Стратегия безопасности в ОС Windows

Автор работы: Пользователь скрыл имя, 23 Января 2016 в 01:03, реферат

Описание работы

Управление перечисленными средствами обычно осуществляет систем¬ный администратор (сисадмин), если компьютеры конечных пользователей являются рабочими станциями локальной сети. При использовании компью¬тера в автономном режиме (вне сети) средства обеспечения безопасности на¬ходятся в распоряжении владельца, и он вправе воспользоваться ими, если его компьютер доступен нескольким пользователям.

Файлы: 1 файл

Стратегия безопасности в ОС Windows.docx

— 28.35 Кб (Скачать файл)

Стратегия безопасности в ОС Windows

Современные версии операционной системы (ОС) Windows базируются на сетевой ОС Windows NT, в которую были заложены сетевые возможности защиты информации. До сих пор остались в качестве основных следующие средства обеспечения безопасности: учетные записи, группы, права, разрешения и аудит безопасности.

Управление перечисленными средствами обычно осуществляет системный администратор (сисадмин), если компьютеры конечных пользователей являются рабочими станциями локальной сети. При использовании компьютера в автономном режиме (вне сети) средства обеспечения безопасности находятся в распоряжении владельца, и он вправе воспользоваться ими, если его компьютер доступен нескольким пользователям. Поэтому не исключены угрозы для данных как самого владельца, так и всех пользователей. Естественно, установки параметров безопасности согласовываются между всеми зарегистрированными пользователями (группами пользователей), дабы не ущемлять прав и функциональных обязанностей каждого из них.

Учетная запись идентифицирует пользователя (группу) по системному имени и паролю, которые должны быть правильно набраны при входе в компьютер, иначе доступ будет невозможен. Windows не требует обязательной установки паролей для учетных записей пользователей. Однако по соображениям безопасности настоятельно рекомендуется назначать пароли для всех учетных записей. При входе в рабочую станцию сети может быть добавлен третий (сетевой) идентификатор - имя сетевого домена. Домен - группа компьютеров с общими администрацией, базой данных каталога и политикой безопасности).

Пользователи создаются либо операционной системой (по умолчанию), либо административно - сисадмином или владельцем компьютера. Пользователи по умолчанию - «Система», «Создатель-владелец»5.

Группа пользователей удобнее для администрирования, чем индивидуальный пользователь. Назначая права группам, а не отдельным пользователям, можно упростить управление учетными записями пользователей. Так, если всем пользователям группы требуются одинаковые права, можно один раз назначить набор прав группе, вместо того чтобы назначать один и тот же набор прав каждому пользователю в отдельности. Пользователю, входящему в систему с учетной записью члена группы, обеспечивается автоматическое наследование прав, назначенных этой группе. Права, назначенные группе, применяются ко всем членам группы до тех пор, пока они в ней состоят. Права пользователей, являющихся членами нескольких

групп, суммируются. Это означает, что такой пользователь имеет более одного набора прав. Чтобы лишить пользователя прав, администратору достаточно удалить его из группы. При этом пользователь лишается прав, назначенных группе.

Группы, как и пользователи, создаются операционной системой (по умолчанию - встроенные группы) либо администратором и другими пользователями (при необходимости). Встроенными группами локальной сети могут быть «Администраторы», «Опытные пользователи», «Пользователи», «Операторы архива», «Репликатор», «Гости», «Все» и специальные группы. Встроенных групп автономного компьютера меньше: «Администраторы», «Пользователи», «Все».

Права определяют круг полномочий (функциональных возможностей и обязанностей), которые операционная система или сисадмин делегируют пользователям и группам. Только системный администратор обладает всей номенклатурой прав. Это же может себе позволить владелец автономного компьютера, наделенный правами сисадмина. Остальным пользователям и группам предоставляются ограниченные наборы прав. Права устанавливаются автоматически для встроенных групп и пользователей, созданных ОС, или административно для остальных групп и пользователей. Список прав каждого пользователя и каждой группы может быть административно изменен, даже если речь идет о встроенных группах и пользователях. Существуют два типа прав пользователей:

а) привилегии: право на архивацию файлов и папок, на загрузку и вы 
грузку драйверов устройств, управление аудитом и журналом безопасно 
сти, изменение параметров среды оборудования и др. - всего около трех 
десятков привилегий;

б) права на вход в систему: право локального входа в систему, входа в 
качестве службы, на доступ к компьютеру из сети и др. - всего около де 
сятка прав.

