Презентация на тему Безопасность уровня операционных систем

системе Windows:

Subsystem Service, LSASS) — часть операционной системы Windows, отвечающая

за авторизацию локальных пользователей отдельного компьютера. Сервис является критическим, так как без него вход в систему для локальных пользователей (не зарегистрированных в домене) невозможен в принципе.
Процесс проверяет данные для авторизации, при успешной авторизации служба выставляет флаг о возможности входа. Если авторизация была запущена пользователем, то также ставится флаг запуска пользовательской оболочки. Если авторизация была инициализирована службой или приложением, данному приложению предоставляются права данного пользователя.

Company Logo

— RPC-сервер Windows, оперирующий базой данных учетных записей.
SAM выполняет

следующие задачи:
Идентификация субъектов (трансляции имен в идентификаторы (SID'ы) и обратно);
Проверка пароля, авторизация (участвует в процессе входа пользователей в систему);
Хранит статистику (время последнего входа, количества входов, количества некорректных вводов пароля);
Хранит настройки политики учетных записей и приводит их в действие (политика паролей и политика блокировки учетной записи);
Хранит логическую структуру группировки учетных записей (по группам, доменам, алиасам);

Company Logo

для управления базой учетных записей.

База данных SAM хранится в

реестре (в ключе HKEY_LOCAL_MACHINE\SAM\SAM), доступ к которому запрещен по умолчанию даже администраторам.
SAM-сервер реализован в виде DLL-библиотеки samsrv.dll, загружаемой lsass.exe. Программный интерфейс для доступа клиентов к серверу реализован в виде функций, содержащихся в DLL-библиотеке samlib.dll.

Company Logo

назначается набор данных, относящихся к управлению доступом. Этот набор

данных, называемый дескриптором безопасности, определяет, какой тип доступа разрешается пользователям и группам. Дескриптор безопасности создается автоматически вместе с контейнером или объектом. Типичным примером объекта с дескриптором безопасности является файл.

Company Logo

Разрешения сопоставляются, или назначаются, конкретным пользователям или группам. Например,

группе «Администраторы» могут быть назначены разрешения на чтение, запись и удаление файла Temp.dat, а группе «Операторы» — только на его чтение и запись.
Каждое назначение разрешений пользователю или группе называется элементом разрешения, который является видом записи управления доступом (ACE). Весь комплект элементов разрешений в дескрипторе безопасности называется набором разрешений, или таблицей управления доступом (ACL). Так, набор разрешений для файла Temp.dat включает два элемента: один для группы «Администраторы», другой для группы «Операторы».

Company Logo

к защищенным ресурсам, в то время как списки SACL

обеспечивают программное управление политиками аудита системы для защищенных ресурсов.
Например, с помощью DACL можно обеспечить возможность чтения файла только администратором; с помощью SACL можно обеспечить запись в журнал всех успешных попыток открытия файла.

Company Logo

доступом, контролируемый владельцем объекта и регламентирующий права пользователей и

групп на действия с объектом (чтение, запись, удаление и т. д.)

Company Logo

доступом к объектам Microsoft Windows, используемый для аудита доступа

к объекту.
SACL - это традиционный механизм логирования событий, который определяет, как проверяется доступ к файлам и папкам. В отличие от DACL, SACL не может ограничивать доступ к файлам и папкам. Но он может отследить событие, которое будет записано в журнал событий безопасности(security event log), когда пользователь обратится к файлу или папке. Это отслеживание может быть полезно при решении проблем доступа или при определении запрещенного проникновения.

Company Logo

реализация службы каталогов) — LDAP-совместимая реализация службы каталогов корпорации Microsoft) —

LDAP-совместимая реализация службы каталогов корпорации Microsoft для операционных систем семейства Windows Server) — LDAP-совместимая реализация службы каталогов корпорации Microsoft для операционных систем семейства Windows Server. Позволяет администраторам использовать групповые политики) — LDAP-совместимая реализация службы каталогов корпорации Microsoft для операционных систем семейства Windows Server. Позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, разворачивать программное обеспечение) — LDAP-совместимая реализация службы каталогов корпорации Microsoft для операционных систем семейства Windows Server. Позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, разворачивать программное обеспечение на множестве компьютеров через групповые политики или посредством System Center Configuration Manager) — LDAP-совместимая реализация службы каталогов корпорации Microsoft для операционных систем семейства Windows Server. Позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, разворачивать программное обеспечение на множестве компьютеров через групповые политики или посредством System Center Configuration Manager (ранее — Microsoft Systems Management Server), устанавливать обновления операционной системы, прикладного и серверного программного обеспечения) — LDAP-совместимая реализация службы каталогов корпорации Microsoft для операционных систем семейства Windows Server. Позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, разворачивать программное обеспечение на множестве компьютеров через групповые политики или посредством System Center Configuration Manager (ранее — Microsoft Systems Management Server), устанавливать обновления операционной системы, прикладного и серверного программного обеспечения на всех компьютерах в сети, используя Службу обновления Windows Server. Хранит данные и настройки среды в централизованной базе данных. Сети Active Directory могут быть различного размера: от нескольких десятков до нескольких миллионов объектов.

