Основные встроенные механизмы защиты ОС и их недостатки
Разглядим два метода, которыми в общем случае можно воплотить данный механизм, и покажем их несостоятельность в ОС Windows. Итак, механизм замкнутости программной среды в общем случае может быть обеспечен:
Заданием перечня разрешенных к запуску действий с предоставлением способности юзерам запускать процессы лишь из этого перечня. При всем этом процессы задаются полнопутевыми именами, при этом средствами разграничения доступа обеспечивается невозможность их модернизации юзером. Данный подход просто не реализуется встроенными в ОС механизмами.
Разрешением пуска юзерами программ лишь из данных каталогов при невозможности модернизации этих каталогов. Одним из критерий корректной реализации данного подхода является запрет юзерам пуска программ по другому, чем из, соответственных каталогов. Некорректность реализации ОС Windows данного подхода связана с невыполнимостью установки атрибута «выполнение» на устройства ввода (дисковод либо CD-ROM). В связи с этим при разграничении доступа юзер может запустить несанкционированную программу с дискеты, или с диска CD-ROM (как дальше увидим - это чрезвычайно распространенная атака на ОС данного семейства).
Тут же стоит отметить, что исходя из убеждений обеспечения замкнутости программной среды (т.е. реализации механизма, обеспечивающего возможность юзерам запускать лишь санкционированные процессы (программы)) деяния юзера по запуску процесса могут быть как явными, так и сокрытыми.
Явные деяния подразумевают пуск действий (исполняемых файлов), которые однозначно идентифицируются своим именованием. Сокрытые деяния разрешают осуществлять интегрированные в приложения интерпретаторы команд. Примером таких могут служить офисные приложения. При всем этом сокрытыми действиями юзера будет пуск макроса.
В данном случае идентификации подлежит только фактически приложение, к примеру, процесс winword.exe. При всем этом он может кроме собственных регламентированных действий делать те сокрытые деяния, которые задаются макросом (соответственно, те, которые допускаются интерпретатором), хранящимся в открываемом документе. То же относится и к любой виртуальной машине, содержащей интегрированный интерпретатор команд. При всем этом отметим, что при использовании приложений, имеющих интегрированные интерпретаторы команд (в том числе офисных приложений), не в полном объеме обеспечивается выполнение требования по идентификации программ.
Возвращаясь к дискуссии недочетов, отметим, что в ОС семейства Windows (NT/2000/XP) нереально встроенными средствами гарантированно удалять остаточную информацию. В системе просто отсутствуют соответствующие механизмы.
<< В начало < Предыдущая 1 2 3 4 5 6 Следующая > В конец >>
Заданием перечня разрешенных к запуску действий с предоставлением способности юзерам запускать процессы лишь из этого перечня. При всем этом процессы задаются полнопутевыми именами, при этом средствами разграничения доступа обеспечивается невозможность их модернизации юзером. Данный подход просто не реализуется встроенными в ОС механизмами.
Разрешением пуска юзерами программ лишь из данных каталогов при невозможности модернизации этих каталогов. Одним из критерий корректной реализации данного подхода является запрет юзерам пуска программ по другому, чем из, соответственных каталогов. Некорректность реализации ОС Windows данного подхода связана с невыполнимостью установки атрибута «выполнение» на устройства ввода (дисковод либо CD-ROM). В связи с этим при разграничении доступа юзер может запустить несанкционированную программу с дискеты, или с диска CD-ROM (как дальше увидим - это чрезвычайно распространенная атака на ОС данного семейства).
Тут же стоит отметить, что исходя из убеждений обеспечения замкнутости программной среды (т.е. реализации механизма, обеспечивающего возможность юзерам запускать лишь санкционированные процессы (программы)) деяния юзера по запуску процесса могут быть как явными, так и сокрытыми.
Явные деяния подразумевают пуск действий (исполняемых файлов), которые однозначно идентифицируются своим именованием. Сокрытые деяния разрешают осуществлять интегрированные в приложения интерпретаторы команд. Примером таких могут служить офисные приложения. При всем этом сокрытыми действиями юзера будет пуск макроса.
В данном случае идентификации подлежит только фактически приложение, к примеру, процесс winword.exe. При всем этом он может кроме собственных регламентированных действий делать те сокрытые деяния, которые задаются макросом (соответственно, те, которые допускаются интерпретатором), хранящимся в открываемом документе. То же относится и к любой виртуальной машине, содержащей интегрированный интерпретатор команд. При всем этом отметим, что при использовании приложений, имеющих интегрированные интерпретаторы команд (в том числе офисных приложений), не в полном объеме обеспечивается выполнение требования по идентификации программ.
Возвращаясь к дискуссии недочетов, отметим, что в ОС семейства Windows (NT/2000/XP) нереально встроенными средствами гарантированно удалять остаточную информацию. В системе просто отсутствуют соответствующие механизмы.