Безопасность в Windows. Механизмы защиты - раздел Компьютеры, Основные направления и перспективы развития пр-ап средств защиты информационных систем Стратегия Безопасности Windows Xp
Модель Безопасности Windows Xp Pro...
Стратегия безопасности Windows XP
Модель безопасности Windows XP Professional основана на понятиях аутентификации и авторизации. При аутентификации проверяются идентификационные данные пользователя, а при авторизации - наличие у него прав доступа к ресурсам компьютера или сети. В Windows XP Professional также имеются технологии шифрования, которые защищают конфиденциальные данные на диске и в сетях: например, EFS (Encrypting File System), технология открытого ключа.
Аутентификация
Регистрируясь на компьютере для получения доступа к ресурсам локального компьютера или сети, пользователь должен ввести свое имя и пароль. В Windows XP Professional возможна единая регистрация для доступа ко всем сетевым ресурсам. Таким образом, пользователь может войти в систему с клиентского компьютера по единому паролю или смарт-карте и получить доступ к другим компьютерам домена без повторного ввода идентификационных данных.
Главный протокол безопасности в доменах Windows 2000 - Kerberos версии 5. Для аутентификации на серверах под управлением Windows NT 4.0 и доступа к ресурсам доменов Windows NT клиенты Windows XP Professional используют протокол NTLM. Компьютеры с Windows XP Professional, не принадлежащие к домену, также применяют для аутентификации протокол NTLM.
Используя Windows XP Professional в сети с активным каталогом (Active Directory), можно управлять безопасностью регистрации с помощью параметров политики групп, например, ограничивать доступ к компьютерам и принудительно завершать сеансы работы пользователей спустя заданное время. Можно применять предварительно сконфигурированные шаблоны безопасности, соответствующие требованиям к безопасности данной рабочей станции или сети. Шаблоны представляют собой файлы с предварительно сконфигурированными параметрами безопасности, которые можно применять на локальном компьютере или импортировать в групповые политики активного каталога. Эти шаблоны используются в неизменном виде или настраиваются для определенных нужд.
Авторизация
Авторизация позволяет контролировать доступ пользователей к ресурсам. Применение списков управления доступом (access control list, ACL) и прав доступа NTFS гарантирует, что пользователь получит доступ только к нужным ему ресурсам, например, к файлам, дискам (в том числе сетевым), принтерам и приложениям. С помощью групп безопасности, прав пользователей и прав доступа можно одновременно управлять безопасностью как на уровне ресурсов, так и на уровне файлов, папок и прав отдельных пользователей.
Группы безопасности
Группы безопасности упрощают управление доступом к ресурсам. Можно приписывать пользователей к группам безопасности, а затем предоставлять этим группам права доступа. Можно добавлять пользователей к группам безопасности и удалять их оттуда в соответствии с потребностями этих пользователей.
Оснастка MMC Computer Management позволяет создавать учетные записи пользователей и помещать их в локальные группы безопасности. Можно предоставлять пользователям права доступа к файлам и папкам и определять действия, которые пользователи могут выполнять над ними. Можно разрешить и наследование прав доступа. При этом права доступа, определенные для каталога, применяются ко всем его подкаталогам и находящимся в них файлам.
Среди групп безопасности, локальных для домена и компьютера, имеется ряд предварительно сконфигурированных групп, в которые можно включать пользователей.
Администраторы (Administrators) обладают полным контролем над локальным компьютером и правами на совершение любых действий. При установке Windows XP Professional для этой группы создается и назначается встроенная учетная запись Администратор (Administrator). Когда компьютер присоединяется к домену, по умолчанию к группе Администраторы добавляется группа Администраторы домена (Domain Administrators).
Опытные пользователи (Power Users) обладают правами на чтение и запись файлов не только в личных папках, но и за их пределами. Они могут устанавливать приложения и выполнять многие административные действия. У членов этой группы такой же уровень прав доступа, что и у групп Пользователи (Users) и Опытные пользователи (Power Users) в Windows NT 4.0.
Пользователи (Users) в отношении большей части системы имеют только право на чтение. У них есть право на чтение и запись только файлов их личных папок. Пользователи не могут читать данные других пользователей (если они не находятся в общей папке), устанавливать приложения, требующие модификации системных каталогов или реестра, и выполнять административные действия. Права пользователей в Windows XP Professional более ограниченны по сравнению с Windows NT 4.0.
