Лабораторная работа №2 «Система безопасности Windows xp» icon

Лабораторная работа №2 «Система безопасности Windows xp»



НазваниеЛабораторная работа №2 «Система безопасности Windows xp»
Дата конвертации11.09.2012
Размер58.43 Kb.
ТипЛабораторная работа

Лабораторная работа № 2 «Система безопасности Windows XP» Цель работы: Изучить систему безопасности Windows XP

Описание работы:

В операционной системы Windows XP существует единая система для идентификации, проверки подлинности, контроля доступа и записи информации о событиях связанных с безопасностью. В рамках данной архитектуры все процессы Windows XP подчиняются требованиям системы безопасности. Последняя включает в себя несколько основных компонентов (рис 1).



Рис. 1. ^ Компоненты системы безопасности.

Процессы входа в систему (logon processes) обрабатывают запросы пользователей о входе в систему. Сюда включается начальный интерактивный вход в систему, осуществляемый через диалоговое окно входа пользователя, и процессы удаленного входа, открывающие доступ к серверу с удаленных компьютеров.

Центральная часть системы безопасности Windows XP - ^ Локальный администратор безопасности (Local Security Authority, LSA) - проверяет, есть ли у пользователя необходимые полномочия для входа в систему. Этот компонент создает маркеры доступа, управляет локальными правами безопасности (local security policy), обеспечивает службы интерактивной проверки подлинности. LSA также контролирует правила аудита и записывает в журнал аудита сообщения, полученные от монитора безопасности.

При старте операционной системы вначале запускается подсистема Win32, которая автоматически инициализирует процесс winlogon.exe запускающий в свою очередь Локальный администратор безопасности (Isass.exe). Лишь после этого winlogon выводит диалоговое окно Press Ctrl+Alt+DeJ to log on.

Журнал аудита (Security log) содержит записи о событиях, связанных с работой системы безопасности. Сюда может заносится информация о входах пользователей изменениях в базе учетных записей и системной политике, событиях доступа пользователей к секретным файлам.


Пакет проверки подлинности (Authentication package) проверяет подлинность пользователя. Windows XP no умолчанию использует пакет проверки подлинности MSV1_0, однако эта операционная система может поддерживать несколько таких пакетов выполненных как динамические библиотеки DLL.

Пакет MSV1_0 обращается к диспетчеру учетных записей, причем последний может находится как на локальном так и на удаленном компьютере, Технически это достигается разбиением пакета на две части. Одна выполняется на компьютере, где осуществляется вход пользователя, другая - на компьютере, который хранит базу учетных записей.
Пакет MSV1_0 по имени домена определяет, где находится база данных учетных записей, и, если она расположена на удаленном компьютере, первая часть пакета передает запрос на удаленный компьютер, где вторая часть пакета MSV1_0 проверяет подлинность. Этот процесс; называется сквозной проверкой подлинности.

Диспетчер учетных записей (Security Account Manager, SAM) поддерживает базу данных учетных записей (Security Account Database). В ней хранятся все учетные записи пользователей и групп. Эта база является частью реестра операционной системы и недоступна обычным пользователям в ходе нормальной работы. SAM обеспечивает службы подтверждения подлинности пользователя, используемые администратором локальной безопасности.

Монитор безопасности (Security Reference Monitor, SRM) проверяет, имеет ли пользователь достаточные права для доступа к объекту. В отличие о других компонентов система безопасности он работает в режиме ядра. Компоненты ядра и пользовательские процессы обращаются к монитору безопасности, чтобы выяснить, имеют ли право пользователи и процессы получить доступ к объекту.

SRM хранит в себе весь код, ответственный за подтверждение доступа, и это единственна копия данного кода для любой системы Windows XP. Благодаря этому все проверки выполняются одинаково для всех объектов в системе.

Структура маркера доступа

При входе пользователя в систему локальный администратор безопасности LSA создает маркер доступа, содержащий важную для системы безопасности информацию. Вот как структуру маркера доступа можно представить на логическом уровне (рис- 2).

Следует отметить,- что вместо имени пользователя и групп в реальном маркере доступа указываются их идентификаторы безопасности. Точнее, маркер представляет собой структуру данных, в которой предусмотрены поля;











Рис. 2. Маркер доступа.

Пользователь

  • Кадры \ Ира

Группы

  • Кадры \ Зарплата

  • Кадры \ Отчет

  • Users

  • Interactive

  • Everyone

Привилегии

  • Изменение системного времени



Подобный маркер доступа связывается с каждым запускаемым пользователем процессом. Монитор безопасности использует маркер доступа при попытке процесса получить доступ к объекту. Идентификаторы безопасности из маркера доступа сравниваются с имеющимися в списке контроля доступа, связанном с объектом. Тем самым проверяются права пользователя на выполнение запрашиваемых действий.

Создание маркера доступа осуществляется вызовом процедуры NtCreateToken() и ядра Windows XP. Такой вызов может выполнить только один процесс - Локальны администратор безопасности LSA.

