Дипломная работа по теме

С списках управления доступом содержится одна или несколько записей данных о контроле доступа. В операционных системахWindows записи данных управления доступом бывают следующих типов: Allow (Разрешение) и Deny (Запрет). Длякаждого типа АСЕ имеются подтипы и необъектные подтипы. С помощью записей управления доступом Allow и Deny назначается уровень доступа, который обеспечивается посредством подсистемы авторизации на основе права, установленныхадминистратором безопасности. Записи данных об управлении доступом к объектам являются исключающими для объектов в ADDS, так как с их помощью обеспечиваются дополнительные поля по наследованию объектов. Для большей частидругих ресурсов, как, например, файловых ресурсов или системного реестра,Windows работает с необъектными записями управления доступом. Посредством необъектных записей АСЕ обеспечивается наследование контейнеров, то есть объекты в контейнере наследуют записи о контроле доступом контейнера. Данноеправило аналогично наследованию разрешений доступа файлами от родительских папок. Для каждого типа записи управления доступом используются поляRights и полем Trustee. Поля с правами, как правило,содержат предварительно определенные числа, представляющие действия, доступныеадминистратору безопасности. Рассмотрим пример работы пользователя, который посылает запрос на чтение или запись файла. В данном случае чтение и запись представляют собой отдельныеуровни доступа. Поле доверия "Trustee"является идентификатором безопасности, который разрешает или запрещает указанное действие. В качестве примера можно рассматривать пользователя или группу, которой разрешается либо запрещается выполнение действия, указанного в поле "Right".Маркеры доступа.Связующее звено между SID-идентификаторамиадминистратора безопасности и списковACL- это маркер доступа. Когда системаWindowsпроизводит проверку подлинности пользователя с использованиемKerberos, пользователю в процессе авторизациив системе на уровне локальной рабочей станции присваивается маркер доступа. В данный маркер включены: основной SID пользователя, SID-идентификаторы всех групп, к которым относится пользователь, а также набор установленных привилегий и прав.В маркеры доступа также могут включаться в атрибуте SIDHistoryтакже дополнительные SID-идентификаторы. ДанныеSID-идентификаторы могут быть заполнены при перемещении учетных данных пользователей между доменами.Маркеры доступа используются в подсистемах безопасности при попытках пользователей получения доступа к ресурсу. При попытках пользователей получения доступа к локальным ресурсам, данный маркер предоставляется клиентскимкомпьютером для всех потоков и приложений, запрашивающих данные безопасности для разрешения доступа к ресурсам. Данный маркер доступа не может передаваться по сети на другие рабочие станции. Вместо этого, на каждом из серверов, где пользователь проходит авторизацию для получения доступа к ресурсам, проводится создание локального маркера доступа. Например, при попытке получения пользователем доступа к почтовому ящику, расположенному на сервере, то на данном сервере проводится создание маркера доступа. При этом подсистема безопасности серверапроводит сравнениеSID-идентификатора в маркере доступа с имеющимися разрешениями, записанными в ACL-списке почтового ящика. Если предоставленные для SID разрешения достаточны для получения доступа, пользователь сможет открывать почтовый ящик.Проверка подлинности.Для работы с процессами подсистемы безопасности, включая использование SID и ACL, необходимо обеспечить способ получения пользователями доступа к сети. По сути, пользователи должны иметь возможность указание своих данных для получения маркера доступа из ресурсов контроллера домена. Данный процесс называется проверкой подлинности.Выполнение проверки подлинности проводитсяпривходе пользователя домена на компьютер. Этапы проверки подлинности определяются особенностями операционной системы, посредством которой осуществляется вход в сеть. Приуспешной проверке подлинности пользователю открывается доступ к сетевым ресурсам. В случае входа в домен и нахождения сетевых ресурсов в одном лесе, пользователю однократнопредлагается прохождение проверки подлинности. Пока пользователь находится в системе, все полученные сетевые разрешения, основываются на предыдущей проверке подлинности. Хотя пользовательская учетная запись проверяется на подлинность каждый раз при получении пользователем доступа к ресурсам на сервере, где пользователь не прошёл проверку подлинности, данная аутентификация является прозрачной для пользователя.Рассмотрим особенности защиты объектов ядра и приватности.Объекты ядра могут представляться в форме процессов, потоков или мьютексов (kernelobjects). При получении и установке дескрипторов безопасности ядра применяются функции GetKernelObjectsSecurity и SetKernelObjectsSecurity, которые аналогичны функциям, обеспечивающим защиту файлов. Далее приведем анализ использования дескриптора безопасности.