Информационная безопасность и защита информации - Мельников В.П.
ISBN 978-5-7695-4884-0
Скачать (прямая ссылка):
Обеспечение безопасности для WINDOWS 95/98. Оно осуществляется через механизм встраивания в цепочку обработки файловых операций с использованием механизма IFS Manager. Этот механизм предоставляет собой интерфейс для присоединения собственных «обработчиков» избранных файловых операций. Рассмотрим реализацию процедуры журналирования запуска и открытия исполняемых модулей, реализованную внутри виртуального драйвера VXD.
Основной проблемой нормальной работы мониторов безопасности является выполнение корректных операций с защищаемыми объектами (в данном случае — с исполняемыми файлами и журналом) внутри кода мониторов. В рассматриваемой программе вводится специальный флаг Already In Hooker, который указывает, что при перехвате файловых операций управление попадает сразу же на их предыдущий обработчик. Затем необходимо обратить внимание на работу с журналом (файл c:\test_log.w95). Журнал после помещения в него очередной записи закрывается (что необходимо для отказоустойчивости — пропадание питания или неустранимый сбой приложения не приведут к потере записи) и затем снова открывается (для того чтобы какое-либо приложение не смогло открыть его и блокировать запись со стороны statis 95.VXD).
Приведенный пример является типовым для написания мониторов безопасности систем.
Для активизации данного VXD можно использовать два способа. Первый способ заключается в том, что в секцию Enh386 файла system.ini добавляется строка вида device = путь к файлу VXD. Второй способ заключается в динамической загрузке драйвера. Она выполняется следующим фрагментом кода:
#include <stdio.h> #include <windows.h> #include <stdlib.h> int raain() {
HANDLE hCVxD = 0 ;
Il Динамически загружаем драйвер statis95.VXD hCVxD = CreateFile ("WW .\\statis95 .VXD", 0,0,0,
249
CREATE NEW, FILE FLAG DELETE ON_CLOSE, O);
if(hCVXD == INVALID_HANDLE_VALUE)
{
printf ("Невозможно открыть виртуальный драйвер устройства statis95.VXD!\n") ; exit (-1) ; }
printf ("Драйвер успешно загружен\п") ; CloseHandle(hCVXD); return (0) ; }
Идентификация и аутентификация (ИА) в ОС WINDOWS NT.
Сущность этих процедур состоит в том, что при входе в систему пользователь передает в системную функцию LogonUser свое имя, пароль и имя рабочей станции или домена, в котором данный пользователь зарегистрирован. Если пользователь успешно идентифицирован, то функция LogonUser возвращает указатель на маркер доступа пользователя, который в дальнейшем используется при любом его обращении к защищенным объектам системы.
Механизм ИА пользователя в ОС WINDOWS NT реализуется специальным процессом Winlogon, который активизируется на начальном этапе загрузки ОС и остается активным на протяжении всего периода ее функционирования. Ядро операционной системы регулярно проверяет состояние данного процесса, и в случае его аварийного завершения происходит аварийное завершение работы всей операционной системы. Помимо идентификации пользователя Winlogon реализует целый ряд других функций, таких как переключение рабочих полей (desktop), активизация хранителей экрана, а также ряд сетевых функций.
Процесс Winlogon состоит из следующих модулей:
• ядро процесса Winlogon. ехе;
• библиотека GINA: (Graphic Identification and Autentication — графическая библиотека ИА); динамическая библиотека функций, используемых для локальной идентификации пользователя (идентификации пользователя на рабочей станции);
• библиотеки сетевой поддержки (Network Provider DLLs), реализующие «удаленную» идентификацию пользователей (идентификацию пользователей, обращающихся к ресурсам сервера через сеть).
Библиотека GINA и библиотеки сетевой поддержки являются заменяемыми компонентами процесса Winlogon. Конфигурация библиотек сетевой поддержки определяется протоколами и видами сервиса поддерживаемой сети. При этом конфигурация библиотеки GINA определяется требованиями к механизму локальной идентификации.
250
В каждый момент времени технологического процесса Winlogon может находиться в одном из состояний, представленных на рис. 5.3.
Когда пользователь еще не вошел в систему, Winlogon находится в состоянии 7, пользователю предлагается идентифицировать себя и предоставить подтверждающую информацию (в стандартной конфигурации — пароль). Если информация, введенная пользователем, дает ему право входа в систему, то активизируется оболочка системы (как правило, Program Manager) и Winlogon переключается в состояние 2.
Хотя в состоянии 1 ни один пользователь не может непосредственно взаимодействовать с системой, в случае, если на рабочей станции запущен Server Service, пользователи могут обращаться к ресурсам системы через сеть.
Когда пользователь вошел в систему, Winlogon находится в состоянии 2. В этом состоянии пользователь может прекратить работу, выйдя из системы, или заблокировать рабочую станцию. В первом случае Winlogon завершает все процессы, связанные с завершающимся сеансом и переключается в состояние 1. Во втором случае Winlogon выводит на экран сообщение о том, что рабочая станция заблокирована, и переключается в состояние 3.
