Информационная безопасность Модели управления доступом Разграничение доступа Вычислительные комплексы Учебник по информатике Операционная система Linux Базовые технологии локальных сетей

Информационная безопасность

Рассмотрение правил оформим в виде списка:

Полномочная модель управления доступом с произвольным управлением виртуальными каналами взаимодействия субъектов доступа.

субъект С имеет доступ к объекту О в режиме «Чтения» в случае, если выполняется условие: Мс = Мо;

субъект С имеет доступ к объекту О в режиме «Записи» в случае, если выполняется условие: Мс = Мо;

субъект С имеет доступ к объекту О в режиме «Добавления» в случае, если выполняется условие: Мс > Мо.

Полномочная модель управления доступом с принудительным управлением виртуальными каналами взаимодействия субъектов доступа:

субъект С имеет доступ к объекту О в режиме «Чтения» в случае, если выполняется условие: Мс <= Мо;

субъект С имеет доступ к объекту О в режиме «Записи» в случае, если выполняется условие: Мс = Мо.

Полномочная модель управления доступом с комбинированным управлением виртуальными каналами взаимодействия субъектов доступа:

субъект С имеет доступ к объекту О в режиме «Чтения» в случае, если выполняется условие: Мс <= Мо;

субъект С имеет доступ к объекту О в режиме «Записи» в случае, если выполняется условие: Мс = Мо;

субъект С имеет доступ к объекту О в режиме «Добавления» в случае, если выполняется условие: Мс > Мо.

Данная модель, при определенных допущениях, представляет собою модель Белла—Ла-Падулы [4].

Возможности мандатной модели доступа

Дадим мандатному механизму управления доступом определение с учетом сказанного ранее.

Под мандатным механизмом управления доступом, реализующим канонические полномочные модели управления доступом, понимается способ обработки запросов диспетчером доступа, основанный на формальном сравнении меток безопасности субъектов и объектов доступа в соответствии с заданными правилами.

Основой же мандатного механизма является реализация принудительного управления виртуальными каналами взаимодействия субъектов доступа. При этом основным требованием к принудительному управлению является обеспечение невозможности перенесения информации из объекта более высокого уровня конфиденциальности в объект с информацией более низкого уровня конфиденциальности. Поэтому к механизмам упраилеиия доступом, реализующим принудительное управление виртуальными каналами взаимодействия субъектов доступа,накладываются дополнительные ограничения к корректности реализации.

Как запретить кэширование паролей в Windows 95/98

Пользователи миллионов компьютеров, применяющих парольную защиту Windows 95/98, часто даже не подозревают о еще одной грозящей им опасности. Проблема связана с кэшированием паролей — методом, который был разработан корпорацией Microsoft для их хранения в Windows 95/98. Многие выбирают кэширование паролей, даже не догадываясь об этом, поскольку кэширование в Windows 95/98 разрешено по умолчанию. В этом случае пользовательский пароль помещается операционной системой в отдельный файл на магнитном диске. Например, если ваше имя — Вадим, и оно также является идентификатором для входа в систему, то ваш пароль будет сохранен в файле C:\WINDOWS\BMHM.PWL.

При кэшировании пароль записывается в PWL-файл в зашифрованном виде. В корпорации Microsoft утверждают, что применяемый метод шифрования является лучшим среди разрешенных правительством США для экспорта за пределы страны. Суть возражений оппонентов Microsoft состоит в том, что реализация этого метода в Windows 95/98 далеко не безупречна, и в результате его стойкость совершенно не отвечает современным требованиям. Программы, предназначенные для дешифрования парольных файлов, можно легко отыскать в глобальной сети Internet , что свидетельствует об уязвимости метода шифрования паролей в Windows 95/98.

Существует 2 пути решения этой проблемы. Во-первых, можно получить от Microsoft “заплату”, которая позволяет использовать в Windows 95/98 более совершенный метод шифрования паролей. Такая “заплата” доступна пользователям глобальных компьютерных сетей, в которых присутствует корпорация Microsoft.

Во-вторых, кэширование паролей можно отключить. Правда, чтобы сделать это, придется немного повозиться. Для начала потребуется установить программу, которая называется Редактор системных правил (System Policy Editor). Эта программа входит в комплект Windows 95/98 Resource Kit (Набор ресурсов Windows 95/98), который включен в поставку Windows 95/98 на компакт-диске. Чтобы ее установить, надо выполнить следующее:

1. Используя пиктограмму Установка и удаление программ

(Add/Remove Programs) в Панели управления (Control Panel), выберите вкладку Установка Windows (Windows Settings).

2. Нажмите на кнопку Установить с диска (Have Disk) и в появившемся

диалоговом окне укажите каталог E:\ADMIN\APPTOOLS\POLEDIT для Windows 95 или E:\TOOLS\RESKIT\NETADMIN\POLEDIT для Windows 98 (если ваш CD-ROM установлен как диск Е).

3. В диалоговом окне, появившемся после нажатия кнопки Установить с

диска (Have Disk), выберите программу Редактор системных правил (System Policy Editor), а затем нажмите кнопку Установить (Install).

4. Нажмите кнопку ОК, чтобы закрыть диалоговое окно Установка и

 удаление программ (Add/Remove Programs).

Процесс установки редактора системных правил проиллюстрирован на рис. 3.8.

Лекции по информатике