Подсистема защита в Windows NT.
Подсистема защита в Windows NT
Статья знакомит читателей с возможностями защиты информации в операционной системе Windows NT компании Microsoft. Автор подробно рассказывает об особенностях работы в многопользовательской ОС
Что будет, если конфиденциальная информация из Вашего компьютера попадет в руки конкурентов? А если обиженный или просто неудовлетворенный своей зарплатой сотрудник воспользуется доступом к важным данным и уничтожит их? Нанесет ли это ущерб вашему делу? Ответ очевиден. Поэтому, если Вы действительно заботитесь о сохранности информации, содержащейся в Вашем компьютере, стоит подумать об установке многопользовательской операционной системы (ОС) Windows New Technology (NT) корпорации Microsoft.
По внешнему оформлению Windows NT не очень отличается от Windows 95 — другой распространенной ОС для персональных компьютеров. Кроме того, все программы, корректно работающие под управлением Windows 95, можно использовать и в среде Windows NT. И все же это две абсолютно разные ОС. Вместо того чтобы пытаться исполнить любую команду пользователя, Windows NT сама решает (учитывая информацию о том, от кого именно исходит та или иная команда), насколько обоснованно выполнение соответствующих действий. Для этого в нее встроена мощная подсистема защиты.
Объектная модель защиты
В Windows NT очень большое внимание уделено обеспечению безопасности. Специалисты Microsoft утверждают, что именно поэтому она получает ощутимое преимущество в тех случаях, когда требуется сохранение в тайне конфиденциальной информации.
Идея создания подобной ОС возникла почти десять лет назад. Windows NT была задумана как ОС, удовлетворяющая потребности американской военной промышленности, и ее разработчики постарались выполнить все требования, необходимые для сертификации по уровню безопасности С2 федерального правительства США.
В основу функционирования Windows NT заложена объектная модель защиты. Объектом защиты может быть любой ресурс системы — файл, устройство, программа пользователя или процесс. Для каждого из них обязательно найдется соответствующий ему объект защиты, содержащий информацию о том, кому и что именно позволено делать с данным ресурсом. Эта информация переносится одновременно с перемещением или копированием ресурсов.
Чтобы в полной мере осуществить объектно-ориентированный подход к защите компьютерных ресурсов, многопользовательская ОС в первую очередь должна выяснить, чей запрос обслуживается в данный момент времени. Для идентификации пользователей Windows NT использует два ключа — имя и пароль. Имя определяет возможности пользователя при работе с системой, а соответствующий имени пароль подтверждает наличие этих возможностей и должен быть известен лишь самому пользователю.
Регистрация
Перед началом работы любой пользователь обязательно проходит процедуру регистрации в системе. После включения компьютера и загрузки ОС на дисплее появляется окно с надписью «Для входа в систему нажмите Ctrl+Alt+ Delete». Одновременное нажатие этих клавиш запускает подсистему защиты Windows NT, которая предлагает пользователю ввести свое имя и пароль. При вводе символы пароля на экране замещаются звездочками, чтобы посторонние не могли его подсмотреть. По окончании ввода подсистема безопасности проверяет правильность введенных данных. Если имя и пароль заданы верно, можно начать работу в системе.
Когда пользователь покидает компьютер, он сообщает об этом системе нажатием тех же клавиш Ctrl+Alt+Del. На экране появляется еще одно диалоговое окно подсистемы защиты, содержащее имя зарегистрированного пользователя и несколько кнопок:
— «Выход из системы…» завершает все запущенные пользователем программы и переводит Windows NT в режим ожидания следующей попытки регистрации;
— «Завершение работы…» в дополнение к останову всех программ пользователя готовит систему к выключению питания;
—«Блокировка» скрывает содержимое экрана дисплея; чтобы вновь разблокировать экран, необходимо ввести соответствующий пароль;
— «Смена пароля…» диалогового окна подсистемы защиты позволяет сменить пароль пользователя.
