Разработка микропроцессорного устройства управления

Федеральное агентство  железнодорожного транспорта

Омский государственный  университет путей сообщения

 

 

Кафедра «Автоматика  и системы управления»

 

 

 

 

 

 

 

 

«Основные принципы системы  безопасности»

 

 

Контрольная работа

по дисциплине:

«Администрирование в информационных системах»

 

 

 

 

 

 

Студент гр. ИС-0719

 

______Н.Н. Бутакова

«___»______2012 г.

 

Руководитель 

     _________С.А. Когут

«___»______2012 г.

 

 

 

 

 

 

 

 

Омск 2012

Содержание

 

Введение

Большинство проблем, связанных с безопасностью в последних версиях Windows были вызваны одной главной причиной: большинство пользователей запускали Windows, обладая правами администратора. Администраторы могут делать все что угодно с компьютером, работающим под управлением Windows: инсталлировать программы, добавлять устройства, обновлять драйвера, инсталлировать обновления, изменять параметры реестра, запускать служебные программы, а также создавать и модифицировать учетные записи пользователей. Несмотря на то, что это очень удобно, наличие этих прав приводит к возникновению огромной проблемы: любая шпионская программа, внедрившаяся в систему, тоже сможет работать, имея права администратора, и, таким образом, может нанести огромный урон, как самому компьютеру, так и всему, что к нему подключено.

В Windows XP эту проблему пытались решить путем создания второго  уровня учетных записей, называемых ограниченными пользователями, которые обладали только самыми необходимыми разрешениями, но имели ряд недостатков. В Windows Vista снова попытались устранить эту проблему. Это решение называется «Контроль учетных записей пользователей», в основе которого был заложен принцип наименее привилегированного пользователя. Идея заключается в том, чтобы создать уровень учетной записи, который бы имел прав не больше, чем ему требовалось. Под такими учетными записями невозможно вносить изменения в реестр и выполнять другие административные задачи. Контроль учетных записей используется для уведомления пользователя перед внесением изменений, требующих прав администратора. С появлением UAC модель управления доступом изменилась таким образом, чтобы можно было помочь смягчить последствия, вносимые вредоносными программами. Когда пользователь пытается запустить определенные компоненты системы или службы, появляется диалог контроля учетными записями, который дает пользователю право выбора: продолжать ли действие для получения административных привилегий или нет. Если пользователь не обладает правами администратора, то он должен в соответствующем диалоге предоставить данные учетной записи администратора для запуска необходимой ему программы. Для применения установок UAC требует только одобрение администратора, в связи с этим несанкционированные приложения не смогут устанавливаться без явного согласия администратора.

 

1 Учетная запись  пользователя

Учетная запись – запись, содержащая сведения, которые пользователь сообщает о себе некоторой компьютерной системе.

Учетная запись, как правило, содержит сведения, необходимые для идентификации пользователя при подключении к системе, информацию для авторизации и учета. Это имя пользователя и пароль (или другое аналогичное средство аутентификации – например, биометрические характеристики). Пароль или его аналог, как правило, хранится в зашифрованном или хэшированном виде (в целях его безопасности).

Большинство пользователей Интернета  воспринимают учетную запись, как личную страничку, кабинет, возможно даже, место хранения личной и другой информации на определенном интернет-ресурсе (платформе).

Для повышения надежности могут быть, наряду с паролем, предусмотрены иные средства аутентификации – например, специальный секретный вопрос (или несколько вопросов) такого содержания, что ответ может быть известен только пользователю. Такие вопросы и ответы также хранятся в учетной записи.

Учетная запись может содержать также дополнительные анкетные данные о пользователе – имя, фамилию, отчество, псевдоним, пол, национальность, расовую принадлежность, вероисповедание, группу крови, резус-фактор, возраст, дату рождения, знак Зодиака и (или) восточного гороскопа, адрес e-mail, домашний адрес, рабочий адрес, нетмейловый адрес, номер домашнего телефона, номер рабочего телефона, номер сотового телефона, номер ICQ, идентификатор Skype, ник в IRC, другие контактные данные систем мгновенного обмена сообщениями, адрес домашней страницы и/или блога в Паутинеили интранете, сведения о хобби, о круге интересов, о семье, о перенесённых болезнях, о политических предпочтениях, о партийной принадлежности, о культурных предпочтениях, об умении общаться на иностранных языках, о принесенных обетах и так далее. Конкретные категории данных, которые могут быть внесены в такую анкету, определяются создателями и (или) администраторами системы.

