Windows File Protection

Пример

Unix

MS-DOS

ОС MS-DOS функционирует в реальном режиме (real-mode) процессора i80x86. В ней невозможно выполнение требования, касающегося изоляции программных модулей (отсутствует аппаратная защита памяти). Уязвимым местом для защиты является также файловая система FAT, не предполагающая у файлов наличия атрибутов, связанных с разграничением доступа к ним. Таким образом, MS-DOS находится на самом нижнем уровне в иерархии защищенных ОС.

Windows NT/2000/XP

(слайд №7)

Не подразумевает защиту информации, передаваемой по сети, и не гарантирует защищенности от физического доступа.

Компоненты защиты NT частично встроены в ядро, а частично реализуются подсистемой защиты. Подсистема защиты контролирует доступ и учетную информацию. Кроме того, Windows NT имеет встроенные средства, такие как поддержка резервных копий данных и управление источниками бесперебойного питания, которые повышают общий уровень безопасности.

Ключевая цель системы защиты Windows NT - следить за тем, кто и к каким объектам осуществляет доступ. Система защиты хранит информацию, относящуюся к безопасности для каждого пользователя, группы пользователей и объекта. Единообразие контроля доступа к различным объектам (процессам, файлам, семафорам и др.) обеспечивается тем, что с каждым процессом связан маркер доступа, а с каждым объектом - дескриптор защиты. Маркер доступа в качестве параметра имеет идентификатор пользователя, а дескриптор защиты - списки прав доступа. ОС может контролировать попытки доступа, которые производятся процессами прямо или косвенно инициированными пользователем.

Windows NT отслеживает и контролирует доступ как к объектам, которые пользователь может видеть посредством интерфейса (такие, как файлы и принтеры), так и к объектам, которые пользователь не может видеть (например, процессы и именованные каналы). Помимо разрешающих записей, списки прав доступа содержат и запрещающие записи, чтобы пользователь, которому доступ к какому-либо объекту запрещен, не смог получить его как член какой-либо группы, которой этот доступ предоставлен.

Система защиты ОС Wndows NT состоит из следующих компонентов:

· Процедуры регистрации (Logon Processes), которые обрабатывают запросы пользователей на вход в систему. Они включают в себя начальную интерактивную процедуру, отображающую начальный диалоге пользователем на экране и удаленные процедуры входа, которые позволяют удаленным пользователям получить доступ с рабочей станции сети к серверным процессам Windows NT.

· Подсистемы локальной авторизации (Local Security Authority, LSA), которая гарантирует, что пользователь имеет разрешение на доступ в систему. Этот компонент - центральный для системы защиты Windows NT. Он порождает маркеры доступа, управляет локальной политикой безопасности и предоставляет интерактивным пользователям аутентификационные услуги. LSA также контролирует политику аудита и ведет журнал, в котором сохраняются сообщения, порождаемые диспетчером доступа.

· Менеджера учета (Security Account Manager, SAM), который управляет базой данных учета пользователей. Эта база данных содержит информацию обо всех пользователях и группах пользователей. SAM предоставляет услуги по легализации пользователей, применяющиеся в LSA.

· Диспетчера доступа (Security Reference Monitor, SRM), который проверяет, имеет ли пользователь право на доступ к объекту и на выполнение тех действий, которые он пытается совершить. Этот компонент обеспечивает легализацию доступа и политику аудита, определяемые LSA. Он предоставляет услуги для программ супервизорного и пользовательского режимов, для того чтобы гарантировать, что пользователи и процессы, осуществляющие попытки доступа к объекту, имеют необходимые права. Данный компонент также порождает сообщения службы аудита, когда это необходимо.

Дефолтный уровень называется минимальным, но он легко может быть доведен системным администратором до желаемого уровня.

(слайд №8)

В Unix существует список именованных пользователей, в соответствии с которым может быть построена система разграничения доступа. В ОС Unix считается, что информация, нуждающаяся в защите, находится главным образом в файлах.

По отношению к конкретному файлу все пользователи делятся на три категории:

· владелец файла

· члены группы владельца

· прочие пользователи

Для каждой из этих категорий режим доступа определяет права на операции с файлом, а именно:

· право на чтение (r)

· право на запись (w)

· право на выполнение (для каталогов - право на поиск) (x)

В итоге 9 (3x3) битов защиты оказывается достаточно, чтобы специфицировать ACL каждого файла.

- чтение(r), запись(w), выполнение(x) для владельца

- чтение, запись, выполнение для группы владельца

- чтение, запись, выполнение для всех остальных

Такие права можно представить краткой записью:

rwxrwxrwx – разрешено чтение, запись и выполнение для всех

rwxr-xr-x – запись разрешена только для владельца файла, а чтении и выполнение для всех.

rw-rw-r-- – запись разрешена для владельца файла и группы владельца файла, а чтение – для всех.

(слайд №9)

Цифровое обозначение прав доступа.

chmod -R 755 /home/vasya

смена прав, -R рекурсивно, т.е. изменит и то, что внутри каталога vasya

цифры - это три отдельных атрибута:

7 - rwx - читать, писать, выполнять

6 - rw- - читаь, писать

5 - r-x - читать, выполнять

4 - r-- - читать

3 - -wx - писать, выполнять

2 - -w- - писать

1 - --x - выполнять

0 - --- - ничего нельзя делать

Первая цифра означает применения прав для пользователя.

Вторая - для группы.