Права применяются к учетным записям пользователей и групп, в отличие от разрешений, применяемых к компьютерным ресурсам (объектам), которые эксплуатируются пользователями и группами.

Разрешения на доступ к ресурсам указывают, что можно, а чего нельзя делать с ресурсами, такими как диски, папки, файлы, периферийные устройства, службы и др. Так, основными разрешениями для работы с дисками, папками и файлами являются: полный доступ, изменение (значит, разрешить изменение атрибутов и редактирование данных), чтение и выполнение, чтение, запись (разрешить редактирование данных). Для дисков и папок дополнительное разрешение - список содержимого папки (значит, разрешить просмотр папки), Особые разрешения - удаление, удаление подпапок и файлов, чтение и смена разрешений, смена владельца и др.

Всего в файловой системе NTFS (NT File System) предусмотрено полтора десятка разрешений6. Для работы с принтером существуют разрешения на печать, управление принтером и документами (приостановка и возобновление работы принтера, изменение параметров очереди печати, предоставление принтера в совместное использование, изменение свойств печати, приостановка, возобновление, перезапуск, отмена и изменение порядка печати документов, отправленных другими пользователями).

Разрешения устанавливаются обычно администратором и владельцами ресурсов с обязательным указанием, кому из пользователей и групп они выданы. Если ресурс коллективный (общего пользования), то на него устанавливаются соответствующие разрешения, допускающие всех к пользованию этим ресурсом (например, к печати на сетевом принтере). Ресурсы ограниченного пользования наделяются разрешениями для ограниченного контингента пользователей и групп и запретами для остальных. Так, системный диск большинству пользователей открыт только для просмотра, чтения и копирования имеющихся дисковых ресурсов, но не для их редактирования и создания новых папок и файлов.

Разрешения на ресурс, выданные группе, могут наследоваться всеми пользователями данной группы (по усмотрению владельца ресурса), если только конкретным пользователям некоторые разрешения не урезаны (запрещены). Разрешения, выданные на «родительский» ресурс (объект), например диск или папку, по умолчанию наследуются «дочерними» объектами (вложенными папками, файлами). Но так же как и для групп, владелец того или иного объекта может «оспорить» разрешения на наследование и часть из них запретить (для папок).

Поскольку в спецификациях (установках) разрешений на ресурс присутствуют имена пользователей и групп, наделенных правами, возможны конфликты между правами и разрешениями, разрешениями и запретами (флажки Разрешить и Запретить в окне Безопасность ресурса). В этих случаях срабатывает системный протокол приоритетов, определяющий, кому отдать предпочтение в конфликте - праву, разрешению или запрету. В общем случае элементы запрета пользуются приоритетом перед элементами разрешения.

Аудит (проверка, ревизия) безопасности - отслеживание действий пользователей путем регистрации событий определенных типов в журнале безопасности. Регистрация таких событий необходима для определения злоумышленников и/или попыток поставить под угрозу системные и пользовательские данные. Примерами событий, подлежащих аудиту, являются попытки неудачного доступа к компьютеру, сети или ресурсу, несанкционированного управления учетными записями пользователей и групп.

Основные типы аудита: 1) вход в систему7; 2) управление учетными записями; 3) доступ к службе каталогов; 4) доступ к объектам; 5) изменение политики безопасности; 6) использование привилегий; 7) отслеживание процессов; 8) системные события.

Тот или иной аудит включается или выключается в параметрах безопасности Windows (Локальные политики\Политика аудита). В каждом включенном аудите можно задать проверку успехов или отказов: аудит успехов означает создание записи аудита при каждой успешной попытке (входе, доступе, управлении, изменении, использовании), аудит отказов -при каждой неудачной.

Включенный аудит, как «недреманное око», следит за вверенной ему «территорией безопасности» и фиксирует соответствующие события (успехи и отказы) в журналах безопасности, приложений и системном журнале. Эти журналы можно прочитать в окне просмотра событий.

