Служба регистрации в ОС windows nt и ее возможности по защите информации

 
 
 
 
 

СЛУЖБА РЕГИСТРАЦИИ В ОС WINDOWS NT И ЕЕ ВОЗМОЖНОСТИ ПО ЗАЩИТЕ ИНФОРМАЦИИ 

Тематический  реферат

по дисциплине «Информационная безопасность и  защита информации» 
 

 

Введение

       Стремительное развитие информационных технологий привело  к формированию информационной среды,  оказывающей влияние на все сферы  человеческой деятельности. Однако с  развитием информационных технологий возникают и стремительно растут риски, связанные с их использованием, появляются совершенно новые угрозы, с последствиями, от реализации которых человечество раньше не сталкивалось.

       Одним из главных инструментов для реализации конкретных информационных технологий являются информационные системы,  задача обеспечения безопасности которых является приоритетной, так как от сохранения конфиденциальности, целостности и доступности информационных ресурсов зависит результат деятельности информационных систем.

       Операционная  система является важнейшим программным  компонентом любой вычислительной машины, поэтому от уровня реализации политики безопасности в каждой конкретной операционной системе во многом зависит и общая безопасность информационной системы. 

       В связи с этим знания в области  современных методов и средств  обеспечения безопасности операционных систем являются необходимым условием для формирования специалиста по информационной безопасности.

       В качестве одной из самых распространенных сетевых операционных систем является Windows NT, на ее примере рассмотрим работу службы регистрации и ее возможности по обеспечению безопасности в сети.

 

Содержание 

 

       1 Структура Windows NT

       1.1 Объектная модель защиты

       В Windows NT очень большое внимание уделено обеспечению безопасности. Специалисты Microsoft утверждают, что именно поэтому она получает ощутимое преимущество в тех случаях, когда требуется сохранение в тайне конфиденциальной информации.

       Идея  создания подобной ОС возникла почти  десять лет назад. Windows NT была задумана как ОС, удовлетворяющая потребности американской военной промышленности, и ее разработчики постарались выполнить все требования, необходимые для сертификации по уровню безопасности С2 федерального правительства США.

       В основу функционирования Windows NT заложена объектная модель защиты. Объектом защиты может быть любой ресурс системы – файл, устройство, программа пользователя или процесс. Для каждого из них обязательно найдется соответствующий ему объект защиты, содержащий информацию о том, кому и что именно позволено делать с данным ресурсом. Эта информация переносится одновременно с перемещением или копированием ресурсов.

       Чтобы в полной мере осуществить объектно-ориентированный  подход к защите компьютерных ресурсов, многопользовательская ОС в первую очередь должна выяснить, чей запрос обслуживается в данный момент времени. Для идентификации пользователей  Windows NT использует два ключа – имя и пароль. Имя определяет возможности пользователя при работе с системой, а соответствующий имени пароль подтверждает наличие этих возможностей и должен быть известен лишь самому пользователю.

       1.2 Регистрация пользователей

       Перед началом работы любой пользователь обязательно проходит процедуру  регистрации в системе. После  включения компьютера и загрузки ОС на дисплее появляется окно с надписью «Для входа в систему нажмите Ctrl+Alt+Delete». Одновременное нажатие этих клавиш запускает подсистему защиты Windows NT, которая предлагает пользователю ввести свое имя и пароль. При вводе символы пароля на экране замещаются звездочками, чтобы посторонние не могли его подсмотреть. По окончании ввода подсистема безопасности проверяет правильность введенных данных. Если имя и пароль заданы верно, можно начать работу в системе.

       Когда пользователь покидает компьютер, он сообщает об этом системе нажатием тех же клавиш Ctrl+Alt+Del. На экране появляется еще одно диалоговое окно подсистемы защиты, содержащее имя зарегистрированного пользователя и несколько кнопок:

       – «Выход из системы...» завершает все запущенные пользователем программы и переводит Windows NT в режим ожидания следующей попытки регистрации; «Завершение работы...» в дополнение к останову всех программ пользователя готовит систему к выключению питания; 

       – «Блокировка» скрывает содержимое экрана дисплея; чтобы вновь разблокировать экран, необходимо ввести соответствующий пароль;

       – «Смена пароля...» диалогового окна подсистемы защиты позволяет сменить пароль пользователя.