Управление бюджетами
Итак, работать в Windows NT может любой пользователь, прошедший регистрацию. Для успешной регистрации ему необходим так называемый бюджет, в который включаются все сведения, позволяющие отличать этого пользователя системы от других. Бюджет представляет собой небольшую базу данных, содержащую имя и пароль, а также описание возможностей пользователя.
На стадии установки Windows NT автоматически создаются два пользовательских бюджета — с именами «Администратор» и «Гость». «Администратор» — это полновластный хозяин Windows NT. Среди пользователей системы он обладает самыми широкими полномочиями. Например, администратор может получить доступ сам, а также ограничить права доступа других пользователей к любому объекту защиты Windows NT. Однако кое-что система запрещает делать даже администратору. Так, администратор не может узнать чужой пароль, а значит, оказывается не в состоянии сделать что-то от имени другого пользователя без ведома последнего.
«Гость» предназначен для временных пользователей — «гостей» Windows NT. В ходе установки для него задается признак «Отключить учетную запись», означающий, что данный бюджет заблокирован и не может быть задействован при регистрации. После снятия этого признака администратором любому пользователю будет предоставлена возможность регистрации в Windows NT под именем «Гость». Однако в этом случае ему будут предоставлены минимальные возможности для работы в системе.
Создание новых бюджетов и изменение существующих — исключительное право администратора. Он может внести исправления в имя пользователя (от 1 до 20 символов без учета регистра) и в его пароль (до 14 символов с учетом регистра), а также переустановить ряд флажков, предварительно запустив приложение «Диспетчер пользователей».
Если установлен флажок «Потребовать смену пароля при следующем входе в систему», то при первой регистрации данного пользователя система потребует от него сменить пароль на новый, придуманный им самим. Этот флажок необходим для того, чтобы спрятать пользовательский пароль от администратора. «Запретить смену пароля пользователем» служит противоположной цели: в этом случае пароль всегда известен администратору. «Постоянный пароль (без ограничения срока действия)» позволяет выключить для данного пользователя механизм старения паролей, который заставляет всех остальных регулярно (например, раз в неделю) менять свои пароли. «Отключить учетную запись» применяется, чтобы временно закрыть пользователю доступ к системе.
В Windows NT существуют определенные правила работы с бюджетами, соблюдение которых повышает безопасность работы в системе. Чтобы оговорить эти правила, администратор может воспользоваться командой «Учетные записи» в меню «Политика» окна приложения » Диспетчер пользователей». Появится диалоговое окно «Политика учетных записей» со следующими опциями:
—«Максимальный срок действия». Можно потребовать от пользователя менять пароль с частотой, заданной в поле «Срок действия (дней)». Чтобы сохранить равновесие между удобством в работе и соблюдением должной секретности при обращении с паролями, лучше всего назначить срок смены паролей в 30—45 дней.
— «Минимальный срок действия». Указанием числа дней в поле «Нельзя изменять (дней)» устанавливают минимальный срок, по истечении которого разрешается менять пароль. С помощью этой опции администратор может заставить всех пользователей иметь один и тот же пароль в течение определенного срока.
— «Минимальная длина пароля». Чем короче пароль, тем легче его запомнить. Однако в этом случае нарушителю будет проще подобрать нужный пароль для регистрации в системе путем простого перебора всех возможных комбинаций. При более длинных паролях обеспечивается большая безопасность системы, но тогда пользователи чаще забывают свои пароли, что доставляет немало хлопот администратору. Чтобы указать минимальную длину пароля, требуется поставить нужное число в ноле «Не менее… символов».
—«Уникальность пароля». Число в ноле «Хранить паролей» указывает количество паролей, которые надо хранить в ретроспективном списке, содержащем пользовательские пароли. Ни одну комбинацию из этого списка нельзя использовать в качестве нового пароля, когда приходит время смены пароля.
