Основные встроенные механизмы защиты ОС и их недостатки
Из приведенного анализа видно, что почти все механизмы, нужные с точки зрения выполнения формализованных требований, большинством ОС семейства UNIX не реализуется в принципе, или реализуется только отчасти.
Главные защитные механизмы ОС семейства Windows(NT/2000/XP).
Сейчас коротко остановимся на главных механизмах защиты, реализованных в ОС семейства Windows, и проведем анализ защищенности ОС семейства Windows (NT/2000). Отметим, что тут ряд объектов доступа (в частности, устройства, реестр ОС и т.д.) не являются объектами файловой системы. Потому возникает вопрос, как надо трактовать требование?
Система защиты обязана контролировать доступ наименованных субъектов (пользователей) к наименованным объектам (файлам, программкам, томам и т . д . ) ?. Другими словами, не ясно, являются ли объектами доступа, к которым, следуя формальным требованиям, нужно разграничивать доступ пользователей, к примеру, реестр ОС и т.д.
В отличие от семейства ОС UNIX, где все задачи разграничительной политики доступа к ресурсам решаются средствами управления доступом к объектам файловой системы, доступ в данных ОС разграничивается своим механизмом для каждого ресурса. Иными словами, при рассмотрении устройств защиты ОС Windows встает задача определения и задания требований к полноте разграничений (это определяется тем, что считать объектом доступа).
Также, как и для семейства ОС UNIX, тут основными механизмами защиты являются:
- идентификация и аутентификация юзера при входе в систему;
- разграничение прав доступа к ресурсам, в базе которого лежит реализация дискреционной модели доступа (раздельно к объектам файловой системы, к устройствам, к реестру ОС, к принтерам и др.);
- аудит, другими словами регистрация событий.
Тут очевидно выделяются (в топовую сторону) способности разграничений прав доступа к файловым объектам (для NTFS) — значительно расширены атрибуты доступа, устанавливаемые на разные иерархические объекты файловой системы (логические диски, сборники, файлы). А именно, атрибут "выполнение" может устанавливаться и на каталог, тогда он наследуется надлежащими файлами (в отличие от ОС семейства UNIX).
Анализ защищенности современных операционных систем при всем этом значительно ограничены способности управления доступом к иным защищаемым ресурсам, а именно, к устройствам ввода. Например, тут отсутствует атрибут "выполнение", т.е. нереально запретить пуск несанкционированной программы с устройств ввода. Уютные коттеджи: строительство домов из пенобетона, сезонные скидки.
<< В начало < Предыдущая 1 2 3 4 5 6 Следующая > В конец >>
Главные защитные механизмы ОС семейства Windows(NT/2000/XP).
Сейчас коротко остановимся на главных механизмах защиты, реализованных в ОС семейства Windows, и проведем анализ защищенности ОС семейства Windows (NT/2000). Отметим, что тут ряд объектов доступа (в частности, устройства, реестр ОС и т.д.) не являются объектами файловой системы. Потому возникает вопрос, как надо трактовать требование?
Система защиты обязана контролировать доступ наименованных субъектов (пользователей) к наименованным объектам (файлам, программкам, томам и т . д . ) ?. Другими словами, не ясно, являются ли объектами доступа, к которым, следуя формальным требованиям, нужно разграничивать доступ пользователей, к примеру, реестр ОС и т.д.
В отличие от семейства ОС UNIX, где все задачи разграничительной политики доступа к ресурсам решаются средствами управления доступом к объектам файловой системы, доступ в данных ОС разграничивается своим механизмом для каждого ресурса. Иными словами, при рассмотрении устройств защиты ОС Windows встает задача определения и задания требований к полноте разграничений (это определяется тем, что считать объектом доступа).
Также, как и для семейства ОС UNIX, тут основными механизмами защиты являются:
- идентификация и аутентификация юзера при входе в систему;
- разграничение прав доступа к ресурсам, в базе которого лежит реализация дискреционной модели доступа (раздельно к объектам файловой системы, к устройствам, к реестру ОС, к принтерам и др.);
- аудит, другими словами регистрация событий.
Тут очевидно выделяются (в топовую сторону) способности разграничений прав доступа к файловым объектам (для NTFS) — значительно расширены атрибуты доступа, устанавливаемые на разные иерархические объекты файловой системы (логические диски, сборники, файлы). А именно, атрибут "выполнение" может устанавливаться и на каталог, тогда он наследуется надлежащими файлами (в отличие от ОС семейства UNIX).
Анализ защищенности современных операционных систем при всем этом значительно ограничены способности управления доступом к иным защищаемым ресурсам, а именно, к устройствам ввода. Например, тут отсутствует атрибут "выполнение", т.е. нереально запретить пуск несанкционированной программы с устройств ввода. Уютные коттеджи: строительство домов из пенобетона, сезонные скидки.