Учетная запись может также содержать одну или несколько фотографий или аватар пользователя.

Учетная запись пользователя также может учитывать различные статистические характеристики поведения пользователя в системе: давность последнего входа в систему, продолжительность последнего пребывания в системе, адрес использованного при подключении компьютера, интенсивность использования системы, суммарное и (или) удельное количество определенных операций, произведённых в системе, и так далее.

Сети могут поддерживать тысячи учетных записей (accounts). Бывают случаи, когда администратор должен произвести одни и те же действия над  каждой из этих записей или, по крайней мере, над значительной их частью.

Иногда администратор  вынужден посылать одно и то же сообщение  большому количеству пользователей (извещая  их о каком-либо событии) или определять, какие пользователи должны иметь  доступ к определенным ресурсам. Для этого администратору необходимо модифицировать каждую учетную запись, изменяя в ней права доступа конкретного пользователя. Если 100 человек нуждаются в разрешении на использование какого-нибудь ресурса, администратор должен по очереди предоставить это право каждому из ста.

Практически все сети решают эту проблему, предлагая объединить отдельные пользовательские учетные  записи в одну учетную запись специального типа, называемую группой. Группа (group) – это учетная запись, которая содержит другие учетные записи. Основная причина реализации групп – упрощение администрирования. Группы предоставляют администраторам возможность оперировать большим числом пользователей как одним сетевым пользователем.

 Если 100 учетных записей  объединены в группу, администратор может послать группе одно сообщение, и все ее члены автоматически получат его. Аналогично право на доступ к ресурсу можно присвоить группе, и все ее члены получат его.

1.1 Планирование групп

Поскольку группы – очень мощный инструмент администрирования, при планировании сети им необходимо уделять особое внимание. Опытные администраторы знают, что практически не должно быть индивидуальных пользователей сети. Каждый пользователь будет разделять с другими определенные привилегии и обязанности. Привилегии (rights) уполномочивают пользователя на выполнение некоторых действий в системе. Например, он может иметь привилегию проводить резервное копирование системы. Привилегии относятся к системе в целом и этим отличаются от прав. Права (permissions) и привилегии должны быть присвоены группам так, чтобы администратор мог обращаться с ними, как с одиночными пользователями.

Группы помогают осуществить следующие действия:

• предоставить доступ к ресурсам (таким, как файлы, каталоги и принтеры). Права, предоставленные группе, автоматически предоставляются ее членам;
• предоставить привилегии для выполнения системных задач (таких, как резервное копирование, восстановление файлов (с резервных копий) или изменение системного времени). По умолчанию ни одному из пользователей ни одна из привилегий не присваивается. Пользователи получают привилегии через членство в группах;
• упростить связь за счет уменьшения количества подготавливаемых и передаваемых сообщений.

1.2 Создание групп

Создание групп подобно  созданию учетной записи индивидуального пользователя. Большинство сетей имеет утилиты, с помощью которых администратор может формировать новые группы. В Microsoft Windows NT Server эта программа называется User Manager for Domains и находится в группе программAdministrative Tools.

Запустив утилиту User Manager,  выберите из меню User команду New Local Group…, появится одноименное диалоговое окно, предназначенное для ввода информации о новой локальной группе.

Поясним назначение полей, заполняемых при создании новых групп:

• group Name – идентифицирует локальную группу. Имя группы не должно совпадать с именем какой-либо другой группы (или пользователя) в администрируемом домене или компьютере. Оно может содержать любые символы произвольного регистра, исключая следующие;
• description – содержит текст, описывающий группу или пользователей этой группы.

Основное различие между  созданием группы и созданием  индивидуального пользователя состоит  в том, что группа должна «знать», какие пользователи являются ее членами. Поэтому задача администратора — выбрать соответствующих пользователей и присвоить их группе.

1.3 Типы групп

Microsoft Windows NT Server использует группы четырех типов:

• локальные (local) группы.

