Физика атома и ядра Физические законы механики Лекции по физике теория газов Электромагнетизм Оптика Физика атома Физика ядра Радиоактивность Постоянный ток Механика основные законы Электродинамика Магнетизм, электрический ток
Авторизация Биометрические системы контроля доступа Права доступа Угрозы преодоления разграничительной политики доступа к ресурсам

Шифрование файлов

На первый взгляд, шифрование файлов можно полностью уподобить шифрованию сообщений, отправителем и получателем которых является одно и то же лицо, а средой передачи служит одно из компьютерных устройств хранения данных (магнитный или оптический диск, магнитная лента, оперативная память). Однако все не так просто, как кажется на первый взгляд.

Если при передаче по коммуникационным каналам сообщение затеряется по пути от отправителя к получателю, его можно попытаться передать снова. При шифровании данных, предназначенных для хранения в виде компьютерных файлов, дела обстоят иначе. Если вы не в состоянии расшифровать свой файл, вам вряд ли удастся сделать это и со второй, и с третьей, и даже с сотой попытки. Ваши данные будут потеряны раз и навсегда. Это означает, что при шифровании файлов необходимо предусмотреть специальные механизмы предотвращения возникновения ошибок в шифртексте.

Угрозы преодоления разграничительной политики доступа к ресурсам. Противодействие угрозам современными ОС

Классификация угроз преодоления разграничительной политики доступа к ресурсам

Классификация угроз преодоления разграничительной политики доступа к ресурсам в общем случае представлена на рис. 11.9. Как и ранее, здесь могут быть выделены явные и скрытые угрозы. Явные угрозы связаны с некорректностью реализации как собственно механизма защиты, так и механизма его администрирования. Кроме того, явные угрозы могут быть связаны с неполнотой разграничений, реализуемых в системе, что позволяет пользователю без применения каких-либо вспомогательных средств осуществить НСД к ресурсам.

Скрытые же угрозы наоборот предполагают для осуществления НСД применение пользователем своего программного обеспечения (и здесь невозможно предположить, каким образом и с какой целью они реализуются), а также знаний об ошибках и потенциально возможных закладках в реализации механизмов управления доступом к ресурсам.

Рис. 11.9. Угрозы преодоления разграничительной политики доступа к ресурсам

Противодействие угрозам современными ОС Практический анализ современных ОС в контексте принятой классификации угроз преодоления разграничительной политики доступа Структура диспетчера доступа. Требования к механизмам управления доступом к ресурсам Следуя формализованным требованиям к механизмам управления доступом к ресурсам, могут быть сформулированы требования к диспетчеру доступа Каноническая модель управления доступом. Условие корректности механизма управления доступом Рассмотренная выше каноническая модель управления доступом характеризуется полным разграничением доступа субъектов к объектам, при котором субъекты не имеют каналов взаимодействия каналов обмена информацией. Однако такая возможность должна предусматриваться Модель управления доступом с взаимодействием субъектов доступа посредством выделенного канала Под виртуальным каналом взаимодействия субъектов доступа будем понимать канал взаимодействия, реализованный с использованием только существующих объектов доступа без включения в систему дополнительных объектов. Модель управления доступом с дуплексными виртуальными каналами взаимодействия на основе активных симплексных каналов Выше были рассмотрены различные модели управления доступом. С учетом сказанного, можем сделать следующие выводы относительно различия и общности альтернативных моделей:

Утилита PASSPROP из состава Windows NT Resource Kit, запущенная с ключом /COMPLEX, заставляет пользователей вводить более устойчивые пароли, которые или сочетают, буквы в разном регистре, или буквы с цифрами, или буквы со специальными символами. Более строгие правила фильтрации нестойких паролей можно задать после установки любого из пакетов обновления Windows NT, начиная с Service Pack 2. Тогда специальная библиотека PASSFILT.DLL, находящаяся в каталоге \winnt_root\System32, будет следить за тем, чтобы каждый пользовательский пароль состоял не менее чем из 5 символов, не содержал имени пользователя, включал символы, по крайней мере, трех наборов из четырех возможных, составленных из прописных букв, строчных букв, цифр и специальных символов (знаков препинания и т. д.) соответственно. Чтобы задать такой режим проверки паролей пользователей, необходимо в раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa системного реестра с помощью программы REGEDT32 добавить параметр Notification Packages типа REG_MULTI_SZ и вписать в него строку PASSFILT. Если этот параметр уже имеется, то новую строку следует дописать после уже существующей.

В заключение необходимо отметить, что хотя в умелых руках злоумышленника программы взлома паролей операционных систем представляют огромную опасность для их парольной защиты, сами парольные взломщики все же являются не менее ценным инструментом для системных администраторов, которые заинтересованы в выявлении слабых мест в парольной защите своих операционных систем. Основная проблема состоит не в том, что на свете существуют парольные взломщики, а в том, что ими недостаточно часто пользуются системные администраторы. Надеюсь, что после выхода в свет этой книги положение дел изменится к лучшему.

Как сделать парольную защиту Windows 95/98 более надежной

В настоящее время Windows корпорации Microsoft является наиболее распространенной операционной системой. Подавляющее большинство компьютеров, которые повсеместно используются для решения самых разнообразных задач, функционируют именно под ее управлением.

Однако, признавая отменные потребительские качества операционных систем корпорации Microsoft, нельзя обойти вниманием имеющиеся в них значительные изъяны. В первую очередь, это касается парольной защиты Windows 95 и Windows 98. Фактически парольная защита в Windows 98 осталась на прежнем уровне по сравнению с Windows 95. Поэтому все сказанное в ходе дальнейшего изложения в равной степени относится к ним обеим. А следовательно, рассматривая парольную защиту Windows 95 и Windows 98, можно вести речь не о двух отдельных операционных системах, а о единой, обобщенной операционной системе, которую будем условно называть Windows 95/98.

Далеко не все пользователи знают, что для парольной защиты Windows 95/98 характерны существенные недостатки, связанные с тем, что при ее разработке корпорация Microsoft не уделила должного внимания проблемам безопасности компьютеров, для которых предназначалась эта операционная система. Рассмотрим подробнее, что представляет собой парольная защита в Windows 95/98, какие у нее имеются изъяны и как от них избавиться средствами самой операционной системы.

Комбинированное шифрование Комбинация канального и сквозного шифрования данных в компьютерной сети обходится значительно дороже, чем каждое из них по отдельности. Однако именно такой подход позволяет наилучшим образом защитить данные, передаваемые по сети. Шифрование в каждом канале связи не позволяет противнику анализировать служебную информацию, используемую для маршрутизации. А сквозное шифрование уменьшает вероятность доступа к незашифрованным данным в узлах сети. При комбинированном шифровании работа с ключами ведется так: сетевые администраторы отвечают за ключи, используемые при канальном шифровании, а о ключах, применяемых при сквозном шифровании, заботятся сами пользователи.

Ядерная энергетика