Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АрхитектураБиологияГеографияДругоеИностранные языки
ИнформатикаИсторияКультураЛитератураМатематика
МедицинаМеханикаОбразованиеОхрана трудаПедагогика
ПолитикаПравоПрограммированиеПсихологияРелигия
СоциологияСпортСтроительствоФизикаФилософия
ФинансыХимияЭкологияЭкономикаЭлектроника

Ряд файловых объектов не разделяется ОС (например, папка All Users) и приложениями между пользователями.

Законодательные акты РФ, регулирующие правовые отношения в сфере информационной безопасности и защиты государственной тайны | Что я имею в виду под моделированием угроз | Построение диаграмм | Перечисление угроз | Моделирование угроз как tabula rasa | Люди как пользователи систем моделирования средств защиты | Количественная оценка моделей угроз | Особенности защиты информации в базах данных | Отсюда получаем требование к корректности реализации СЗИ от НСД – должен контролировать доступ к ресурсу при любом способе обращения к ресурсу (идентификации ресурса). | Подобных примеров можно привести много, практически по реализации любого механизма защиты, нас ограничивает лишь формат статьи. |


Читайте также:
  1. HAPPY DAYS - детский международный лагерь в лесу у моря
  2. I Международного конкурса-фестиваля
  3. III. Вещь, сущность вещи существует, и явление, имя вещи тоже существует, но между ними лежит непроходимая и ничем не заполняемая бездна.
  4. III. Мероприятия по обеспечению антитеррористической защищенности объектов (территорий)
  5. IX. КОНКУРЕНЦИЯ МЕЖДУ БАНКАМИ, ВЫПУСКАЮЩИМИ РАЗНЫЕ ВАЛЮТЫ
  6. joule [ʤu:l] Единица измерения работы, энергии и количества теплоты в Международной системе мер. J | дж | Дж
  7. q]2:1:Форма бытия материи, выражающая протяженность составляющих ее объектов, их строение из элементов и частей называется

Буфер обмена не разделяется ОС между пользователями в случае запуска программы с правами другого пользователя (после его аутентификации) из проводника (утилита runas.exe).

Не реализована разрешительная политика подключения устройств (ОС позволяет лишь запрещать подключение ранее подключенных к ней устройств). Разрешительная политика – это не запрет подключения конкретных устройств, а разрешение подключения только санкционированных устройств (желательно с анализом серийных номеров изготовителя), при этом по умолчанию запрещается подключать любое иное устройство.

Отсутствие разграничений прав доступа для субъекта «процесс» (доступ разграничивается только для пользователей), что не позволяет локализовать среду исполнения для отдельных приложений.

И т.д.

Представленных недостатков вполне достаточно, чтобы сделать вывод о недостаточности механизмов защиты ОС Windows для эффективного решения задачи противодействия внутренним ИТ-угрозам.

Проиллюстрируем сказанное. Один и тот же пользователь должен обрабатывать открытую и конфиденциальную информацию на компьютере. Например, работать с сетью Интернет, сохранять открытые данные на мобильные накопители и т.д. Обработка конфиденциальной информации должна жестко регламентироваться (например, сохраняться только на файл-сервере), должна предотвращаться любая возможность ее выноса. Поскольку в ОС Windows существует возможность разграничить права доступа только между пользователями (нет разграничений для процессов), то эту задачу можно попытаться решить только одним способом – создать две учетные записи, одну для обработки открытых данных, другую для обработки конфиденциальных данных, и соответствующим образом разграничить права доступа для этих учетных записей к ресурсам. Задача может быть решена корректно только в случае, если с правами пользователя, допущенного к обработке открытых данных, невозможно получить доступ к конфиденциальной информации. Это средствами ОС Windows не решить (см. недостатки п.1 – п.4). Невозможно и предотвратить хищение данных с использованием мобильных накопителей (см. недостаток п.5).

В части противодействия внешним ИТ-угрозам.

Назначение механизмов защиты: противодействовать запуску несанкционированных (сторонних) программ (в том числе, трояны, черви, шпионские программы), противодействовать атакам на критичные процессы (прежде всего, сетевые службы, наиболее подверженные атакам), противодействовать атакам на скомпрометированные процессы (процессы, в которых обнаружена ошибка до момента ее исправления разработчиком ОС, что может потребовать месяцы, а то и годы), противодействовать атакам на сервисы олицетворения, атакам на системные ресурсы и т.д.

Некоторые (далеко не полный список) недостатки механизмов защиты ОС Windows:

Невозможность разграничить в полном объеме права доступа для пользователя System. При этом ОС предоставляет сервис запуска приложений (как правило, клиент-серверных) с системными правами. Ошибка в подобном приложении приводит к получению злоумышленником прав System, т.е. возможности полного управления защищаемым компьютером.

Невозможность разграничивать права доступа для процессов и приложений, как следствие, любое приложение, в том числе, критичное, скомпрометированное и т.д. имеет все права доступа, что и пользователь. Если это вирус, шпионская программа (либо приложение со шпионскими функциями) и т.д., они имеют доступ к данным пользователя, в том числе к конфиденциальной информации, что позволяет ее уничтожить или похитить.

Неэффективный (частичный) контроль сервисов олицетворения (ОС Windows предоставляет возможность (предоставляет сервис разработчикам приложений) процессам (точнее, потокам, порождаемым этими процессами) при запросе доступа к ресурсам запросить у системы права другого пользователя – и обратиться к ресурсу с этими правами, т.е. в обход разграничительной политики доступа к ресурсам). С данным недостатком связаны, например, атаки на расширение привилегий.

И т.д.

С учетом сказанного можем сделать вывод, что и в части противодействия внешним ИТ-угрозам механизмы защиты ОС Windows практически бесполезны, т.к. система не обеспечивает (либо обеспечивает лишь частично) защиту предоставляемых ею сервисов.


Дата добавления: 2015-11-14; просмотров: 59 | Нарушение авторских прав


<== предыдущая страница | следующая страница ==>
Д.т.н., проф. А.Ю.Щеглов (ЗАО «НПП «Информационные технологии в бизнесе») www.npp-itb.spb.ru| Проведенный анализ позволяет сделать нам следующий вывод.

mybiblioteka.su - 2015-2024 год. (0.006 сек.)