при разграничении доступа пользователь может запустить несанкционированную программу с дискеты,либо с диска CD-ROM (как далее увидим - это очень распространенная атака на ОС данного семейства).

Здесь же стоит отметить,что с точки зрения обеспечения замкнутости программной среды (т.е.реализации механизма,обеспечивающего возможность пользователям запускать только санкционированные процессы (программы))действия пользователя по запуску процесса могут быть как явными,так и скрытыми.

Явные действия предполагают запуск процессов (исполняемых файлов), которые однозначно идентифицируются своим именем.Скрытые действия позволяют осуществлять встроенные в приложения интерпретаторы команд.Примером таковых могут служить офисные приложения.При этом скрытыми действиями пользователя будет запуск макроса.

В данном случае идентификации подлежит лишь собственно приложение, например,процесс winword.exe.При этом он может помимо своих регламентированных действий выполнять те скрытые действия,которые задаются макросом (соответственно,те,которые допускаются интерпретатором), хранящимся в открываемом документе.То же относится и к любой виртуальной машине,содержащей встроенный интерпретатор команд.При этом отметим,что при использовании приложений,имеющих встроенные интерпретаторы команд (в том числе офисных приложений),не в полном объеме обеспечивается выполнение требования по идентификации программ.

В ОС семейства Windows (NT/2000/XP) невозможно встроенными средствами гарантированно удалять остаточную информацию.

Кроме того,ОС семейства Windows (NT/2000/XP) не обладают в полном объеме возможностью контроля целостности файловой системы. Встроенные механизмы системы позволяют контролировать только собственные системные файлы,не обеспечивая контроль целостности файлов пользователя.Кроме того,они не решают важнейшую задачу данных механизмов — контроль целостности программ (приложений)перед их запуском,

контроль файлов данных пользователя и др.

Что касается регистрации (аудита),то в ОС семейства Windows (NT/2000/XP) не обеспечивается регистрация выдачи документов на «твердую копию»,а также некоторые другие требования к регистрации событий.

Опять же,если трактовать требования к управлению доступом в общем случае,то при защите компьютера в составе ЛВС необходимо управление доступом к хостам (распределенный пакетный фильтр).В ОС семейства Windows (NT/2000/XP) механизм управления доступа к хостам в полном объеме не реализуется.

Что касается разделяемых сетевых ресурсов,то фильтрации подвергается только входящий доступ к разделяемому ресурсу,а запрос доступа на компьютере,с которого он осуществляется,фильтрации не подлежит.Это принципиально,т.к.не могут подлежать фильтрации приложения,которыми пользователь осуществляет доступ к разделяемым ре-

сурсам.Благодаря этому,очень распространенными являются атаки на протокол NETBIOS.

Кроме того,в полном объеме (в части фильтрации только входящего трафика)управлять доступом к разделяемым ресурсам возможно только при установленной на всей компьютерах ЛВС файловой системы NTFS. В противном случае невозможно запретить запуск несанкционированной программы с удаленного компьютера,то есть обеспечить замкнутость программной среды в этой части.

Анализ существующей статистики угроз для современных универсальных ОС.

Обзор и статистика методов,лежащих в основе атак на современные ОС

Классификация методов и их сравнительная статистика

1.Позволяющие несанкционированно запустить исполняемый код.

2.Позволяющие осуществить несанкционированные операции чтения/записи файловых или других объектов.

3.Позволяющие обойти установленные разграничения прав доступа.

4.Приводящие к отказу (Denial of Service)в обслуживании (системный сбой).

5.Использующие встроенные недокументированные возможности (ошибки и закладки).

6.Использующие недостатки системы хранения или выбора (недостаточная длина)данных об аутентификации (пароли)и позволяющие путем реверсирования,подбора или полного перебора всех вариантов получить эти данные.

7.Троянские программы.

8.Прочие.

Дата добавления: 2014-01-14; Просмотров: 512; Нарушение авторских прав?; Мы поможем в написании вашей работы!