       Итак, работать в Windows NT может любой пользователь, прошедший регистрацию. Для успешной регистрации ему необходим так называемый бюджет, в который включаются все сведения, позволяющие отличать этого пользователя системы от других. Бюджет представляет собой небольшую базу данных, содержащую имя и пароль, а также описание возможностей пользователя.

       На  стадии установки Windows NT автоматически создаются два пользовательских бюджета – с именами «Администратор» и «Гость». «Администратор» – это полновластный хозяин Windows NT. Среди пользователей системы он обладает самыми широкими полномочиями. Например, администратор может получить доступ сам, а также ограничить права доступа других пользователей к любому объекту защиты Windows NT. Однако кое-что система запрещает делать даже администратору. Так, администратор не может узнать чужой пароль, а значит, оказывается не в состоянии сделать что-то от имени другого пользователя без ведома последнего.

       «Гость» предназначен для временных пользователей – «гостей» Windows NT. В ходе установки для него задается признак «Отключить учетную запись», означающий, что данный бюджет заблокирован и не может быть задействован при регистрации. После снятия этого признака администратором любому пользователю будет предоставлена возможность регистрации в Windows NT под именем «Гость». Однако в этом случае ему будут предоставлены минимальные возможности для работы в системе.

       Создание  новых бюджетов и изменение существующих – исключительное право администратора. Он может внести исправления в имя пользователя (от 1 до 20 символов без учета регистра) и в его пароль (до 14 символов с учетом регистра), а также переустановить ряд флажков, предварительно запустив приложение «Диспетчер пользователей».

       Если  установлен флажок «Потребовать смену пароля при следующем входе в систему», то при первой регистрации данного пользователя система потребует от него сменить пароль на новый, придуманный им самим. Этот флажок необходим для того, чтобы спрятать пользовательский пароль от администратора. «Запретить смену пароля пользователем» служит противоположной цели: в этом случае пароль всегда известен администратору. «Постоянный пароль (без ограничения срока действия)» позволяет выключить для данного пользователя механизм старения паролей, который заставляет всех остальных регулярно менять свои пароли. «Отключить учетную запись» применяется, чтобы временно закрыть пользователю доступ к системе.

       В Windows NT существуют определенные правила работы с бюджетами, соблюдение которых повышает безопасность работы в системе. Чтобы оговорить эти правила, администратор может воспользоваться командой «Учетные записи» в меню «Политика» окна приложения «Диспетчер пользователей». Появится диалоговое окно «Политика учетных записей» со следующими опциями:

       – «Максимальный срок действия». Можно потребовать от пользователя менять пароль с частотой, заданной в поле «Срок действия (дней)». Чтобы сохранить равновесие между удобством в работе и соблюдением должной секретности при обращении с паролями, лучше всего назначить срок смены паролей в 30—45 дней.

       – «Минимальный срок действия». Указанием числа дней в поле «Нельзя изменять (дней)» устанавливают минимальный срок, по истечении которого разрешается менять пароль. С помощью этой опции администратор может заставить всех пользователей иметь один и тот же пароль в течение определенного срока.

       – «Минимальная длина пароля». Чем короче пароль, тем легче его запомнить. Однако в этом случае нарушителю будет проще подобрать нужный пароль для регистрации в системе путем простого перебора всех возможных комбинаций. При более длинных паролях обеспечивается большая безопасность системы, но тогда пользователи чаще забывают свои пароли, что доставляет немало хлопот администратору. Чтобы указать минимальную длину пароля, требуется поставить нужное число в ноле «Не менее ... символов».

