Разграничение доступа субъектов к объектам КС
Для разграничения доступа субъектов к объектам КС в защищенных версиях ОС Windows используется дискреционное управление доступом.
С объектом разграничения доступа связывается дескриптор безопасности SD (security descriptor), содержащий следующую информацию:
идентификатор безопасности (SID) владельца объекта;
идентификатор безопасности первичной группы владельца;
дискреционный список контроля доступа (DACL);
системный список контроля доступа (SACL).
Список SACL управляется администратором системы. Список DACL управляется владельцем объекта и предназначен для идентификации пользователей и групп, которым предоставлен или запрещен определенный тип доступа к объекту. Каждый элемент списка DACL (access control entry, ACE) определяет права доступа к объекту для одного пользователя или группы. Каждый ACE содержит следующую информацию:
идентификатор безопасности SID субъекта, для которого определяются права доступа;
маска доступа (access mask, AM), которая специфицирует права доступа к контролируемым данным;
тип ACE;
признак наследования прав доступа к объекту, определенных для родительского объекта.
Элементы списка DACL могут быть двух типов: разрешающие и запрещающие права доступа. Элементы, запрещающие доступ, располагаются в начале списка перед элементами, разрешающими доступ.
Право доступа субъекта к объекту означает возможность обращения субъекта к объекту с помощью определенного метода (типа) доступа. В защищенных версиях ОС Windows различают специальные, стандартные и общие (generic) права доступа к объектам.
Специальные права доступа к объектам определяют возможность обращения к объекту по свойственному только данной категории объектов методу: чтение данных из объекта, запись данных в объект, чтение атрибутов объекта, выполнение программного файла и т.д.
Стандартные права доступа к объектам определяют возможность доступа к объекту по методу, применимому к любому объекту, - изменение владельца объекта, изменение списка DACL объекта, удаление объекта и т.д.
Каждое из общих прав доступа к объектам представляет собой комбинацию специальных и стандартныъ прав и предоставляет возможность обращения к объекту с помощью некоторого набора методов доступа.
Определены следующие общие права доступа:
чтение, включающее в себя чтение DACL объекта, чтение данных из объекта, чтение его атрибутов и расширенных атрибутов, использование объекта для синхронизации;
запись, включающая в себя чтение DACL объекта, запись и добавление данных в объект, запись его атрибутов и расширенных атрибутов, использование объекта для синхронизации;
выполнение, включающее в себя чтение DACL объекта, чтение его атрибутов, выполнение программного файла и использование объекта для синхронизации;
все действия с объектом.
Маркер доступа субъекта, обращающегося к некоторому объекту КС, поступает в локальную службу безопасности LSA. От LSA маркер доступа поступает к монитору безопасных ссылок (security reference monitor, SRM), который просматривает DACL из дескриптора безопасности SD соответствующего объекта и принимает решение R о предоставлении доступа субъекту или отказе в доступе (рис.28).
Рис. 28. Проверка прав доступа субъекта к объекту
Получив от SRM результат R, LSA передает его субъекту, запросившему доступ к объекту.
Монитор безопасных ссылок использует следующий алгоритм проверки запрошенных субъектом прав доступа к объекту.
1. Если SID из маркера доступа субъекта АТ не совпадает с SID, содержащемся в элементе АСЕ списка контроля доступа к объекту, то осуществляется переход к следующему АСЕ, в противном случае – переход к п.2.
2. Если в элементе АСЕ запрешается доступ к объекту для субъекта с данным SID, но этот субъект является владельцем объекта (его идентификатор безопасности совпадает с SID владельца из дескриптора безопасности SD объекта) и запрашиваемая маска доступа содержит только попытку доступа к объекту по методу «чтение (или) изменение дискреционного списка контроля доступа к объекту», то доступ субъекта к объекту разрешается, в противном случае – осуществляется переход к п. 3.
3. Если в элементе АСЕ запрещается доступ к объекту для субъекта с данным SID , то сравниваются запрашиваемая маска доступа и маска доступа, определенная в АСЕ. Если при сравнении находится хотя бы один общий метод доступа, то попытка доступа субъекта к объекту отклоняется, в противном случае – происходит переход к следующему АСЕ.