Посредством анализа дескриптора безопасности предоставляется хорошая возможность для анализа архитектуры безопасности Windows.Дескриптор безопасности инициализируется функцией InitializeSecurityDescriptor и состоит из следующих элементов:• Идентификационный номер владельца (SecurityIdentifier, SID).• SID группы.• Список разграничительного контроля доступа (DiscretionaryAccessControlList, DACL) — список элементов, в явной форме регламентирующих права доступа к объекту для определенных пользователей или групп. В нашем обсуждении термин "ACL", употребляемый без префикса "D", будет относиться к DACL.• Системный ACL (System ACL, SACL), иногда называемый ACL аудиторского доступа (auditaccess ACL).Функции SetSecurityDescriptorOwner и SetSecurityDescriptorGroup связывают идентификаторы SID с дескрипторами безопасности, о чем говорится далее в разделе "Идентификаторы безопасности".ACL инициализируются функцией Initialize ACL, а затем связываются с дескриптором безопасности с помощью функций SetSecurityDescriptorDacl и SetSecurityDescriptorSacl.Атрибуты безопасности подразделяются на абсолютные (absolute) и самоопределяющиеся относительные (self-relative). На данном этапе мы не будем делать различия между ними, но вернемся к этому вопросу далее в настоящей главе. Дескриптор безопасности и его компоненты представлены на рисунке 2.Списки контроля доступаКаждый ACL состоит из совокупности элементов контроля доступа (AccessControlEntry, АСЕ). Существует два типа АСЕ: для разрешения данного вида доступа (allowed) и его запрета (denied).Сначала список ACL инициализируют посредством функции InitializeAcl, a затем добавляют в него элементы АСЕ. Каждый АСЕ содержит SID и маску доступа (accessmask), определяющую, какие именно права доступа предоставляются пользователю или группе, идентифицируемым по их SID, а в каких им отказано. В качестве типичного примера прав доступа к файлам можно привести права доступа FILE_GENERIC_READ и DELETE.Добавление элементов АСЕ в разграничительные списки ACL осуществляется при помощи двух функций — AddAccessAllowedAce и AddAccessDenieddAce. Функция AddAuditAccessAce служит для добавления элементов в SACL, что позволяет отслеживать попытки доступа, осуществляемые с использованием указанного SID. Рисунок 6 - Структура дескриптора безопасностиНаконец, для удаления АСЕ из списка используется функция DeleteAce, а для извлечения — функция GetAce.Использование объектов безопасности WindowsВ дескриптор безопасности вносятся многочисленные подробные данные, и на рис. 6показаны лишь основные элементы его структуры. Заметьте, что у каждого процесса также имеется свой SID (содержащийся в маркере доступа), который используется ядром для того, чтобы определить, какие виды доступа разрешены или какие виды доступа подлежат аудиту. Кроме того, маркер доступа (accesstoken) может предоставлять владельцу определенные привилегии (privileges) (свойственная данному владельцу способность выполнять операции, перекрывающая права (rights), указанные в списке ACL). Так, администратор может иметь привилегии на выполнение операций чтения и записи ко всем файлам, не имея на это прав, явно заданных в списке ACL данного файла.Если пользовательские или групповые идентификаторы доступа не обеспечивают, ядро просматривает права доступа, указанные в ACL. Определяющую роль играет первый встреченный элемент, дающий возможность воспользоваться данной запрошенной услугой или отказывающий в этом. Поэтому очередность, в которой в список вносятся элементы АСЕ, имеет большое значение. Во многих случаях АСЕ, запрещающие доступ, располагаются первыми, чтобы конкретный пользователь, которому необходимо запретить данный вид доступа, не мог получить его, воспользовавшись членством в группе, которой этот вид доступа предоставлен. Таким образом, рассмотрев технологии обеспечения защищенности объектов информационной системы с использованием инструментария Windows, можно сделать выводы:- операционная система Windowsпозволяет обеспечивать эффективное разграничение доступа к информационным объектам с использованием различных уровней доступа;- встроенные средства безопасности ОС Windowsобеспечивают защиту данных даже в случаях авторизации под альтернативной операционной системой;- доля использования операционных систем Windowsна рынке сетевого ПО позволяет утверждать об эффективности реализованной системы разграничения доступа и от утечек информации.ЗаключениеВ рамках данной работы проведен анализсистемы обеспечения безопасности данных от угроз несанкционированного доступа с использованием средств ОС Windows.Проведено рассмотрение теоретических аспектов обеспечения безопасности информационных ресурсов. Показано, что защита информационных объектов средствами операционной системы проводится посредством установки атрибутов доступа, позволяющих предоставлять доступ на разрешенных уровнях. При этом защищенность информационных ресурсов является залогом штатного функционирования предприятий.