CC BY
3КОМПЬЮТЕРНЫЕ ТЕХНОЛОГИИ (COMPUTER TECHNOLOGY)
УДК 004.056.53 Научная статья
ДЕСКРИПТИВНАЯ МОДЕЛЬ СИСТЕМЫ КОНТРОЛЯ И УПРАВЛЕНИЯ ДОСТУПОМ ОПЕРАЦИОННЫХ СИСТЕМ MICROSOFT WINDOWS
Храмов М.А., Корнев Л.В., Шабля В.О. Краснодарское высшее военное училище имени генерала армии С.МШтеменко
(г. Краснодар, Россия)
Аннотация. В статье проведено исследование принципов построения операционной системы Microsoft Windows, с точки зрения обеспечения конфиденциальности информации, для определения взаимосвязи механизмов идентификации, аутентификации, авторизации и системы контроля доступа. Разработана дескриптивная модель системы контроля и управления доступом операционных систем Windows NT и предложены меры по повышению доверия к среде функционирования взаимодействующих субъектов и объектов доступа.
Ключевые слова: идентификация, аутентификация, авторизация, система контроля и управления доступом, субъект доступа, объект доступа, конфиденциальность.
Для цитирования: Храмов М.А., Корнев Л.В., Шабля В.О. Дескриптивная модель системы контроля и управления доступом операционных систем Microsoft Windows // Наука и реальность. 2024. № 1 (17). С. 74-78.
DESCRIPTIVE MODEL OF THE ACCESS CONTROL AND MANAGEMENT SYSTEM OF MICROSOFT WINDOWS OPERATING SYSTEMS
Khramov M.A., Kornev L.V., Shablya V.O.
Krasnodar Higher Military School (Krasnodar, Russia)
Abstract. The article examines the principles of building the Microsoft Windows operating system, from the point of view of ensuring information confidentiality, to determine the relationship between identification, authentication, authorization and access control systems. A descriptive model of the access control and management system of Windows NT operating systems has been developed and measures have been proposed to increase confidence in the functioning environment of interacting subjects and access objects.
Keywords: identification, authentication, authorization, access control and management system, access subject, access object, confidentiality.
For citation: Khramov M.A., Kornev L.V., Shablya V.O. Descriptive model of the access control and management system of Microsoft Windows operating systems // Science and Reality. 2024. no. 1 (17), pp. 74-78. (in Russian).
Введение.
Предотвращение несанкционированного доступа к защищаемым ресурсам является одним из основныгх направлений обеспечения конфиденциальности информации [1, с.1; 2, с.7]. Для выполнения связанных с этим мер в операционныгх системах Microsoft семейства Windows NT (далее - Windows) применяется система контроля и управления доступом, включающая в себя подсистемы, ответственных за реализацию механизмов идентификации, аутентификации и авторизации.
Данная работа имеет целью построение дескриптивной модели системы контроля и управления доступом операционных систем Windows для определения взаимосвязи механизмов идентификации, аутентификации и авторизации, что позволит предложить меры по повышению доверия к среде функционирования взаимодействующих субъектов и объектов безопасности локальных вычислительных сетей и отдельных автоматизированных рабочих мест под управлением операционных систем Windows.
В работе будет рассматриваться именно логическое управление доступом, которое реализуется программными средствами операционных систем Windows.
Анализ системы контроля и управления доступом операционных систем Windows.
Взаимодействие в операционных системах Windows пользователя с информационными ресурсами, в общем виде, представляет собой запуск конкретным пользователем соответствующих ему процессов и потоков, для последующего обращения к файлам.
С точки зрения безопасности информации, в среде функционирования операционной системы, инициируемые пользователем потоки и процессы (субъекты безопасности) предназначены для выполнения операций с защищаемыми объектами на компьютере: файлами, устройствами, другими процессами и каналами между ними, разделами общей памяти, разделами реестра. Необходимо понимать, что в операционных системах Windows субъектом безопасности является любая сущность, которая может быть проверена операционной системой. Это могут быть не только процессы и потоки, но и учетные записи пользователей, системные учетные записи системы или группы безопасности этих учетных записей.