— «Блокировка учетной записи». В поле «Блокировка после … неудачных попыток входа» указывается предельное количество неудачных попыток регистрации. Это значение связано с другим числом, которое задается в поле «Сброс счетчика через … мин» и определяет, в течение какого времени следует вести отсчет неудачных попыток. Если количество неудачных попыток за заданный срок превысит предельное значение, бюджет будет заблокирован. В группе «Длительность блокировки» есть поле «Блокировать на… мин», содержащее время блокировки бюджета пользователя. Если установлен флажок «Постоянная (до снятия блокировки администратором)», бюджет блокируется вплоть до момента разблокирования администратором.
Последняя опция («Для смены пароля пользователь должен войти в систему») в диалоговом окне «Политика учетных записей» требует от пользователя зарегистрироваться перед изменением пароля (чтобы пресечь попытку ввода просроченного пароля для регистрации в соответствии с подставным бюджетом).
Администратор может присваивать пользователям определенные права с помощью приложения «Диспетчер пользователей» в диалоговом окне «Политика прав пользователей», которое вызывается из меню «Политика» командой «Права пользователей». Такие права, относящиеся к системе в целом, разрешают производить в системе некоторые действия, а именно регистрироваться на данном компьютере, создавать новые пользовательские бюджеты, изменять системное время, а также выполнять некоторые другие операции, перечисленные в диалоговом окне «Политика прав пользователей»
Часто оказывается полезным отслеживать применение пользователями присвоенных им нрав — контролировать регистрацию пользователей с целью выявления неудачных попыток зарегистрироваться (означающих намерение обойти подсистему защиты Windows NT), фиксировать изменения, вносимые в бюджеты, следить за операциями доступа к файлам и т.д. Для этого администратору необходимо запустить приложение «Диспетчер пользователей» и установить в диалоговом окне «Политика аудита» , вызываемом из меню «Политика» командой «Аудит», соответствующие флажки напротив операций, за успешным или неудачным выполнением которых нужно следить. Результаты аудита заносятся в специальный журнал.
Управление доступом
Защита отдельных ресурсов (файлов, каталогов, разделов жесткого диска или принтеров) в Windows NT основана на принципе дискреционного контроля доступа. В соответствии с ним у каждого ресурса есть владелец, управляющий доступом к данному ресурсу со стороны других пользователей. Владельцем файла или каталога считается его создатель, разделом диска «владеет» человек, разбивший дисковое пространство на разделы, а принтером распоряжается тот, кто установил его в системе.
В Windows NT существует два метода управления доступом к ресурсам: допуск на уровне файлов и на уровне каталогов. Под допуском здесь понимается правило, регламентирующее доступ пользователей к какому-либо ресурсу ОС.
Чтобы определить допуск на уровне файлов, нужно щелкнуть правой кнопкой мыши на соответствующем ресурсе в программном приложении «Проводник» и указать опцию «Свойства». В появившемся диалоговом окне следует выбрать закладку «Безопасность» и щелкнуть мышью на кнопке «Разрешения». В диалоговом окне «Разрешения» можно присвоить пользователям различные степени допуска — «Чтение», «Просмотр», «Полный доступ» и другие. Для раздела диска или каталога допуск определяют вплоть до каждого файла или подкаталога, находящегося на данном разделе диска или в данном каталоге.
Определение допуска к ресурсу на уровне каталогов никак не влияет на доступ к входящим в его состав другим ресурсам (например, допуск к каталогу в этом случае никак не затрагивает допуски к содержащимся в нем файлам и подкаталогам). Такой способ предоставления допуска к ресурсу обычно используется для контроля за удаленным доступом к сетевым устройствам.
Допуски на уровне каталогов создаются следующим образом. С помощью приложения «Проводник» отыскивают ресурс, который требуется сделать совместно используемым. После щелчка на нем правой кнопкой мыши выбирается опция «Доступ». В появившемся диалоговом окне надо нажать на кнопку «Разрешения». Затем в диалоговом окне «Разрешения: Общий ресурс» следует выбрать требуемую степень допуска к этому ресурсу — «Чтение», «Изменение» или «Полный доступ».