Далее были проанализированы аспекты обеспечения информационной безопасности объектов путем работы с дескрипторами. Показано, что в существующей конфигурации обеспечение защиты информации является сложной задачей, что обусловлено спецификой использования разнородных сетевых решений, требующих использования разных подходов к безопасности.Установка разрешений на доступ к информационным объектам производится с правами владельца ресурса. Хранение данных о правах доступа к объектам производится в определенных файлах в системных каталогах, доступ к которым ограничивается для каждой из учетных записей. Технологически управление безопасностью информационных объектов может реализовываться как с использованием команд консоли, так и в интерактивном режиме.Также средствами ОС Windowsвозможно проведение аудита информационных ресурсов, что предполагает протоколирование действий пользователей с выбранными информационными объектами. Ведение протоколов является полезным в сетях со значительным количеством пользователей, работающих одновременно с определенными информационными объектами и позволяет выявляться пользователей, которые проводят операции создания, удаления и изменения объектов.Анализ уровня защищенности объектов, обеспечиваемого средствами ОС Windows, позволяет утверждать, что встроенные средства операционной системы обеспечивают необходимый уровень защиты информационной системы.Список использованных источниковСетевая защита информации. [Электронный ресурс]. Режим доступа: http://ic-dv.ru/uslugi/sredstva_doverennoj_zagruzki/Сетевые атаки и их виды. [Электронный ресурс]. режим доступа: https://www.kakprosto.ru/kak-848505-chto-takoe-setevaya-atakaПопов Б. Н. Администрирование информационных систем : учебное пособие / Б. Н. Попов. - Санкт-Петербург : Изд-во ГУМРФ имени адмирала С.О. Макарова, 2018. - 95 с. Королев Е. Н. Администрирование операционных систем : учебное пособие / Е. Н. Королев. - Воронеж : Воронежский государственный технический университет, 2017. - 85 с. Горев А. И., Симаков А. А. Обработка и защита информации в компьютерных системах : учебно-практическое пособие / А. И. Горев, А. А. Симаков. - Омск :ОмА МВД России, 2016. - 87 с. Белобородова Н. А. Информационная безопасность и защита информации : учебное пособие / Н. А. Белобородова; Минобрнауки России, Федеральное гос. бюджетное образовательное учреждение высш. проф. образования "Ухтинский гос. технический ун-т" (УГТУ). - Ухта : УГТУ, 2016. - 69 с.Кондратьев А. В. Техническая защита информации. Практика работ по оценке основных каналов утечки : [учебное пособие] / А. В. Кондратьев. - Москва : Горячая линия - Телеком, 2016. - 304 с. Смычёк М.А. Информационная безопасность и защита информации : учебное / М.А. Смычёк. - Нижний Новгород : Нижегородский государственный технический университет, 2016. – 125с.Герасименко В.А., Малюк А.А. Основы защиты информации. – СПб.: Питер, 2010. – 320сНикифоров С. Н. Защита информации: учебное пособие / С.Н. Никифоров; Министерство образования и науки Российской Федерации, Санкт-Петербургский государственный архитектурно-строительный университет. - Санкт-Петербург :СПбГАСУ, 2017. – 76 с.Никифоров С. Н., Ромаданова М. М. Защита информации. Пароли, скрытие, удаление данных : учебное пособие / С. Н. Никифоров, М. М. Ромаданова. - Санкт-Петербург :СПбГАСУ, 2017. - 107 с. Никифоров С. Н. Защита информации : защита от внешних вторжений : учебное пособие / С.Н. Никифоров. - Санкт-Петербург: Санкт-Петербургский государственный архитектурно-строительный университет, 2017. - 82 сШаньгин В.Ф. Информационная безопасность и защита информации [Электронный ресурс] : учебное пособие / В.Ф. Шаньгин. - Саратов: Профобразование, 2017. - 702 cМихайлова Е. М., Анурьева М. С. Организационная защита информации [Электронный ресурс]/ Михайлова Е. М., Анурьева М. С. - Тамбов : ФГБОУ ВО "Тамбовский государственный университет имени Г. Р. Державина", 2017.Минаси М., Грин К., Бус К. WindowsServer 2012 R2 : полное руководство / Марк Минаси, Кевин Грин, Кристиан Бус. – Москва: Диалектика, 2016. Власов Ю. В., Рицкова Т. И. Администрирование сетей на платформе MS WindowsServer [Электронный ресурс] / Власов Ю. В.,Рицкова Т. И.,. - 2-е изд. - 2016. - 622 сСтанек У. Р. MicrosoftWindowsServer 2012 R2: хранение, безопасность, сетевые компоненты : справочник администратора / Уильям Р. Станек. - Москва ; Санкт-Петербург : Русская редакция БХВ-Петербург, 2015. - XII, 404 сЛинн С. Администрирование MicrosoftWindowsServer 2012/ Самара Линн. - Санкт-Петербург: Питер, 2014. - 297 с.Глотина И. М. Средства безопасности операционной системы WindowsServer 2008 / И. М. Глотина. - Пермь :Прокростъ, 2017. - 135 с.Баранчиков А. И., Баранчиков П. А., Громов А. Ю. Организация сетевого администрирования: учебник/ А.И. Баранчиков, П.А. Баранчиков, А.Ю. Громов. - Москва : Академия, 2017. - 315 с.