4. Если в элементе АСЕ разрешается доступ к объекту для субъекта с данным SID, то также сравниваются запрашиваемая маска доступа и маска доступа, определенная в АСЕ. Если при этом маски доступа полностью совпадают, то доступ субъекта к объекту разрешается, в противном случае – происходитпереход к следующему АСЕ.
5. Если достигнут конец списка DACL из дескриптора безопасности объекта, то попытка доступа субъекта к объекту отклоняется.
Если у объекта КС нет дескриптора безопасности (например, у папок и файлов, размещенных на дисках под управлением файловой системы FAT), то любые пользователи и группы могут получить любые права доступа к данному объекту.
Пользователи КС для назначения субъектам КС прав доступа к файлам и папкам на дисках с файловой системой NTFS, чьими создателями-владельцами они являются, должны применять средства проводника Windows. Для этого выполняются команды «Общий доступ и безопасность» или «Свойства» контекстного меню папки либо команда «Свойства» контекстного меню файла (в операционной системе Windows XP необходимо выключить режим «Использовать простой общий доступ к файлам» на вкладке «Вид» окна свойств папки). Кнопки «Добавить» и «Удалить» позволяют изменять число элементов АСЕ в списке DACL, а в окне «Разрешения для имя субъекта» можно устанавливать общие права доступа к объекту конкретным пользователям и группам.
Нажатие кнопки «Дополнительно» позволяет отобразить окно настроек дополнительных параметров безопасности для объекта. На вкладке «Разрешения» можно посмотреть и при необходимости изменить любые (в том числе и специальные) права доступа к объекту. На вкладке «Владелец» можно просмотреть и при наличии соответствующей привилегии изменить информацию о владельце объекта (записать в SID владельца в дескрипторе безопасности объекта свой SID).
На вкладке «Действующие разрешения» можно проверить, какие права доступа к объекту установлены для конкретного пользователя или группы, которые выбираются с помощью кнопки «Выбрать».
Разграничение доступа субъектов к разделам реестра Windows XP производится с помощью системной программы regedit (команда «Разрешения» меню «Правка»), а в ОС Windows NT/2000 – с помощью системной программы regedt32 (меню «Безопасность»). Отметим, что разграничение доступа к разделам реестра возможно при любой используемой для хранения реестра файловой системе.
В защищенных версиях ОС Windows реализован подход, в соответствии с которым каждому процессу выделяется индивидуальное адресное пространство, которое аппаратно изолировано от адресных пространств других процессов. В этом случае, какой бы адрес оперативной памяти не использовался в процессе, невозможно обращение к памяти, выделенной другому процессу, так как одному и тому же значению адреса в разных адресных пространствах соответствуют различные физические адреса оперативной памяти компьютера.
6. АЛГОРИТМЫ АУТЕНТИФИКАЦИИ
ПОЛЬЗОВАТЕЛЕЙ
6.1. Способы аутентификации пользователей в КС
Основными способами защиты от несанкционированного доступа к информации в КС являются
аутентификация пользователей;
авторизация (определение прав доступа субъекта к объекту с конфиденциальной информацией);
шифрование информации.
Способы аутентификации пользователей в КС можно разделить на три группы.
К первой группе относятся способы аутентификации, основанные на том, что пользователь знает некоторую подтверждающую его подлинность информацию (парольная защита и аутентификация на основе модели «рукопожатия»).
Ко второй группе относятся способы аутентификации, основанные на том, что пользователь имеет некоторый материальный объект, который может подтвердить его подлинность (например, пластиковую карту с идентифицирующей пользователя информацией).
К третьей группе относятся способы аутентификации, основанные на таких данных, которые позволяют однозначно считать, что пользователь и есть тот самый субъект, за которого себя выдает (биометрические данные, особенности клавиатурного почерка и росписи мышью и т.п.).
В руководящих документах Гостехкомиссии России в АС, отнесенных к классу защищенности 1Д, должна осуществляться идентификация и проверка подлинности субъекта при входе в систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов. Для классов защищенности 1Г и 1В дополнительно требуется использовать идентификатор (код, логическое имя) пользователя. Для отнесения АС к классу защищенности 1Б дополнительно необходимо использовать пароль временного действия длиной не менее восьми буквенно-цифровых символов. В требованиях к классу защищенности 1А определена необходимость применения пользователями при входе в АС биометрических характеристик или специальных устройств (жетонов, карт, электронных ключей) и пароля временного действия длиной не менее восьми буквенно-цифровых символов.