Субъекты безопасности являются основой управления доступом к защищаемым ресурсам автоматизированных рабочих мест под управлением Windows, где каждому субъекту доступа присвоен идентификатор безопасности (Security Identifier, SID), который субъект сохраняет в течение всего времени существования. Идентификатор безопасности присваивается пользователю диспетчером учетных записей безопасности (Security Account Manager, SAM) после успешной регистрации пользователя администратором системы и предназначен для однозначной идентификации субъекта доступа на уровне системы безопасности [3, с.2; 4, с.1].
Действия по присвоению пользователям операционной системы идентификаторов или действия по сравнению предъявляемого идентификатора с перечнем присвоенных идентификаторов, представляют собой процесс идентификации [1, с.4].
Для проверки подлинности субъекта доступа и определения принадлежности ему предъявленного идентификатора безопасности, применяется процедура аутентификации, которая так же реализуется диспетчером учетных записей безопасности (SAM). Целью аутентификации является формирование необходимой уверенности в том, что пользователь является тем зарегистрированным субъектом доступа, за кого себя выдает предъявленным идентификатором. Доказательство подлинности пользователя должно основываться на проверке связи между идентификатором безопасности пользователя и предъявляемой
пользователем аутентификационной информацией (пароль, смарт-карта, биометрический фактор) [1, с.2].
Пользователь системы, после успешного прохождения идентификации и аутентификации, авторизовывается в системе и получает от сервера проверки подлинности локальной системы безопасности (Local Security Authority Subsystem Service, LSASS) маркер доступа, закрепляемый за ним в рамках сессии. аркер доступа содержит идентификатор безопасности пользователя, права пользователя и идентификаторы безопасности групп, к которым принадлежит пользователь. Этот маркер предоставляет контекст безопасности для любых действий, выполняемых пользователем на этом компьютере.
Стоит отметить, что для обеспечения безопасного входа пользователя в систему, сервер проверки подлинности локальной системы безопасности имеет в своем составе систему управления процессом входа пользователей - компонент Winlogon, который отвечает за загрузку профиля пользователя после его успешной авторизации в системе.
Со всеми потоками и процессами, которые выполняются от имени пользователя на этапе обращения к объекту, связывается копия маркера доступа, определяющая перечень операций, доступных пользователю к выполнению в отношении объекта безопасности. При взаимодействии с защищаемым объектом операционная система проверяет маркер доступа, чтобы определить уровень авторизации пользователя к различным ресурсам и функциям в системе.
В свою очередь с каждым защищаемым объектом связан дескриптор безопасности (Security descriptor), определяющий, какие пользователи или группы пользователей имеют доступ к объекту, и какие операции они могут выполнять. Дескриптор безопасности содержит: идентификатор безопасности владельца объекта (SID), список управления дискреционным доступом (Discretionary Access Control List, DACL), определяющий пользователей и группы, которым разрешен или запрещен доступ, а также список управления системным доступом (System Access Control List, SACL), который управляет аудитом доступа.
Структура каждого из списков включает в себя записи контроля доступа (An access control entry, ACE), необходимые для управления разрешениями конкретных пользователей и групп пользователей по отношению к объекту.
Разрешения в операционной системе Windows назначаются администраторами системы или пользователями, у которых есть права доступа для управления разрешениями. В зависимости от настроек контроля доступа пользователь может самостоятельно управлять разрешениями принадлежащих ему файлов и папок.
Права доступа пользователей назначаются администратором системы и являются авторизацией пользователя на выполнение операций, затрагивающих всю систему: установку системного времени, архивирование файлов, выключение компьютера и другие [5, с.271].