Обеспечение безопасности при удаленном доступе
Сервис удаленного доступа Remote Access Service (RAS) для Windows NT позволяет подключаться к компьютеру, работающему под управлением этой ОС, из любого уголка земного шара, где есть розетка питания для компьютера и телефонный разъем для модема. RAS предоставляет возможность работы со всеми ресурсами удаленного компьютера так же, как в случае прямого подключения к локальной компьютерной сети, в которую входит этот компьютер. В результате компьютерная сеть становится более открытой, что, впрочем, совсем не означает отказ от мер безопасности.
Во-первых, клиент, желающий воспользоваться возможностями RAS, должен сначала получить бюджет, разрешающий удаленный доступ, в той Windows NT, которая установлена на удаленном компьютере.
Во-вторых, этот клиент в обязательном порядке проходит регистрацию средствами RAS, аналогичную регистрации в Windows NT. В RAS имеются две системы аутентификации пользователей — Password Authorization Protocol (PAP) и Challenge Handshake Authorization Protocol (CHAP).
PAP — простой стандартизированный протокол, предназначенный для реализации парольной системы. Идентификационные данные и пароль пользователя передаются по линии связи в самом начале запроса на соединение, а затем проверяются приемным устройством с целью аутентификации при помощи специальной регистрационной базы данных. Эта база хранится в зашифрованном виде, однако при передаче по линии идентификационные данные и пароль не шифруются.
CHAP представляет собой стандартизированную схему регистрации пользователей с применением весьма сложного протокола обмена сообщениями. В соответствии с протоколом CHAP первая аутентификация пользователя производится во время его регистрации. В дальнейшем администратор может задать количество перерегистраций пользователя. Повторные регистрации применяются для того, чтобы сократить потенциальному взломщику срок, в течение которого он может попытаться проникнуть в систему. При использовании CHAP все передачи по линии связи шифруются. Таким образом, CHAP обеспечивает более высокий уровень защиты, чем РАР. Однако регистрационная база данных CHAP доступнее, поскольку хранится в открытом виде.
Перед использованием RAS необходимо должным образом сконфигурировать на обоих концах телефонной линии, соединяющей два компьютера. При этом пользователь может сам выбрать метод аутентификации.
Опция «Допустимы незашифрованные пароли (обычный текст)» означает, что пользователь согласен на любой метод, и доступ разрешается даже в том случае, когда вообще не используется никакой метод. Эту опцию выбирают, если нет необходимости беспокоиться о защите передаваемых данных.
Опция «Требуется шифрование паролей» показывает, что могут применяться любые методы аутентификации, кроме РАР. Эта опция используется, чтобы предотвратить передачу имени и пароля пользователя по телефонной линии в незашифрованном виде.
При выборе опции «Требуется шифрование Microsoft для паролей» аутентификация пользователей производится с помощью модификации CHAP, разработанной корпорацией Microsoft. В этом случае можно установить также опцию «Необходимо шифрование данных». Тогда шифроваться будут не только имя и пароль пользователя, но и вся остальная информация, передаваемая но телефонной линии. Для ее шифрования используется алгоритм RC4 американской фирмы RSA Data Security.
Заключение
Независимо от того, насколько сложна подсистема защиты Вашей ОС, любой компьютер, к которому злоумышленник может получить непосредственный доступ (с помощью клавиатуры или через модем), уязвим. В этом смысле не является исключением и компьютер, работающий под управлением Windows NT.
Однако наличие в Windows NT мощных и надежных систем регистрации пользователей, управления пользовательскими бюджетами, распределения прав и допусков, а также дополнительных защитных средств превращает эту операционную систему в надежную крепость, способную противостоять настойчивым попыткам незаконно проникнуть в нее извне. Кроме того, компания Microsoft обещает появление в 1999 г. новой, пятой версии ОС Windows NT, снабженной еще более совершенными защитными средствами.