Company Logo

шифрования данныхEncrypting File System (EFS) — система шифрования данных, реализующая

шифрование на уровне файлов в операционных системах Microsoft Windows NTEncrypting File System (EFS) — система шифрования данных, реализующая шифрование на уровне файлов в операционных системах Microsoft Windows NT (начиная с Windows 2000Encrypting File System (EFS) — система шифрования данных, реализующая шифрование на уровне файлов в операционных системах Microsoft Windows NT (начиная с Windows 2000 и выше), за исключением «домашних» версий (Windows XP Home EditionEncrypting File System (EFS) — система шифрования данных, реализующая шифрование на уровне файлов в операционных системах Microsoft Windows NT (начиная с Windows 2000 и выше), за исключением «домашних» версий (Windows XP Home Edition, Windows Vista BasicEncrypting File System (EFS) — система шифрования данных, реализующая шифрование на уровне файлов в операционных системах Microsoft Windows NT (начиная с Windows 2000 и выше), за исключением «домашних» версий (Windows XP Home Edition, Windows Vista Basic и Windows Vista Home PremiumEncrypting File System (EFS) — система шифрования данных, реализующая шифрование на уровне файлов в операционных системах Microsoft Windows NT (начиная с Windows 2000 и выше), за исключением «домашних» версий (Windows XP Home Edition, Windows Vista Basic и Windows Vista Home Premium). Данная система предоставляет возможность «прозрачного шифрования» данных, хранящихся на разделах с файловой системой NTFS, для защиты потенциально конфиденциальных данных от несанкционированного доступа при физическом доступе к компьютеру и дискам.

Company Logo

к ресурсам, имеющие место в NT, работают, когда операционная

система загружена, но при физическом доступе к системе возможно загрузить другую ОС, чтобы обойти эти ограничения. EFS использует симметричное шифрование для защиты файлов, а также шифрование, основанное на паре открытый/закрытый ключ для защиты случайно сгенерированного ключа шифрования для каждого файла. По умолчанию закрытый ключ пользователя защищён с помощью шифрования пользовательским паролем, и защищённость данных зависит от стойкости пароля пользователя.

Company Logo

файлов (EFS)

систем Windows NT фирмы Microsoft.
NTFS поддерживает разграничение доступа к

данным для различных пользователей и групп пользователей (списки контроля доступа — англ. access control lists, ACL), а также позволяет назначать дисковые квоты(ограничения на максимальный объём дискового пространства, занимаемый файлами тех или иных пользователей)

Company Logo

средств аутентификации в сети:
Безопасность хранения данных:
Сетевая безопасность

Windows XP
Для безопасности пользователей, не защитивших свою учетную запись

паролем, в Windows XP Professional такие учетные записи разрешено применять только для входа в систему компьютера с его консоли.

встроенную подсистему безопасности для предотвращения вторжений. Ее работа базируется

на ограничении прав любого, кто пытается получить доступ к компьютеру из сети до привилегий гостевой учетной записи.

использования и безопасности для локальных учетных записей позволяет выбрать

модель безопасности на основе применения исключительно гостевой учетной записи (Guest) либо классическую (Classic) модель безопасности.

шаблоны безопасности, обычно используемые без изменений или как основа

для особой настройки конфигурации безопасности.
Эти шаблоны безопасности применяются при:

базовой ОС, позволяющий ей выполнять функции центра сертификации (certification

authority, CA), или ЦС, в том числе выпускать цифровые сертификаты и управлять ими.

Windows XP Professional такие же, как и в Windows

XP Home Edition. Они различаются при работе в домене или в составе рабочей группы и в изолированном режиме. В домене применяется назначенная администратором политика. 

Internet Connection Firewall в Windows XP Professional обеспечивает защиту

настольных и переносных компьютеров при подключении к Интернету - особенно в случае постоянных подключений, таких как кабельные модемы и DSL.

предоставляет администраторам механизм определения и управления ПО, работающим в

домене. Она позволяет ограничить круг приложений только разрешенным к выполнению ПО и запрещает работу нежелательных приложений, среди которых вирусы и "троянцы", а также другое ПО, вызывающее конфликты. 

Политика ограничения применяется и на изолированных компьютерах при конфигурировании политики локальной защиты. Она также интегрируется с групповой политикой и Active Directory. Можно задать разные политики ограничения используемых приложений для различных подмножеств пользователей или компьютеров.

стандартное требование в нынешнем деловом мире с Интернетом, интрасетями,

отделениями и удаленным доступом. Поскольку конфиденциальная информация постоянно пересылается по сети, сетевые администраторы и другие специалисты службы поддержки должны обеспечить защиту этого трафика от: 

с интегральной схемой, предназначенное для безопасного хранения открытых и

закрытых ключей, паролей и прочей личной информации. Она служит для операций шифрования с открытым ключом, проверки подлинности, введения цифровой подписи и обмена ключами. 

особо защищенное хранилище для закрытых ключей и другой частной информации;
изоляцию чрезвычайно важных для безопасности вычислений, в том числе проверки подлинности, цифровой подписи и обмена ключами, от других компонентов системы, которые напрямую не работают с этими данными;
свободу перемещения реквизитов пользователей и другой частной информации между компьютерами на работе и дома, а также удаленными компьютерами