Третья - права для всех остальных.

первый знак используется для задания битов sticky, suid и sgid:

Ниже приведен пример того, как использовать 4-значный режим для установки прав доступа на директорию, которая будет использоваться рабочей группой:

# chmod 1775 /home/groupfiles

Сегодня sticky используется в основном для директорий, чтобы защитить в них файлы. Из такой директории пользователь может удалить только те файлы, владельцем которых он является. Примером может служить директория /tmp, в которой запись открыта для всех пользователей, но нежелательно удаление чужих файлов.

Каждый пользователь в системе имеет свой уникальный идентификационный номер (user-ID, или UID). Также пользователи могут объединяться в группы, которые в свою очередь имеют group-ID, или GID.

Установленные атрибуты SUID или SGID позволяют запускать файл на выполнение с правами владельца файла или группы соответственно.

Запускаемая программа получает права доступа к системным ресурсам на основе прав доступа пользователя, запустившего программу. Установка же флагов SUID и SGID изменяет это правило таким образом, что назначает права доступа к системным ресурсам исходя из прав доступа владельца файла. Т.е. запущенный исполняемый файл, которым владеет суперпользователь, получает права доступа к системным ресурсам на уровне суперпользователя (фактически неограниченные). При этом установка SUID приведет к наследованию прав владельца-пользователя файла, а установка SGID -владельца-группы.

Помимо стандартных rwx значений команда CHMOD осуществляет ещё управление битами SGID, SUID и T. Установленные атрибуты SUID или SGID позволяют запускать файл на выполнение с правами владельца файла или группы соответственно.

Для SUID — вес 4000, а для SGID — 2000.

Пример chmod 4555 {имя файла} — все имеют право на чтение и выполнение, но запускаться файл на исполнение будет с правами владельца. Для директории: установка SGID приведёт к установке принадлежности каждого нового создаваемого файла к той же группе, к которой принадлежит сама директория, а не к основной группе владельца, как это происходит по умолчанию. SUID для директории не имеет смысла.

Авто замена: 755=0755

Аналогичным образом защищены и другие объекты ОС Unix, например семафоры, сегменты разделяемой памяти и т. п.

Указанных видов прав достаточно, чтобы определить допустимость любой операции с файлами. Например, для удаления файла необходимо иметь право на запись в соответствующий каталог. Как уже говорилось, права доступа к файлу проверяются только на этапе открытия. При последующих операциях чтения и записи проверка не выполняется. В результате, если режим доступа к файлу меняется после того, как файл был открыт, это не сказывается на процессах, уже открывших этот файл.

Среди всех пользователей особое положение занимает пользователь root, обладающий максимальными привилегиями. Обычные правила разграничения доступа к нему не применяются - ему доступна вся информация на компьютере.

(слайд №10)

Windows File Protection (Система защиты файлов Windows, WFP) - технология, позволяющая запретить программам изменять или удалять наиболее важные системные файлы Windows. Защита критически важных системных файлов позволяет избежать ряда серьёзных проблем и сбоев в работе операционной системы и прикладного программного обеспечения, например, DLL hell.

Названия в различных версиях Windows:

· Windows File Protection - Windows 2000, Windows XP, Windows Server 2003;

· System File Protection - Windows Me;

· Windows Resource Protection - Windows Vista. Строго говоря, является другой технологией, но принцип работы схожий: на основе ACL проверяется, может ли тот или иной пользователь осуществлять операции с файлами (не только системными). Ещё одна цель - защита ключевых значений реестра.

Когда Windows File Protection активна, перезапись или удаление незаблокированного системного файла приводит к немедленному восстановлению его оригинальной версии, которая хранится в специальной системной папке.

В ОС семейства Windows NT это %WinDir%System32Dllcache;

в Windows Me - %Systemroot%OptionsInstall.

Все файлы, устанавливаемые операционной системой (такие, как DLL, EXE, SYS, OCX и др.), защищены от изменения или удаления. Цифровая подпись этих файлов хранится в каталоге

%Systemroot%system32catRoot{F750E6C3-38EE-11D1-85E5-00C04FC295EE}

Изменение вышеназванных системных файлов разрешено только немногочисленным специальным компонентам, например, Windows Installer (Msiexec.exe) или Установщик пакетов (Package Installer, Update.exe). По умолчанию функция WFP всегда активизирована и позволяет выполнять замену системных файлов только в случае установки следующих видов программного обеспечения:

· сервисных пакетов Windows 2000/XP и Windows Server 2003 (с использованием программы Update.exe);

· дистрибутивных пакетов типа Hotfix (с использованием Hotfix.exe);

· обновлений версии операционной системы (с помощью Winnt32.exe);

· программного обеспечения с сайта Windows Update.

В противном случае файл возвращается в исходное состояние без каких-либо запросов или сообщений.

Папка %SystemRoot%System32Dllcache может быть достаточно объемной и занимать до 300 Мбайт дискового пространства. Теоретически данную папку можно удалить, однако при этом следует иметь в виду, что если сервис WFP не сможет обнаружить надлежащей версии файла в папке %SystemRoot%system32dllcache, производится поиск в локальной сети, Интернете или выдаётся запрос пользователю с просьбой вставить установочный диск в дисковод.

Скриншоты окон: (слайд №11)

Дата добавления: 2014-01-20; Просмотров: 823; Нарушение авторских прав?; Мы поможем в написании вашей работы!