Лабораторная работа № 2 «Система безопасности Windows XP» Описание работы:

Лабораторная работа № 2 «Система безопасности Windows XP»
Цель работы:
Изучить систему безопасности Windows XP
Описание работы:
В операционной системы Windows XP существует единая система для
идентификации, проверки подлинности, контроля доступа и записи информации о
событиях связанных с безопасностью. В рамках данной архитектуры все процессы
Windows XP подчиняются требованиям системы безопасности. Последняя включает в
себя несколько основных компонентов (рис 1).
Рис. 1. Компоненты системы безопасности.
Процессы входа в систему (logon processes) обрабатывают запросы пользователей о
входе в систему. Сюда включается начальный интерактивный вход в систему,
осуществляемый через диалоговое окно входа пользователя, и процессы удаленного
входа, открывающие доступ к серверу с удаленных компьютеров.
Центральная часть системы безопасности Windows XP - Локальный
администратор безопасности (Local Security Authority, LSA) - проверяет, есть ли у
пользователя необходимые полномочия для входа в систему. Этот компонент создает
маркеры доступа, управляет локальными правами безопасности (local security policy),
обеспечивает службы интерактивной проверки подлинности. LSA также контролирует
правила аудита и записывает в журнал аудита сообщения, полученные от монитора
безопасности.
При старте операционной системы вначале запускается подсистема Win32, которая
автоматически инициализирует процесс winlogon.exe запускающий в свою очередь
Локальный администратор безопасности (Isass.exe). Лишь после этого winlogon выводит
диалоговое окно Press Ctrl+Alt+DeJ to log on.
Журнал аудита (Security log) содержит записи о событиях, связанных с работой
системы безопасности. Сюда может заносится информация о входах пользователей
изменениях в базе учетных записей и системной политике, событиях доступа пользователей
к секретным файлам.
Пакет проверки подлинности (Authentication package) проверяет подлинность
пользователя. Windows XP no умолчанию использует пакет проверки подлинности
MSV1_0, однако эта операционная система может поддерживать неск олько таких
пакетов выполненных как динамические библиотеки DLL.
Пакет MSV1_0 обращается к диспетчеру учетных записей, причем последний
может находится как на локальном так и на удаленном компьютере, Технически это
достигается разбиением пакета на две части. Одна выполняется на компьютере, где
осуществляется вход пользователя, другая - на компьютере, который хранит базу
учетных записей. Пакет MSV1_0 по имени домена определяет, где находится база
данных учетных записей, и, если она расположена на удаленном компьютере, первая
часть пакета передает запрос на удаленный компьютер, где вторая часть пакета
MSV1_0 проверяет подлинность. Этот процесс; называется сквозной проверкой
подлинности.
Диспетчер учетных записей (Security Account Manager, SAM) поддерживает
базу данных учетных записей (Security Account Database). В ней хранятся все учетные
записи пользователей и групп. Эта база является частью реестра операционной
системы и недоступна обычным пользователям в ходе нормальной работы. SAM
обеспечивает службы подтверждения подлинности пользователя, используемые
администратором локальной безопасности.
Монитор безопасности (Security Reference Monitor, SRM) проверяет, имеет ли
пользователь достаточные права для доступа к объекту. В отличие о других
компонентов система безопасности он работает в режиме ядра. Компоненты ядра и
пользовательские процессы обращаются к монитору безопасности, чтобы выяснить,
имеют ли право пользователи и процессы получить доступ к объекту.
SRM хранит в себе весь код, ответственный за подтверждение доступа, и это
единственна копия данного кода для любой системы Windows XP. Благодаря этому
все проверки выполняются одинаково для всех объектов в системе.
Структура маркера доступа
При входе пользователя в систему локальный администратор безопасности
LSA создает маркер доступа, содержащий важную для системы безопасности
информацию. Вот как структуру маркера доступа можно представить на логическом
уровне (рис- 2).
Следует отметить,- что вместо имени пользователя и групп в реальном
маркере доступа указываются их идентификаторы безопасности. Точнее,
маркер представляет собой структуру данных, в которой предусмотрены поля;
Рис. 2. Маркер доступа.
Пользователь

Кадры \ Ира





Кадры \ Зарплата
Кадры \ Отчет
Users
Interactive
Everyone

Изменение системного времени
Группы
Привилегии
Подобный маркер доступа связывается с каждым запускаемым
пользователем процессом. Монитор безопасности использует маркер
доступа при попытке процесса получить доступ к объекту.
Идентификаторы безопасности из маркера доступа сравниваются с
имеющимися в списке контроля доступа, связанном с объектом. Тем самым
проверяются права пользователя на выполнение запрашиваемых действий.
Создание маркера доступа осуществляется вызовом процедуры
NtCreateToken() и ядра Windows XP. Такой вызов может выполнить
только один процесс - Локальны администратор безопасности LSA.
Объект доступа
Доступ ко всем именованным и некоторым неименованным
объектам Windows XP можно контролировать. Связанная с контролем
доступа информация размещается структуре данных, называемой
дескриптором безопасности (security descriptor) объект Логическая
структура Дескриптора безопасности показана ниже (рис. 1-8).
В зависимости от ситуации Windows NT создает абсолютный
(absolute) или самодостаточный (self-relative) дескриптор безопасности.
Разница между ними в том, что первом случае в дескриптор
помещены только Указатели на соответствующие идентификаторы
безопасности, а во втором - сами значения идентификаторов безопасности.
В дескриптор безопасности включены следующие поля:
Рис. 1-8. Дескриптор безопасности объекта, В реальном
дескрипторе даются идентификаторы безопасности пользователей и
групп.
Типы доступа, разрешения на которые могут быть даны пользователям,
определяются типом объекта. Например, для принтера можно установить
разрешения Manage Documents и Print, для папки - указать Read, Write,
Execute и т. д.
Контроль доступа
При попытке процесса пользователя получить доступ к объекту
Монитор безопасности Windows XP сравнивает информацию безопасности
в маркере доступа пользователя с информацией в дескрипторе безопасности
объекта,.
Основываясь на типе доступа к объекту, Windows XP создает маску
запроса на доступ. Эта маска последовательно сравнивается с масками доступа,
находящимися в дискреционном списке контроля доступа к объекту.
Порядок выполнения работы:
1. Изучить теоретическую часть.
2. Выполнить задания.
3. Предоставить отчет о проделанной работе.(Отчет должен содержать:
- описание процесса регистрации пользователя в системе
- описание процесса регистрации пользователя на удаленной машине
- маркер доступа
- дескриптор доступа
- Print Screen окна доступа к папке
- ответы на контрольные вопросы)
4. Ответить на контрольные вопросы.
Контрольные вопросы:
1. Перечислить модули отвечающие за работу системы безопасности?
2. Что выполняет локальный администратор безопасности (LSA)?
3. Какой пакет проверки пользователя используется в Windows XP? Могут
ли использоваться пакеты разработанные независимыми поставщиками?
4. Чем занимается монитор безопасности (Security Reference Monitor, SRM)
5. Какая структура данных используется в Windows XP для однозначного
определения
пользователя или группы?
6. Какие преимущества дает применение идентификаторов безопасности
вместо имен
пользователей?
8. Кокай модуль системы безопасности создает маркер доступа?
9. Что указывается в поле TokenSource?
10. Вызовом какой процедуры осуществляется создание маркера доступа?
11. Где размещается информация связанная с контролем доступа к объекту?
12. Какие дескрипторы безопасности может создавать Windows XP?