          Группы этого типа реализуются в базе данных учетных записей отдельного компьютера. Локальные группы состоят из учетных записей пользователей, которые имеют права и привилегии на локальном компьютере, и учетных записей глобальных групп;

• глобальные (global) группы.

Группы этого типа используются в границах всего домена. Глобальные группы регистрируются на главном контроллере домена (РОС) и могут содержать только тех пользователей, чьи учетные записи находятся в базе данных этого домена;

• специальные (special) группы.

          Эти группы обычно используются Windows NT Server для внутрисистемных нужд;

• встроенные (built-in) группы.

Некоторые функции групп  этого типа общие для всех сетей. К ним относится большинство  задач администрирования и обслуживания. Чтобы выполнять некоторые стандартные  операции, администраторы должны создавать  учетные записи пользователей и группы с соответствующими привилегиями, однако многие поставщики сетей избавляют администраторов от этих хлопот, предлагая им встроенные локальные или глобальные группы.

Встроенные группы делятся  на три категории:

• администраторы – пользователи этих групп имеют максимально возможные привилегии;
• операторы – пользователи этих групп имеют ограниченные административные возможности для выполнения специфических задач;
• другие – пользователи этих групп выполняют ограниченные задачи.

Простейший метод предоставить одинаковые права большому количеству пользователей – присвоить эти права группе, а затем добавить в группу пользователей. Аналогично добавляются пользователи во встроенную группу. Например, если администратор захочет, чтобы какой-то пользователь выполнял в сети административные задачи, он сделает этого пользователя членом группы Administrators.

1.4 Блокирование и удаление учетных записей пользователей

Иногда администратор  должен исключить возможность использования  в сети какой – нибудь учетной записи. Этого можно достичь ее блокированием или удалением.

Если учетную запись заблокировать, она по-прежнему будет  находиться в базе данных учетных  записей сети, однако никто не сможет использовать ее для входа в сеть. Блокированная учетная запись как бы не существует.

Администратору следует  отключить учетную запись сразу  после того, как пользователь кончил с ней работать. Если станет ясно, что учетная запись вообще больше не понадобится, ее можно удалить.

Для блокировки учетных  записей пользователей в Windows NT Server служит окно User Properties программы User Manager. Чтобы заблокировать пользователя, дважды щелкните имя его учетной записи, установите флажок Account Disabled, а затем щелкните ОК. Теперь учетная запись заблокирована.

Удаление учетной записи уничтожает информацию о пользователе в базе данных учетных записей сети; пользователь больше не сможет получить доступ к сети.

Учетная запись пользователя должна быть удалена в следующих  случаях:

• пользователь уволился из организации;
• окончился срок найма пользователя;
• пользователь сменил рабочее место внутри организации (его доступ к данной сети необходимо закрыть).

Процесс удаления пользователя обычно несложен: надо выбрать имя  учетной записи и щелкнуть кнопку в диалоговом окне. В Microsoft Windows NT Server, например, для удаления учетных записей пользователей служит программа User Manager for Domains. Выберите учетную запись, которую нужно удалить, затем нажмите клавишу DELETE. Подтвердив, что Вы действительно хотите удалить учетную запись, щелкните OK – учетная запись будет удалена.

 

2 Идентификаторы защиты (SID)

До настоящего времени  мы говорили об элементах системы безопасности, пользуясь их «общими» названиям, такими как администратор или группа администраторов домена Domain Admins. Но внутри систем семейства Windows NT каждый из этих объектов представлен глобально уникальным 48-разрядным числом, которое называется идентификатором системы защиты или SID (Security Identifier). Такой подход позволяет системе различать, например, локальную учетную запись Administrator компьютера А и одноименную локальную учетную запись Administrator компьютера.

В идентификатор SID состоит  из нескольких частей. Рассмотрим пример такого идентификатора.

S-1-5-21-1507001333-1204550764-1011284298-500.

Перед идентификатором SID ставится буква S, а его части разделяются дефисами. Первое число (в данном случае 1) является номером редакции, второе – значение полномочий идентификатора (для Windows Server 2003 это всегда 5). Далее следуют четыре значения под полномочий (в рассматриваемом примере это двадцать один и три длинные последовательности цифр), а последним указывается относительный идентификатор (RID – Relative Identifier) (в нашем примере его значение равно 500).