Объект доступа

Доступ ко всем именованным и некоторым неименованным объектам Windows XP можно контролировать. Связанная с контролем доступа информация размещается структуре данных, называемой дескриптором безопасности (security descriptor) объект Логическая структура Дескриптора безопасности показана ниже (рис. 1-8).

В зависимости от ситуации Windows NT создает абсолютный (absolute) или самодостаточный (self-relative) дескриптор безопасности. Разница между ними в том, что первом случае в дескриптор помещены только Указатели на соответствующие идентификаторы безопасности, а во втором - сами значения идентификаторов безопасности. В дескриптор безопасности включены следующие поля:





Рис. 1-8. Дескриптор безопасности объекта, В реальном дескрипторе даются идентификаторы безопасности пользователей и групп.

Типы доступа, разрешения на которые могут быть даны пользователям, определяются типом объекта. Например, для принтера можно установить разрешения Manage Documents и Print, для папки - указать Read, Write, Execute и т. д.

Контроль доступа

При попытке процесса пользователя получить доступ к объекту Монитор безопасности Windows XP сравнивает информацию безопасности в маркере доступа пользователя с информацией в дескрипторе безопасности объекта,.

Основываясь на типе доступа к объекту, Windows XP создает маску запроса на доступ. Эта маска последовательно сравнивается с масками доступа, находящимися в дискреционном списке контроля доступа к объекту.

Порядок выполнения работы:

  1. Изучить теоретическую часть.

  2. Выполнить задания.

3. Предоставить отчет о проделанной работе.(Отчет должен содержать:

- описание процесса регистрации пользователя в системе

- описание процесса регистрации пользователя на удаленной машине
- маркер доступа

- дескриптор доступа

- Print Screen окна доступа к папке

- ответы на контрольные вопросы)

4. Ответить на контрольные вопросы.


Контрольные вопросы:

  1. Перечислить модули отвечающие за работу системы безопасности?

  2. Что выполняет локальный администратор безопасности (LSA)?

  3. Какой пакет проверки пользователя используется в Windows XP? Могут ли использоваться пакеты разработанные независимыми поставщиками?

  1. Чем занимается монитор безопасности (Security Reference Monitor, SRM)

  2. Какая структура данных используется в Windows XP для однозначного определения

пользователя или группы?

  1. Какие преимущества дает применение идентификаторов безопасности вместо имен

пользователей?

  1. Кокай модуль системы безопасности создает маркер доступа?

  2. Что указывается в поле TokenSource?




  1. Вызовом какой процедуры осуществляется создание маркера доступа?

  2. Где размещается информация связанная с контролем доступа к объекту?

  3. Какие дескрипторы безопасности может создавать Windows XP?




Похожие:

Лабораторная работа №2 «Система безопасности Windows xp» iconДокументы
1. /OOP/Лабораторная работа ь00-Введение.doc
2. /OOP/Лабораторная...

Лабораторная работа №2 «Система безопасности Windows xp» iconЛабораторная работа «Работа в Windows c помощью основного меню. Использование технологии ole»
Запишите размер папки, выраженный в Мб (мегабайтах) в текстовый редактор блокнот
Лабораторная работа №2 «Система безопасности Windows xp» iconЛабораторная работа №1 Структура приложений ms windows Цель работы
Цель работы: Познакомить учащихся с процессом создания и структурой приложений Windows
Лабораторная работа №2 «Система безопасности Windows xp» iconОперационная система. Графический интерфейс
Основы работы в среде "Windows". Начало и завершение работы. Элементы пользовательского интерфейса "Windows": рабочий стол, панель...
Лабораторная работа №2 «Система безопасности Windows xp» iconЛабораторная работа: создание мини-презентации «Памятники Кремля»
Лабораторная работа проводится в компьютерном классе, с подключением к сети Internet
Лабораторная работа №2 «Система безопасности Windows xp» iconЛабораторная работа «Действия над папкой. Работа в среде Windows как в многозадачной среде»
Посчитайте, сколько дней с момента рождения на сегодня вы прожили на свете. Помните, что в году 365 дней, каждый 4-ый год високосный,...
Лабораторная работа №2 «Система безопасности Windows xp» iconДокументы
1. /Lab1/Лабораторная работа 1.doc
2. /Lab2/Лабораторная...

Лабораторная работа №2 «Система безопасности Windows xp» iconИ я забуду Покажи мне и я запомню, Дай мне действовать самому и я научусь. Китайская мудрость Тема: Лабораторная работа
Тема: «Лабораторная работа «Измерение работы и мощности тока в электрической лампочке»
Лабораторная работа №2 «Система безопасности Windows xp» iconЛабораторная работа №7 Инсталляция Linux
Первоначально она была создана как многозадачная система для миникомпьютеров и мэйнфреймов в середине 70-ых годов, но с тех пор она...
Лабораторная работа №2 «Система безопасности Windows xp» iconТема Час
Особенности работы с Windows. Стандартные окна Windows. Запуск Windows. Первое знакомство с Windows
Разместите кнопку на своём сайте:
Документы


База данных защищена авторским правом ©podelise.ru 2000-2014
При копировании материала обязательно указание активной ссылки открытой для индексации.
обратиться к администрации
Документы

Разработка сайта — Веб студия Адаманов