- •«Страж nt»
- •2003 Аннотация
- •Содержание
- •1. Назначение программы 4
- •2. Условия применения 9
- •3. Описание задачи 12
- •4. Входные и выходные данные 51
- •Назначение программы
- •Условия применения
- •Описание задачи
- •Обзор подсистемы защиты информации операционных систем, основанных на технологииNt
- •Описание компонентов системы защиты информацииСтраж nt
- •Описание механизмов защиты
- •Идентификация и аутентификация
- •Дискреционный принцип контроля доступа
- •Мандатный принцип контроля доступа
- •Контроль потоков информации
- •Управление запуском программ
- •Контроль dos приложений
- •Управление защитой
- •Регистрация
- •Контроль целостности
- •Стирание памяти
- •Изоляция модулей
- •Маркировка документов
- •Защита ввода и вывода на отчуждаемый носитель информации
- •Сопоставление пользователя с устройством
- •Взаимодействие пользователя с сзи
- •Надежное восстановление
- •Целостность сзи
- •Тестирование сзи
- •Входные и выходные данные
- •Перечень сокращений
Дискреционный принцип контроля доступа
Для работы с файлами и папками на жестких дисках операционная система Windows поддерживает несколько файловых систем, включая FAT и NTFS. Между данными файловыми системами много различий, но главное, что только NTFS обеспечивает защиту файлов и папок при локальном доступе. В отличие от Windows, дискреционный принцип контроля доступа, реализованный в системе защиты Страж NT, не зависит от типа файловой системы и поддерживает защиту ресурсов для любых файловых систем.
К защищаемым ресурсам компьютера относятся:
локальные диски;
папки;
файлы;
порты ввода-вывода;
порты принтера;
дисководы, CD ROMы и другие устройства.
Доступ к защищаемым ресурсам контролируется системой защиты с помощью маски доступа, содержащейся в записях списка контроля доступа. Маска доступа включает стандартные, специфические и родовые права доступа. Первые определяют операции, общие для всех защищаемых ресурсов. К стандартным правам относятся следующие:
синхронизация;
изменение владельца ресурса;
изменение списка контроля доступа;
чтение атрибутов защиты;
удаление.
Специфические права доступа характерны только для ресурсов определенного типа и применяются только при операциях с этими ресурсами. Для файлов и папок используется следующий список прав:
чтение информации;
запись информации;
добавление информации;
чтение атрибутов файла или папки;
запись атрибутов файла или папки;
чтение расширенных атрибутов файла или папки;
запись расширенных атрибутов файла или папки;
запуск файла для выполнения.
Родовые права доступа облегчают работу приложений, работающих с системой безопасности, позволяя в одном родовом праве указать несколько стандартных и специфических прав.
Для управления доступом пользователей к защищаемым ресурсам используются не отдельные права доступа, а так называемые разрешения, которые приведены ниже.
нет доступа;
чтение;
изменение;
полный доступ.
Каждое разрешение определяется маской, состоящей из стандартных и специфических типов доступа. Тип доступа нет доступа запрещает любой доступ к ресурсу. Тип доступа чтение запрещает открытие ресурса на запись, а также удаление ресурса. Тип доступа изменение разрешает все типы доступа, кроме удаления ресурса. Тип доступа полный доступ разрешает любой запрашиваемый доступ к ресурсу.
Если ресурс недоступен пользователю на чтение, он становится невидимым для пользователя, т.е. имя ресурса не возвращается в стандартных запросах на поиск файла.
Система защиты информации позволяет на каждый защищаемый ресурс устанавливать атрибуты защиты, к которым относятся список контроля доступа и идентификатор безопасности владельца ресурса. Список контроля доступа состоит из отдельных элементов, каждый из которых определяет пользователя или группу пользователей и разрешенный для них тип доступа. Владелец ресурса имеет право изменять список контроля доступа, даже если это право ему явно не разрешено. Кроме того, при определении разрешенного типа доступа к ресурсу учитываются и другие атрибуты защиты, в частности метки конфиденциальности и режим запуска. Информация о метках конфиденциальности приводится в разделе, описывающем мандатный принцип контроля доступа. Доступ к ресурсам (исполняемым файлам), у которых разрешен режим запуска, всегда разрешен только по чтению (если и этот тип доступа явно не запрещен). Тем самым обеспечивается целостность программной среды.
Контроль доступа к защищаемым ресурсам реализован в ядре защиты системы Страж NT в виде диспетчера доступа. При попытке пользовательского или системного процесса получить доступ к ресурсу диспетчер доступа сравнивает информацию безопасности в маркере доступа процесса, созданного локальным администратором безопасности Windows NT с атрибутами защиты ресурса.
