Информационная безопасность Модели управления доступом Разграничение доступа Вычислительные комплексы Смотрите autorentvalencia.com аренда автомобилей в валенсии.
Учебник по информатике Операционная система Linux Базовые технологии локальных сетей

Информационная безопасность

Структура диспетчера доступа. Требования к механизмам управления доступом к ресурсам

Диспетчер доступа, как центральный элемент системы защиты

Разграничение доступа осуществляется центральным элементом системы защиты -- диспетчером доступа. Диспетчер доступа идентифицирует субъекты, объекты и параметры запрашиваемого доступа субъектом к объекту. Это именно диспетчер доступа предоставляет запрашиваемый доступ или запрещает его.

Идентифицирующую информацию субъектов и объектов доступа принято называть учетной информацией. Правила, на основании которых диспетчер доступа принимает решение о предоставлении (либо отказе) субъекту доступа к объекту, называют правилами (или политикой) разграничения доступа.

Обобщенная схема управления доступом представлена на рис. 11.10.

Рис. 11.10. Обобщенная схема управления доступом

Почему парольная защита Windows 95/98 ненадежна

После того как была установлена парольная защита, каждый раз, когда включается компьютер, Windows 95/98 станет вежливо осведомляться о том, каковы ваши регистрационное имя и пароль. Продолжение нормальной работы с Windows 95/98 будет возможно только в том случае, если регистрационное имя и соответствующий ему пароль были введены без ошибок. Означает ли это, что система парольной защиты Windows 95/98 гарантирует: злоумышленник не сможет знакомиться с содержимым всех ваших файлов и запускать любые программы на вашем компьютере?

Отнюдь. Почему? Да по той простой причине, что в основе функционирования Windows 95/98 лежат принципы, которые были применены на практике при создании другой, более примитивной операционной системы корпорации Microsoft — DOS. Несмотря на то, что Windows 95/98 старается “упрятать” DOS как можно дальше, она по-прежнему использует эту безнадежно устаревшую операционную систему для обеспечения работоспособности старых программ, которые остались у пользователей, сменивших DOS на Windows 95/98. А ведь хорошо известно, что в DOS напрочь отсутствуют защитные механизмы, которые предотвращают несанкционированный доступ к файлам и программам компьютера, работающего под ее управлением. Ведь в сущности DOS и задумывалась-то именно для выполнения совершенно противоположной задачи — предоставить всем возможность обращаться к любым файлам. Как следствие, существует несколько способов обойти парольную защиту Windows 95/98, загружая на компьютере операционную систему DOS вместо Windows 95/98.

Как предотвратить несанкционированную загрузку системы

В ходе инсталляции операционной системы Windows 95/98 корпорация Microsoft настойчиво рекомендует ее пользователям сразу же создать так называемый загрузочный диск. В этой рекомендации есть свой резон: если возникнут какие-либо проблемы при переходе на Windows 95/98, вы сможете воспользоваться загрузочным диском, чтобы внести необходимые поправки. Если вы не создали загрузочную дискету во время инсталляции операционной системы, вы можете сделать это в любой момент. Выберите опцию Установка и удаление программ (Add/Remove Programs) на Панели управления (Control Panel) Windows 95/98, а затем щелкните на переключателе Загрузочный диск (Startup Disk). После этого нажмите кнопку Создать диск (Create Disk) и вставьте гибкий диск в дисковод. Чтобы создать загрузочный диск Windows 95/98, вам потребуется всего одна дискета. Диалоговые окна, с которыми пользователь имеет дело при создании загрузочного диска, показаны на рис. 3.7.

Рис. 3.7. Создание загрузочной дискеты Windows 95/98

Таким образом, для создания загрузочного диска не требуется каких-либо особенных познаний. Зато с его помощью можно без всяких хлопот обойти систему парольной защиты Windows 95/98. Эта система активируется только при загрузке Windows 95/98. При использовании же загрузочного диска происходит запуск не Windows 95/98, а ее подсистемы, функционально эквивалентной операционной системе DOS и не имеющей никаких средств обеспечения безопасной работы с компьютером (наподобие парольной защиты). Затем путем нехитрых манипуляций злоумышленник может не только установить собственный пароль для последующего открытия сеанса работы с Windows 95/98, но и сделать так, чтобы все остальные ее пользователи ничего не заметили и продолжали регистрироваться в Windows 95/98 посредством своих законных паролей.

Чтобы предотвратить несанкционированный доступ к компьютеру через загрузочный диск, необходимо применять дополнительные физические меры защиты (например, закрывать на замок дверь, ведущую в помещение, где находится компьютер), блокировать клавиатуру или кнопку включения питания компьютера при помощи ключа, использовать установки BIOS компьютера для предотвращения неконтролируемой загрузки операционной системы с гибкого диска, а также для задания пароля включения питания и изменения установок BIOS.

Подобные меры окажутся весьма действенными и в том случае, если злоумышленник захочет использовать возможность загрузки Windows 95/98 в режиме защиты от сбоев, который также называется защищенным режимом (Safe Mode). Этот режим представляет собой специальный способ работы с Windows 95/98, с помощью которого можно запустить эту операционную систему, невзирая на всякие “мелочи” вроде парольной защиты. Для этого после включения питания компьютера достаточно удерживать в нажатом положении клавишу <F5> компьютерной клавиатуры.

Помимо <F5>, на клавиатуре имеются две другие особо “опасные” клавиши — <Ctrl> и <F8>, нажимая которые в ходе первоначальной загрузки Windows 95/98, злоумышленник может вызвать на экран дисплея специальное меню. В нем в качестве одной из опций присутствует возможность вместо Windows 95/98 запустить операционную систему DOS. С помощью этого меню можно заставить Windows 95/98 грузиться в режиме защиты от сбоев. Присутствие обеих этих возможностей одинаково нежелательно с точки зрения обеспечения в Windows 95/98 надежной парольной защиты.

Поэтому использование <F5>, <F8> и <Ctrl> и других подобных им клавиш в ходе первоначальной загрузки следует запретить, заставив Windows 95/98 никак не реагировать на их нажатие. Для этого достаточно отредактировать системный файл MSDOS.SYS, располагающийся, как правило, в разделе жесткого диска, с которого грузится Windows 95/98. Открыв MSDOS.SYS при помощи обычного редактора, вы увидите текст примерно следующего содержания:

Добавьте в раздел [Options] файла MSDOS.SYS одну из двух команд: BootKеуз=0 или BootDelay=0. Обе эти команды позволяют дезактивировать работу клавиш <F5>, <F8> и <Ctrl> в ходе первоначальной загрузки. А чтобы слишком умный взломщик не смог незаметно убрать команду BootKeys=0 или BootDeiay=0, предусмотрительно помещенную вами в файл MSDOS.SYS, следует защитить его при помощи антивирусного сканера, который своевременно предупредит вас обо всех попытках внести несанкционированные изменения в этот файл.

Лекции по информатике