Содержание
- 2. Рассматриваемые темы Тема 16. Проблемы обеспечения безопасности сетевых ОС Тема 17. Анализ защищённости на уровне ОС
- 3. Проблемы обеспечения безопасности сетевых операционных систем Раздел 3 – Тема 16
- 4. Корпоративная сеть Внутренние серверы Рабочие места МЭ
- 5. Уровень ОС ПРИЛОЖЕНИЯ СУБД ОС СЕТЕВЫЕ СЛУЖБЫ ПОЛЬЗОВАТЕЛИ
- 6. Причины возникновения уязвимостей ОС ошибки проектирования (компонент ядра, подсистем) ошибки реализации (кода) ошибки эксплуатации (неправильная настройка,
- 7. Ошибки проектирования Ошибки, допущенные при проектировании алгоритмов и принципов работы компонент ядра, подсистем: отсутствие ограничений на
- 8. Ошибки реализации int i, offset=OFFSET; if (argv[1] != NULL) offset = atoi(argv[1]); buff = malloc(BSIZE); egg
- 9. Ошибки реализации Переполнение буфера – наиболее распространённая техника использования ошибок реализации Переполнение буфера – манипуляции с
- 10. Исправление ошибок реализации Проблема аутентификации обновлений Производитель ПО Клиент
- 11. Исправление ошибок реализации Проблема аутентификации обновлений Цифровая подпись не используется вообще Нет прямого пути, чтобы проверить,
- 12. Аутентификация обновлений Использование отозванных сертификатов Sun Microsystems (CERT® Advisory CA-2000-19) Троянский конь в одной из версий
- 13. Исправление ошибок реализации Способы получения обновлений PGP (GnuPG) HTTPS SSH
- 14. Ошибки обслуживания Ошибки использования встроенных в ОС механизмов защиты
- 15. Защитные механизмы идентификация и аутентификация разграничение доступа (и авторизация) регистрация событий (аудит) контроль целостности затирание остаточной
- 16. Субъекты и объекты
- 17. Субъекты и объекты Объект доступа - пассивная сущность операционной системы (файл, каталог, блок памяти) Субъект доступа
- 18. Пример субъекта доступа Субъект доступа = Маркер безопасного доступа + Процесс (поток) Субъект доступа в ОС
- 19. Субъект доступа Процесс Субъект доступа в Linux В роли субъектов доступа в Linux выступают процессы Процессы
- 20. Идентификация и аутентификация Идентификация (субъекта или объекта): 1) именование (присвоение имен-идентификаторов); 2) опознавание (выделение конкретного из
- 21. Сетевая аутентификация Передача пароля в открытом виде Передача хэша пароля Механизм «запрос/отклик» Клиент Сервер Запрос пароля
- 22. Сетевая аутентификация Клиент Сервер Механизм «запрос/отклик» Запрос пароля Зашифрованный запрос Установление связи Аналогичная операция и сравнение
- 23. Уязвимости аутентификации (по паролю) Возможность перехвата и повторного использования пароля (получение доступа к файлам с паролями)
- 24. Сетевая аутентификация Предсказуемый запрос f(t)=k*t+c Сервер Запрос на аутентификацию «Случайный» запрос пароля …
- 25. Сетевая аутентификация Предсказуемый запрос f(t)=k*t+c Запрос пароля от имени сервера Отклик Сервер Клиент Имя – user1
- 26. Сетевая аутентификация Предсказуемый запрос f(t)=k*t+c Сервер Запрос на аутентификацию «Случайный» запрос пароля Совпал с предсказанным Полученный
- 27. Разграничение доступа
- 28. Разграничение доступа избирательное управление доступом полномочное управление доступом
- 29. Разграничение доступа Диспетчер доступа Субъект доступа Объект доступа Правила разграничения доступа Журнал регистрации
- 30. Разграничение доступа Диспетчер доступа (Security reference monitor) Режим ядра Режим пользователя Процесс пользователя
- 31. Матрица избирательного управления доступом объекты субъекты 1 2 J N 1 I 2 ... ... ...