Основываясь на типе доступа к ресурсу, операционная система создает маску запроса на доступ. Эта маска последовательно сравнивается с масками доступа, находящимися в списке контроля доступа ресурса. Каждая запись в списке контроля доступа обрабатывается следующим образом:
Идентификатор безопасности пользователя или группы из записи списка контроля доступа сравнивается со всеми идентификаторами безопасности, находящимися в маркере доступа процесса, осуществляющего запрос. Если совпадений не обнаружено, данная запись пропускается. В случае совпадения дальнейшая обработка зависит от типа записи (разрешающая или запрещающая). Запрещающие записи всегда должны располагаться раньше, чем разрешающие.
Для запрещающей записи типы доступа сравниваются с маской запроса на доступ. Если какой-либо тип доступа есть в обеих масках, дальнейшая обработка списка не производится, и доступ запрещается. В противном случае обрабатывается следующая запись.
Для разрешающей записи типы доступа сравниваются с маской запроса на доступ. Если все запрашиваемые типы разрешены, последующая обработка не требуется, и процесс получает доступ к объекту. В противном случае разрешения на недостающие типы доступа ищутся в следующих записях.
Если не все типы доступа маски запроса разрешены, и весь список контроля доступа просмотрен, доступ к ресурсу запрещается.
Если доступ запрещен, проверяется случай, когда маска запроса содержит только типы доступа на чтение и запись списка контроля доступа ресурса. Если это имеет место, система проверяет, не является ли пользователь владельцем ресурса. В этом случае доступ разрешается.
Описанный выше алгоритм обработки списка контроля доступа является общим для всех защищаемых ресурсов. Однако для каждого типа ресурсов имеются свои особенности.
Для файлов и папок, находящихся на локальных жестких дисках компьютера действуют следующие правила контроля доступа.
Маска запроса, созданная процессом, осуществляющим доступ к файлу (папке), сравнивается с масками доступа, находящимися в списке контроля доступа файла (папки). При запросе на создание нового файла (папки) или перезаписи существующего, в маску запроса добавляется разрешение на запись. При запрете доступа дальнейшая проверка не производится и доступ запрещается.
В случае разрешения доступа к файлу (папке) из маски запроса удаляются права на запись владельца и списка контроля доступа, а также удаления потомка для папки, и для новой маски запроса проверяется разрешение на доступ последовательно ко всем родительским папкам, включая корневую папку локального диска, на котором хранится файл (папка). При запрете доступа хотя бы к одной родительской папке доступ к файлу (папке) запрещается. При разрешении доступа ко всем родительским папкам доступ разрешается.
Дополнительно на любую из папок может устанавливаться параметр, разрешающий сквозную запись в данную папку. Это означает следующее. Если получен запрос на доступ к файлу или папке, включающий какую-либо из операций записи, то при проверке разрешений на доступ к родительским папкам происходит анализ флага разрешения сквозной записи. При установке данного флага на одной из родительских папок анализ разрешений для данной папки и всех родительских папок производится для запроса только на чтение. Таким образом становится возможным запись информации в отдельные папки, несмотря на то, что доступ к родительским папкам разрешен только на чтение.
Если запрашивается доступ на переименование файла (папки), то дополнительно проверяется доступ на создание файлов и папок для всех родительских папок нового имени. При запрете доступа хотя бы к одной родительской папке переименование файла (папки) запрещается. При разрешении доступа ко всем родительским папкам переименование разрешается.
При запросе на чтение файла, если у файла включен режим контроля целостности при открытии и целостность нарушена, доступ к файлу будет запрещен с ошибкой нарушения целостности.
Для исполняемых файлов с разрешенным режимом запуска разрешен доступ только на чтение, независимо от установленных разрешений на сам файл и родительские папки, если только разрешения не запрещают доступ по чтению.
При запросе к файлу или папке на удаленном компьютере решение о предоставлении доступа принимается на удаленном компьютере.
При создании новых файлов или папок действуют правила наследования разрешений, реализованные в файловой системе NTFS.
Для отчуждаемых носителей информации – дисководов, CD ROMов и др., а также портов ввода-вывода разрешения устанавливаются непосредственно на устройство. При этом все файлы и папки на отчуждаемых носителях имеют такие же разрешения, что и сами устройства.
Разграничение доступа к компьютерам реализуется в подсистеме идентификации и аутентификации и основано на ведении списка компьютеров, на которых разрешено работать пользователю. В идентификаторе пользователя должны находиться записи только для тех компьютеров, к которым пользователь допущен.