       – «Уникальность пароля». Число в ноле «Хранить паролей» указывает количество паролей, которые надо хранить в ретроспективном списке, содержащем пользовательские пароли. Ни одну комбинацию из этого списка нельзя использовать в качестве нового пароля, когда приходит время смены пароля.

       – «Блокировка учетной записи». В поле «Блокировка после ... неудачных попыток входа» указывается предельное количество неудачных попыток регистрации. Это значение связано с другим числом, которое задается в поле «Сброс счетчика через ... мин» и определяет в течение какого времени следует вести отсчет неудачных попыток. Если количество неудачных попыток за заданный срок превысит предельное значение, бюджет будет заблокирован. В группе «Длительность блокировки» есть поле «Блокировать на... мин», содержащее время блокировки бюджета пользователя. Если установлен флажок «Постоянная (до снятия блокировки администратором)», бюджет блокируется вплоть до момента разблокирования администратором.

       Последняя опция («Для смены пароля пользователь должен войти в систему») в диалоговом окне «Политика учетных записей» требует от пользователя зарегистрироваться перед изменением пароля, чтобы пресечь попытку ввода просроченного пароля для регистрации в соответствии с подставным бюджетом.

       Администратор может присваивать пользователям  определенные права с помощью  приложения «Диспетчер пользователей» в диалоговом окне «Политика прав пользователей», которое вызывается из меню «Политика» командой «Права пользователей». Такие права, относящиеся к системе в целом, разрешают производить в системе некоторые действия, а именно регистрироваться на данном компьютере, создавать новые пользовательские бюджеты, изменять системное время, а также выполнять некоторые другие операции, перечисленные в диалоговом окне «Политика прав пользователей».

       Часто оказывается полезным отслеживать  применение пользователями присвоенных  им нрав – контролировать регистрацию пользователей с целью выявления неудачных попыток зарегистрироваться (означающих намерение обойти подсистему защиты Windows NT), фиксировать изменения, вносимые в бюджеты, следить за операциями доступа к файлам и т.д. Для этого администратору необходимо запустить приложение «Диспетчер пользователей» и установить в диалоговом окне «Политика аудита», вызываемом из меню «Политика» командой «Аудит», соответствующие флажки напротив операций, за успешным или неудачным выполнением которых нужно следить. Результаты аудита заносятся в специальный журнал.

       1.3 Управление доступом к объектам

       Защита  отдельных ресурсов (файлов, каталогов, разделов жесткого диска или принтеров) в Windows NT основана на принципе дискреционного контроля доступа. В соответствии с ним у каждого ресурса есть владелец, управляющий доступом к данному ресурсу со стороны других пользователей. Владельцем файла или каталога считается его создатель, разделом диска «владеет» человек, разбивший дисковое пространство на разделы, а принтером распоряжается тот, кто установил его в системе.

       В Windows NT существует два метода управления доступом к ресурсам: допуск на уровне файлов и на уровне каталогов. Под допуском здесь понимается правило, регламентирующее доступ пользователей к какому-либо ресурсу ОС.

       Чтобы определить допуск на уровне файлов, нужно  щелкнуть правой кнопкой мыши на соответствующем  ресурсе в программном приложении «Проводник» и указать опцию «Свойства». В появившемся диалоговом окне следует выбрать закладку «Безопасность» и щелкнуть мышью на кнопке «Разрешения». В диалоговом окне можно присвоить пользователям различные степени допуска – «чтение», «просмотр», «полный доступ» и другие. Для раздела диска или каталога допуск определяют вплоть до каждого файла или подкаталога, находящегося на данном разделе диска или в данном каталоге.

       Определение допуска к ресурсу на уровне каталогов  никак не влияет на доступ к входящим в его состав другим ресурсам (например, допуск к каталогу в этом случае никак не затрагивает допуски  к содержащимся в нем файлам и  подкаталогам). Такой способ предоставления допуска к ресурсу обычно используется для контроля за удаленным доступом к сетевым устройствам.