На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Принципиальные недостатки защитных механизмов ОС семейства Windows(NT/2000/XP)

Прежде всего рассмотрим принципиальные недостатки защиты ОС семей­ства Windows, напрямую связанные с возможностью НСД к информации. При этом в отличие от ОС семейства UNIX в ОС Windows невозможна в общем случае реализация централизованной схемы администрирования меха­низмов защиты или соответствующих формализованных требований. Вспомним, что в ОС UNIX это распространялось лишь на запуск процес­сов. Связано это с тем, что в ОС Windows принята иная концепция реа­лизации разграничительной политики доступа к ресурсам (для NTFS).
В рамках этой концепции разграничения для файла приоритетнее, чем для каталога, а в общем случае — разграничения для включаемого файлового объекта приоритетнее, чем для включающего (более подробно данный вопрос анализируется в четвертой части книги). Это приводит к тому, что пользователь, создавая файл и являясь его «владельцем», может назначить любые атрибуты доступа к такому файлу (т.е. разрешить к нему доступ лю­бому иному пользователю). При этом обратиться к этому файлу может
пользователь (которому назначил права доступа «владелец») вне зависи­мости от установленных администратором атрибутов доступа на каталог, в котором пользователь создает файл. Данная проблема непосредственно
связана с реализуемой в ОС Windows концепцией защиты информации.
Далее, в ОС семейства Windows (NT/2000/XP) не в полном объеме реали­зуется дискреционная модель доступа, в частности, не могут разграничи­ваться права доступа для пользователя «Система». В ОС присутствуют не только пользовательские, но и системные процессы, которые запускаются непосредственно системой. При этом доступ системных процессов не может быть разграничен. Соответственно, все запускаемые системные процессы имеют неограниченный доступ к защищаемым ресурсам. Как увидим ниже, с этим недостатком системы защиты связано множество
атак, в частности, несанкционированный запуск собственного процесса
с правами системного. Кстати, позднее мы увидим, что это возможно и вследствие некорректной реализации механизма обеспечения замкнуто­сти программной среды.
В ОС семейства Windows (NT/2000/XP) невозможно в общем случае обес­печить замкнутость (или целостность) программной среды. Это связано
совершено с иными проблемами, чем в ОС семейства UNIX, в которых
невозможно установить атрибут «исполнение» на каталог. Давайте выяс­ним, в чем сложности у ОС Windows в этом вопросе.
Рассмотрим два способа, которыми в общем случае можно реализовать данный механизм (подробнее об этом читайте в соответсвующих главах), и покажем их несостоятельность в ОС Windows. Итак, механизм замкну­тости программной среды в общем случае может быть обеспечен:
Заданием списка разрешенных к запуску процессов с предоставлени­ем возможности пользователям запускать процессы только из этого списка. При этом процессы задаются полнопутевыми именами, причем средствами разграничения доступа обеспечивается невозможность их модернизации пользователем. Данный подход просто не реализуется встроенными в ОС механизмами. * Разрешением запуска пользователями программ только из заданных каталогов при невозможности модернизации этих каталогов. Одним из условий корректной реализации данного подхода является запрет пользователям запуска программ иначе, чем из соответствующих ка­талогов. Некорректность реализации ОС Windows данного подхода связана с невозможностью установки атрибута «исполнение» на уст­ройства ввода (дисковод или CD-ROM). В связи с этим при разгра­ничении доступа пользователь может запустить несанкционирован­ную программу с дискеты, либо с диска CD-ROM (как далее увидим -это очень распространенная атака на ОС данного семейства).
Здесь же стоит отметить, что с точки зрения обеспечения замкнутости
программной среды (т.е. реализации механизма, обеспечивающего воз­можность пользователям запускать только санкционированные процес­сы (программы)) действия пользователя по запуску процесса могут быть как явными, так и скрытыми.
Явные действия предполагают запуск процессов (исполняемых файлов), которые однозначно идентифицируются своим именем. Скрытые действия позволяют осуществлять встроенные в приложения интерпретаторы ко­манд. Примером таковых могут служить офисные приложения. При этом скрытыми действиями пользователя будет запуск макроса.
В данном случае идентификации подлежит лишь собственно приложение,
например, процесс winword.exe. При этом он может помимо своих регла­ментированных действий выполнять те скрытые действия, которые задают­ся макросом (соответственно, те, которые допускаются интерпретатором),
хранящимся в открываемом документе. То же относится и к любой вирту­альной машине, содержащей встроенный интерпретатор команд. При этом
отметим, что при использовании приложений, имеющих встроенные интер­претаторы команд (в том числе офисных приложений), не в полном объе­ме обеспечивается выполнение требования по идентификации программ.
Возвращаясь к обсуждению недостатков, отметим, что в ОС семейства
Windows (NT/2000/XP) невозможно встроенными средствами гарантированно удалять остаточную информацию. В системе просто отсутствуют соответ­ствующие механизмы.
Кроме того, ОС семейства Windows (NT/2000/XP) не обладают в полном объеме возможностью контроля целостности файловой системы. Встроен­ные механизмы системы позволяют контролировать только собственные системные файлы, не обеспечивая контроль целостности файлов пользо­вателя. Кроме того, они не решают важнейшую задачу данных механиз­мов — контроль целостности программ (приложений) перед их запуском, контроль файлов данных пользователя и др.
Что касается регистрации (аудита), то в ОС семейства Windows (NT/2000/XP) не обеспечивается регистрация выдачи документов на «твердую копию», а также некоторые другие требования к регистрации событий.
Опять же, если трактовать требования к управлению доступом в общем случае, то при защите компьютера в составе ЛВС необходимо управле­ние доступом к хостам (распределенный пакетный фильтр). В ОС семей­ства Windows (NT/2000/XP) механизм управления доступа к хостам в пол­ном объеме не реализуется.
Что касается разделяемых сетевых ресурсов, то фильтрации подверга­ется только входящий доступ к разделяемому ресурсу, а запрос доступа на компьютере, с которого он осуществляется, фильтрации не подле­жит. Это принципиально, т.к. не могут подлежать фильтрации прило­жения, которыми пользователь осуществляет доступ к разделяемым ре­сурсам. Благодаря этому, очень распространенными являются атаки на протокол NETBIOS.
Кроме того, в полном объеме (в части фильтрации только входящего трафика) управлять доступом к разделяемым ресурсам возможно только
при установленной на всей компьютерах ЛВС файловой системы NTFS.
В противном случае невозможно запретить запуск несанкционированной программы с удаленного компьютера, то есть обеспечить замкнутость
программной среды в этой части.
Из приведенного анализа можем видеть, что многие механизмы, необходи­мые с точки зрения выполнения формализованных требований, ОС семей­ства Windows не реализуют в принципе, либо реализуют лишь частично.
Выводы
С учетом сказанного можем сделать важный вывод относительно того, что большинством современных универсальных ОС не выполняются в полном объеме требования к защите АС по классу 1Г. Это значит, что, учитывая требования нормативных документов [1, 2], они не могут без использования добавочных средств защиты применяться для защиты даже конфиденциальной информации. При этом следует отметить, что основ­ные проблемы защиты здесь вызваны не невыполнимостью ОС требова­ний к отдельным механизмам защиты, а принципиальными причинами,
обусловленными реализуемой в ОС концепцией защиты. Концепция эта основана на реализации распределенной схемы администрирования ме­ханизмов защиты, что само по себе является невыполнением формали­зованных требований к основным механизмам защиты.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика