- •Питання захисту інформації в ос ms Windows хp План
- •Література
- •Введение
- •1. Понятие безопасности информации в компьютерных системах
- •2. Механизмы безопасности, реализованные в ос msWindows xp
- •2.1. Средства обеспечения безопасности, реализованные в ос msWindows xp
- •2.2. Парольная защита компьютера
- •Блокировка пк
- •Защита файлов с помощью пароля экранной заставки
- •Использование паролей
- •2.3. Защита данных шифрованием
- •Шифрование и файловая система efs
- •Методика и принципы шифрования
- •Процесс шифрования(рис. 2.3)
- •Процесс расшифрования (рис. 2.4)
- •Процесс восстановления (рис. 2.5)
- •2.4. Безопасная передача данных по сети
- •Типы сетевых атак
- •Политика безопасности ipSec
- •3. Управление доступом к файлам
- •3.1. Разрешения ntfs
- •Стандартные разрешения для папок
- •Стандартные разрешения для файлов
- •Особые разрешения для файлов и папок
- •3.2. Назначение, просмотр и изменение разрешений
- •Назначение разрешений для файлов
- •Назначение разрешений для папок
- •3.3. Наследование разрешений, смена владельца и аудит Наследование разрешений
- •Смена владельца
- •3.4. Методика планирования разрешений
- •3.5. Изменение разрешений при копировании и перемещении объектов
- •Контрольные вопросы
- •Задание на самостоятельную работу
Политика безопасности ipSec
Реализация протокола IPSecпреследует две цели:
1) защитить содержимое пакетов IP;
2) обеспечить защиту от сетевых атак путем фильтрации пакетов и принуждения к использованию доверенных соединений.
Эти цели достигаются за счет использования служб защиты на основе криптографии, протоколов безопасности и динамического управления ключами. Такая основа обеспечивает надежность и гибкость для защиты соединений между компьютерами локальной сети, доменами, сайтами, удаленными сайтами, внешними сетями и клиентами удаленного доступа. Она позволяет блокировать прием или передачу конкретных типов трафика.
IPSecиспользует модель безопасности «узел-узел» с установкой доверия и безопасности между исходным и конечным IP-адресами. О защищаемом трафике должны знать только два компьютера — отправляющий и принимающий. Каждый из компьютеров предпринимает меры безопасности на своей стороне соединения, исходя из предположения о том, что среда, через которую передаются данные, небезопасна.
IPSecзащищает данные таким образом, что расшифровать их при несанкционированном доступе крайне трудно или просто невозможно. Уровень предоставляемой защиты определяется надежностью уровней безопасности, заданных в структуре политикиIPSec.
IPSecобладает рядом возможностей, предотвращающих или значительно снижающих эффективность атак:
Анализаторы пакетов(недостаточная конфиденциальность). Использование протоколаESP(Encapsulating Security Payload) вIPSecобеспечивает конфиденциальность данных путем шифрования полезных данных в пакетах IP.
Изменение данных.IPSecприменяет ключи шифрования, используемые только отправляющим и принимающим компьютерами, для создания криптографической контрольной суммы для каждого пакета IP. Любые изменения данных в пакете изменяют контрольную сумму, что указывает принимающему компьютеру, что пакет был изменен во время передачи.
Атаки с подменой идентификации, атаки на пароли, атаки на уровне приложений и атаки на службу.IPSecпозволяет выполнять обмен и проверку идентификации без раскрытия этих сведений для интерпретации атакующим. Обоюдная проверка подлинности используется для установки доверительных отношений между взаимодействующими системами; обмениваться данными друг с другом могут только доверенные системы. После установки подлинностиIPSecприменяет ключи шифрования, используемые только отправляющим и принимающим компьютерами, для создания криптографической контрольной суммы для каждого пакета IP. Криптографическая контрольная сумма гарантирует, что каждый пакет мог быть отправлен только компьютерами, которым известны соответствующие ключи.
Атаки «третьего».IPSecиспользует обоюдную проверку подлинности в сочетании с общими ключами шифрования.
Атаки на службу.Для определения состояния обмена данными (разрешен, защищен или блокирован)IPSecиспользует методологию фильтрации пакетов IP по диапазонам IP-адресов, протоколам IP или даже конкретным портамTCPиUDP.
IPSecобеспечивает высокий уровень безопасности с помощьюслужбна основе криптографии. Для защиты данных используется сочетание алгоритма шифрования и ключа.Алгоритм— это математический процесс защиты данных.Ключ— это секретный код или номер, необходимый для чтения, изменения или проверки защищенных данных.