- 32. Списки управления доступом в Windows NT (NTFS) - R-Х R- RWХ C:\Program Files Реализация матрицы доступа
- 33. Списки управления доступом в UNIX RWX R-Х --- /home/www Владелец Группа Остальные other webgroup alex Права
- 34. Полномочное управление доступом Иерархия меток (грифов) конфиденциальности: «Особой важности» «Совершенно секретно» «Секретно» «Строго конфиденциально» «Конфиденциально» Неиерархическая
- 35. Механизм регистрации и аудита событий Диспетчер доступа Субъект доступа Объект доступа Журнал регистрации
- 36. Механизм регистрации и аудита событий (Windows NT) Локальный администратор безопасности (LSA) Журнал аудита Монитор безопасности (SRM)
- 37. Система регистрации событий в UNIX login telnetd rlogin syslogd /var/log/logins /var/log/notice syslog.conf
- 38. Контроль целостности Механизм контроля целостности предназначен для своевременного обнаружения фактов модификации (искажения, подмены) ресурсов системы (данных,
- 39. Контроль целостности Контролируемые ресурсы: - файлы и каталоги - элементы реестра - сектора дисков Контролируемые параметры:
- 40. Контроль целостности (Windows 2000) Подсистема Windows File Protection Повреждённый системный файл заменяется копией из каталога %systemroot%\system32\dllcache
- 41. Затирание остаточной информации Удаление информации с диска Очистка области памяти
- 42. Затирание остаточной информации Очистка файла подкачки Hive: HKEY_LOCAL_MACHINE Key: System\CurrentControlSet\Control\ \Session Manager\Memory Management Name: ClearPageFileAtShutdown Type:
- 43. Этапы настройки Отслеживание уязвимостей реализации и установка исправлений; Настройка параметров субъектов (например, назначение привилегий пользователям); Разграничение
- 44. Политика безопасности и ОС Политика безопасности Другие ОС UNIX Windows NT Общие стандарты Руководства по настройке
- 45. Политика безопасности и ОС Политика безопасности Другие ОС UNIX Windows NT Общие стандарты Руководства по настройке
- 46. Структура стандарта BS7799 Политика в области безопасности Организация системы безопасности Классификация ресурсов и управление Безопасность и
- 47. Политика безопасности и ОС Политика безопасности Другие ОС UNIX Windows NT Общие стандарты Руководства по настройке
- 48. NT Security Guidelines Структура документа Level 1 Level 2 Level 1 – незначительная модификация установок по
- 49. Утилиты для настройки Анализ текущего состояния системы Автоматизация процесса настройки системы
- 50. Утилиты для настройки C2 Config - Windows NT Resource Kit Security Configuration Manager (SCM) Security Configuration
- 51. Дополнительные средства Средства анализа защищённости Средства обнаружения и блокировки вторжений Дополнительные средства защиты
- 52. Дополнительные средства Дополнительные средства защиты Средства, расширяющие возможности встроенных механизмов защиты Средства, реализующие дополнительные механизмы защиты
- 53. Дополнительные средства Усиление процедуры аутентификации Дополнительные требования к паролям Фильтр passfilt.dll для Windows NT Модули PAM
- 54. Фильтр для паролей Passfilt.dll Длина пароля не менее 6 знаков Обязательные символы (верхний/нижний регистр, числа, спецсимволы)
- 55. Дополнительные средства Утилита Passprop Включение режима усложнения пароля Управление блокировкой учётной записи «Administrator»
- 56. Агенты для различных ОС Анализ защищенности на уровне операционной системы
- 57. Дополнительные средства Средства обнаружения и блокировки вторжений Системы обнаружения атак на базе узла Персональные МЭ
- 59. Скачать презентацию