Помимо перечисленных средств, в современных версиях Windows используются утилиты (служебные программы) безопасности, обеспечивающие:

  • криптографическую защиту файлов;
  • восстановление поврежденных данных и системных файлов;
  • защиту от вирусов и нежелательной Internet-информации;
  • защиту системных файлов Windows от несанкционированных попыток 
    их замены или перемещения;
  • анализ безопасности Windows, службы Internet и SQL-сервера и др.

По сравнению с Windows NT современные средства безопасности Windows усложнились настолько, что конечному пользователю даже на своем рабочем или домашнем компьютере мы не рекомендовали бы их использовать без специальной подготовки. Не надо забывать, что «заряженное ружье раз в год стреляет», в том числе, по своим, и во избежание риска лучше пригласить специалиста (например, системного администратора), способного грамотно решить проблемы безопасности на вашем компьютере. Тем более конечному пользователю не следует вмешиваться в систему безопасности локальной сети, имеющей свою администрацию. В крайнем случае есть смысл обратиться в системный Центр справки и поддержки (Пуск/ Справка и поддержка), содержащий свод детальных инструкций безопасности по каждой категории защиты.

Стратегия безопасности в Microsoft Office

Системные средства безопасности, вкратце описанные выше, ориентированы больше на профессионалов и в гораздо меньшей степени доступны для конечного пользователя. Последний не должен считать такое к

себе отношение дискриминацией со стороны системного администратора. Наоборот, жесткая регламентация возможных действий пользователя в среде системной безопасности - в его же интересах. Принцип прост: чем меньше разрешено, тем меньше натворишь. «Резвиться» в разумных пределах пользователю дозволено в приложениях MS Office, где в худшем случае проблемы безопасности могут возникнуть только для его папок и файлов, но не для ресурсов, находящихся под контролем других пользователей.

Конечно, это не слишком сильное утешение, ибо любознательный пользователь, склонный к непослушанию, способен преодолеть любые запреты и в попытке обезопасить себя может нарушить систему безопасности всего компьютера или компьютерной сети. Даже у добропорядочного, но беспечного пользователя не исключены внешние вирусные атаки на его файлы, в результате чего занесенная инфекция может распространиться на всю файловую систему с фатальным исходом для нее. Поэтому даже за мощной системной защитной стеной ни один пользователь не может пребывать в абсолютной безопасности и должен сам принять доступные меры защиты своих данных, помня, что от него в определенной мере зависит безопасность всей файловой системы, включая операционную систему.

Кроме того, пользователь должен уметь защищать данные от самого себя в том смысле, что против своей воли он может ввести ошибочные данные, которые, будучи необнаруженными и неисправленными, после обработки приведут к ошибочным результатам и решениям.

Приложения MS Office (совместно с Windows) обладают рядом простейших и в меру эффективных защитных средств, доступных любому пользователю. К ним относятся средства защиты:

  • от несанкционированного доступа и чтения;
  • несанкционированного редактирования;
  • ошибок ввода данных.

Что касается средств защиты от компьютерных вирусов, то в приложениях MS Office предприняты некоторые профилактические меры предосторожности в отношении макросов - VBA-программ8, но они явно недостаточны, ибо не позволяют обнаружить вирусы и излечить от них. Для этого понадобятся системные антивирусные утилиты. Аналогичная ситуация характерна для средств защиты от несанкционированного копирования и удаления данных, средств восстановления утерянных и испорченных данных. Меры защиты, предлагаемые в офисных приложениях, недостаточны для полноценного решения данных проблем. Здесь также придется использовать системные меры безопасности и утилиты.

Таким образом, стратегия безопасности данных в MS Office двухуровневая. На нижнем (пользовательском) уровне офисные приложения совместно с Windows предоставляют пользователю простейшие меры защиты, которыми он вправе распоряжаться по своему усмотрению применительно к собственным папкам и файлам. При этом к простейшим системным средствам относятся средства защиты, предоставляемые в файловых мониторах Windows, с которыми работает пользователь в рамках прав пользователя и разрешений на ресурсы. Вне своих прав (в сложных случаях) пользователь может обратиться к верхнему (системному) уровню, но только под контролем и с разрешения администратора сети или компьютера. Такая стратегия представляется оптимальной для решения практических задач безопасности в многопользовательском режиме работы.

 


Информация о работе Стратегия безопасности в ОС Windows