IPSecпредоставляет или использует следующие службы безопасности:
1. Свойства безопасности.IPSecобеспечивает следующие свойства безопасных связей:
1) защита от повторений– гарантирует уникальность каждого пакета IP;
2) проверка целостности– защищает данные от несанкционированного изменения при передаче, обеспечивая получение сведений в том же виде, в котором они были отправлены. Хеш-функции подписывают каждый пакет криптографической контрольной суммой с помощью общего секретного ключа;
3) конфиденциальность(шифрование) – гарантирует раскрытие данных только для указанных получателей. Данные пакетов шифруются перед передачей, и расшифровываются при приеме на основе общего секретного ключа;
4) проверка подлинности– подтверждает, что сообщение могло быть отправлено только с компьютера, обладающего общим секретным ключом. Отправитель добавляет к сообщению код проверки подлинности сообщения с вычислением, содержащим общий секретный ключ. Получатель выполняет то же вычисление и, если результат не совпадает с кодом проверки подлинности сообщения, сообщение отбрасывается.
2. Проверка подлинности компьютеров с использованием открытого ключа на основе сертификата.Сертификат открытого ключа, гарантирующий соответствие истинных учетных данных заявленным, является одним из надежных типов проверки подлинности.
3. Проверка подлинности с помощью общего ключа.IPSecможет использовать предварительные общие ключи для проверки подлинности.Предварительнымключ называют потому, что после согласования общего секретного ключа сторонами соединения он становится частью политикиIPSec. Во время согласования безопасности отправитель перед отправкой зашифровывает сведения с помощью общего ключа, а получатель расшифровывает их с помощью того же ключа. Если получатель смог расшифровать сведения, подлинность учетных данных считается проверенной.
4. Криптография с применением открытого ключа.IPSecвнедряет криптографию с применением открытого ключа для проверки подлинности (подписание сертификатов) и обмена ключами (алгоритм Диффи-Хелмана). Криптография с применением открытого ключа обладает всеми возможностями криптографии с применением секретного ключа, но в целом более безопасна, поскольку требует двух ключей, один из которых используется для подписания и шифрования данных, а другой — для проверки подписи и расшифровки данных. Криптография с применением двух ключей называетсяасимметричной. Каждый пользователь имеетличный(закрытый)ключ, неизвестный никому другому, и широко распространенныйоткрытый ключ. Например, если Мария хочет отправить защищенное сообщение Ивану, она использует для шифрования сообщения открытый ключ Ивана. Расшифровать это сообщение сможет только Иван, поскольку для расшифровки требуется его закрытый ключ. Хотя ключи в паре связаны друг с другом, определить закрытый ключ по открытому ключу математически очень сложно.
5. Обеспечение целостности данных с помощью хеш-функций. Хешпредставляет собой криптографическую контрольную сумму или код целостности сообщения, который должен быть вычислен каждой стороной соединения для проверки сообщения. Например, отправляющий компьютер использует функцию хеширования и общий ключ для вычисления контрольной суммы сообщения, добавляемой в пакет. Принимающий компьютер должен выполнить ту же хеш-функцию над полученным сообщением и общим ключом, а затем сравнить результат с исходным (включенным в полученный пакет). Если сообщение было изменено на пути следования, значения хеша отличаются и пакет отбрасывается.
Для проверки целостности при настройке политики можно выбрать одну из двух хеш-функций:
MD5 (Message Digest 5) - обрабатывает блоки данных в четыре прохода, каждый раз используя различные числовые константы для каждого слова в сообщении. Число 32-разрядных констант, используемых при вычислениях по алгоритмуMD5, равно 64, что, в конечном счете, дает 128-разрядный хеш, который используется для проверки целостности;
SHA1 (Secure Hash Algorithm 1) – во многом напоминаетMD5, но создает 160-разрядный хеш, что повышает его надежность.
6. Обеспечение конфиденциальности данных с помощью шифрования.IPSecиспользует для обеспечения конфиденциальности (шифрования данных) принятый в США стандарт шифрования данныхDES(Data Encryption Standard).IPSecпредоставляет возможность частой смены ключей во время обмена данными. Это предотвращает раскрытие всех данных в случае подбора одного ключаDES.
DESпредставляет собой блочный шифр, использующий 56-разрядный ключ. Блочный шифр — это алгоритм шифрования, оперирующий фиксированными блоками данных.DESзашифровывает данные 64-разрядными блоками с использованием 64-разрядного ключа. Ключ выглядит как 64-разрядным, но один разряд в каждых 8 байтах используется для проверки ошибок, т.е. фактически ключ является 56-разрядным.
В ситуациях, когда требуется обеспечить высокий уровень безопасности, используется алгоритм 3DES, обрабатывающий каждый блок три раза, каждый раз используя уникальный 56-разрядный ключ.
7. Управление ключами. Windows ХР выполняет создание ключей автоматически и внедряет следующие свойства создания ключей для максимальной защиты:
динамическая смена ключей;
длина ключа;
создание материала для ключа.