Так же в операционной системе Windows выделяют третий класс операций доступа -возможности пользователя, которые определяются администратором для уменьшения набора возможностей пользователя, что позволяет создать наиболее подходящую операционную среду с точки зрения обеспечения безопасности информации.
Логическое управление доступом в операционных системах Windows NT обеспечивается использованием дискреционной и ролевой моделей управления доступом, основанных на вышеперечисленных механизмах обеспечения информационной безопасности и позволяет использовать для контроля доступа к ресурсам любого вида общий модуль ядра - монитор безопасности, который имеет систему вызовов,
используемую для информационного обмена между ядром операционной системы и пользовательским режимом [6, с.221].
Выводы.
Каждый элемент системы контроля доступа имеет свои границы, входы, выгходы1, связи между собой, взаимное влияние друг на друга, выполняемые функции и вклад в достижение общей цели - управление и контроль доступа субъектов доступа к объектам доступа.
Конечно, возможны различные варианты комбинации или исключения некоторых из вышеуказанных подсистем, приводящих к анонимному (гостевому) доступу в системе или к отсутствию какого-либо разграничения доступа.
Однако, стоит отметить, что функции авторизации выполняет не только сервер проверки подлинности локальной системы безопасности (LSASS) при входе пользователя в систему. Функцию авторизации, а именно, предоставление прав доступа пользователю к файлам, так же выполняет монитор безопасности операционной системы при каждом обращении пользователя к файлам и устройствам, сравнивая права доступа субъектов и объектов доступа.
Построенная дескриптивная модель системы контроля и управления доступом операционной системы Windows позволяет предположить, что для повышения доверия к среде функционирования взаимодействующих субъектов и объектов доступа, возможно использовать тот же подход, что и в отношении подсистем, выполняющих функции авторизации, путем ввода в систему функциональных элементом, так же ответственных за выполнение процедуры аутентификации, как и диспетчер учетных записей безопасности (SAM).
Список источников
1. ГОСТ Р 58833-2020. Защита информации. Идентификация и аутентификация. Общие положения. М.: Стандартинформ, 2020. 27 с.
2. Указ Президента Российской Федерации "Об утверждении Доктрины информационной безопасности Российской Федерации " от 05.12.2016 № 646 // Официальный интернет-портал правовой информации
3. Киреенко А.Е. Система управления доступом операционной системы Microsoft Windows // Информационные технологии. - 2012. - №9(1). - С. 69-74.
4. Субъекты доступа операционной системы Microsoft Windows. Реж. доступа: https://learn.microsoft.com/ru-ru/windows-server/identity/ad-ds/manage/understand-security-principals/ (Дата обращения 28.02.2024).
5. Олифер В.Г., Олифер Н.А. Сетевые операционные системы. - 1-е изд. - СПб: Питер, 2002. - 544 с.
6. Шаньгин В.Ф. Информационная безопасность компьютерных систем и сетей. - 1-е изд. - М.: ИД "ФОРУМ" - ИНФРА-М, 2011. - 416 с.
Храмов Максим Андреевич, адъюнкт, Краснодарское высшее военное училище имени генерала армии С.М.Штеменко (г. Краснодар, Российская Федерация).
Khramov М.А., adjunct, Krasnodar Higher Military School (Krasnodar, Russia).
: khramov.m.a@yandex.ru Корнев Лев Викторович, адъюнкт, Краснодарское высшее военное училище имени генерала армии С.М.Штеменко (г. Краснодар, Российская Федерация).
Kornev L.V., adjunct, Krasnodar Higher Military School (Krasnodar, Russia).
Шабля Владимир Олегович, адъюнкт Краснодарское высшее военное училище имени генерала армии С.М.Штеменко (г. Краснодар, Российская Федерация).
Shablya V.O., adjunct, Krasnodar Higher Military School (Krasnodar, Russia).
Дата поступления: 01.03.2024
© Храмов М.А., Корнев Л.В., Шабля В.О., 2024