Гости (Guests) могут регистрироваться по встроенной учетной записи Guest и выполнять ограниченный набор действий, в том числе выключать компьютер. Пользователи, не имеющие учетной записи на этом компьютере, или пользователи, чьи учетные записи отключены (но не удалены), могут зарегистрироваться на компьютере по учетной записи Guest. Можно устанавливать права доступа для этой учетной записи, которая по умолчанию входит во встроенную группу Guests. По умолчанию учетная запись Guest отключена.
Можно сконфигурировать списки управления доступом (ACL) для групп ресурсов или групп безопасности и по мере необходимости добавлять/удалять из них пользователей или ресурсы, что облегчает управление правами доступа и их аудит. Это также позволяет реже изменять ACL. Можно предоставить пользователям права на доступ к файлам и папкам и указать действия, которые можно выполнять с ними. Можно также разрешить наследование прав доступа; при этом права доступа к некоторой папке применяются и к ее подкаталогам и находящимся в них файлам.
8. Базы данных MIB. Программа «менеджер» и программа «агент».
MIB (Management Information Base) — база данных информации управления, используемая в процессе управления сетью в качестве модели управляемого объекта в архитектуре агент-менеджер. В частности используется протоколом SNMP.
В основе любой системы управления сетью лежит элементарная схема взаимодействия агента с менеджером. На основе этой схемы могут быть построены системы практически любой сложности с большим количеством агентов и менеджеров разного типа.
Агент является посредником между управляемым ресурсом и основной управляющей программой-менеджером. Чтобы один и тот же менеджер мог управлять различными реальными ресурсами, создается некоторая модель управляемого ресурса, которая отражает только те характеристики ресурса, которые нужны для его контроля и управления. Например, модель маршрутизатора обычно включает такие характеристики, как количество портов, их тип, таблицу маршрутизации, количество кадров и пакетов протоколов канального, сетевого и транспортного уровней, прошедших через эти порты.
Менеджер получает от агента только те данные, которые описываются моделью ресурса. Агент же является некоторым экраном, освобождающим менеджера от ненужной информации о деталях реализации ресурса. Агент поставляет менеджеру обработанную и представленную в нормализованном виде информацию. На основе этой информации менеджер принимает решения по управлению, а также выполняет дальнейшее обобщение данных о состоянии управляемого ресурса, например, строит зависимость загрузки порта от времени.
Для получения требуемых данных от объекта, а также для выдачи на него управляющих воздействий агент взаимодействует с реальным ресурсом некоторым нестандартным способом. Когда агенты встраиваются в коммуникационное оборудование, то разработчик оборудования предусматривает точки и способы взаимодействия внутренних узлов устройства с агентом. При разработке агента для операционной системы разработчик агента пользуется теми интерфейсами, которые существуют в этой ОС, например интерфейсами ядра, драйверов и приложений. Агент может снабжаться специальными датчиками для получения информации, например датчиками релейных контактов или датчиками температуры.
Менеджер и агент должны располагать одной и той же моделью управляемого ресурса, иначе они не смогут понять друг друга. Однако в использовании этой модели агентом и менеджером имеется существенное различие. Агент наполняет модель управляемого ресурса текущими значениями характеристик данного ресурса, и в связи с этим модель агента называют базой данных управляющей информации - Management Information Base, MIB. Менеджер использует модель, чтобы знать о том, чем характеризуется ресурс, какие характеристики он может запросить у агента и какими параметрами можно управлять.
На сайте allrefs.net читайте: "Основные направления и перспективы развития пр-ап средств защиты информационных систем"
Если Вам нужно дополнительный материал на эту тему, или Вы не нашли то, что искали, рекомендуем воспользоваться поиском по нашей базе работ:
Безопасность в Windows. Механизмы защиты
Что будем делать с полученным материалом:
Если этот материал оказался полезным ля Вас, Вы можете сохранить его на свою страничку в социальных сетях:
Американский стандарт шифрования AES. Алгоритм Rijndael
Новый стандарт получил название AES (Advanced Encryption Standart - улучшенный стандарт шифрования). И вот сейчас официально объявлено, что он будет построен на основе алгоритма Rijndael. Rijndael
Пользовательский режим
Вид командной строки имеет вид Router>
Этот режим позволяет временно изменить настройки терминала, выполнить основные тесты, просмотреть системную информацию и подключиться к удаленному
Привилегированный режим
Вид командной строки в имеет вид Router#
Набор привилегированных команд устанавливает параметры работы системы. Пользователь имеет доступ к командам глобального конфигурирования и специаль
Анализаторы
Современные анализаторы протоколов должны декодировать множество протоколов одновременно на скоростях немыслимых 10 лет назад. Помимо детального анализа протоколов современные приборы должны следит
Сетевые мониторы
Alchemy Eye - представитель класса программного обеспечения, которое предназначено для мониторинга доступности сетевых ресурсов. При помощи Alchemy Eye достаточно просто настроить автоматическую пр
Программно аппаратные методы управления доступа в ПК.
Для исключения неавторизованного проникновения в компьютерную сеть используется комбинированный подход - пароль + идентификация пользователя по персональному "ключу". "Ключ" пре
Однонаправленные функции
Понятие однонаправленной функции является основным в криптографии с открытым ключом. К однонаправленным относят такие функции, которые достаточно легко вычислить, но значительно труднее обратить. Т
Описание основ PGP
PGP представляет собой гибридную систему, которая включает в себя алгоритм с открытым ключом (асимметричный алгоритм) и обычный алгортм с секретным ключом (симметричный алгоритм), что дает высокую
Меры противодействия угрозам безопасности информационных систем.
1. правовые (ст.272-неправомерный доступ к компьютерной информации сроком до 2-х лет;ст. 273- создание компьютерных вирусов от 3-х до 7; ст.274- нарушение правил эксплуатации ЭВМ (сжечь плату)до 4-
Безопасность в Linux
Процедура регулярного обновления всего используемого ПО - одна из важнейших в механизме обеспечения безопасности любой операционной системы.Почти каждый дистрибутив Linux имеет свою, специфичную пр
План восстановления работоспособности системы
Помимо регулярного резервного копирования достойным средством является план восстановления,который включает детальные действия, если произошло какое-либо происшествие.
1. В детальном плане
Сети Фейстела. Стандарт шифрования DES
DES (англ. Data Encryption Standard) — симметричный алгоритм шифрования, в котором один ключ используется как для
Задачи криптографии
Криптография — наука о защите информации.
Криптоанализ- наука о вскрытии шифров
В наше время преимущественное значение имеет информация, существующая в электронном виде, т.е. в ви
Требования к специалисту по защите информации
1. Структура угроз (оценка всех угроз)
2. Источники и виды дестабилизирующих воздействий.
3. Каналы доступа к информации: оптические, через мусорное ведро
4. Виды деятель
Открытая информация
http://www.mai.ru/~gr08x07/vap/verin060.htm
Разрушение существовавшей в СССР системы информационного обеспечения привело к существенному снижению качества и объемов общедо
Система Kerberos в Виндоз2к
В Windows 2000 и Windows XP Professional реквизиты предоставляются в виде пароля, билета Kerberos или смарт-карты (если компьютер оборудован для работы со смарт-картами).
Протокол Kerberos
Аппаратные средства защиты периметра. Система CIRIS.
Антивирусные программы для настольных ПК и серверов. В каждой организации должна быть установлена антивирусная программа на уровне серверов и настольных ПК. Управление ею должно осуществляться цент
Аутентификация удаленных пользователей, протоколы PAP, CHAP
Удаленная аутентификация Требования к аутентификации пользователя компьютером повышаются, если необходимо аутентифицироваться на удаленном компьютере. Здесь применимы различные
Однонаправленные функции
Понятие однонаправленной функции является основным в криптографии с открытым ключом. К однонаправленным относят такие функции, которые достаточно легко вычислить, но значительно труднее обратить. Т
Дискретное логарифмирование
Пусть p- нечетное простое число. Еще Эйлер знал, что мультипликативная группа кольца z/pz циклична, т.е. существуют такие целые числа a , что сравнение
Критика ГОСТа
Основные проблемы ГОСТа связаны с неполнотой стандарта в части генерации ключей и S-блоков. Тривиально доказывается, что у ГОСТа существуют "слабые" ключи и S-блоки, но в стандарте не опи
Шифрование методом гаммирования
Суть метода состоит в том, что символы шифруемого текста последовательно складываются с символами некоторой специальной последовательности, называемой гаммой. Иногда такой метод представляют как на
Новости и инфо для студентов