Prevenirea accesului neautorizat la date sensibile este esential in orice mediu care implica accesul utilizatorilor multiplii la aceleasi resurse fizice sau de retea. Un sistem de operare trebuie sa fie in stare sa protejeze fisiere, memoria si setarile de configuratie de modificarile si vizualizarile nedorite. Securitatea sistemului de operare cuprinde mecanisme evidente, precum conturi, parole si protectie la nivel de fisiere. De asemenea mai cuprinde si mecanisme mai putin evidente, precum protejarea sistemului de operare de corupere, protejarea sistemului de diverse actiuni (reboot, de exemplu) care ar putea fi folosite de utilizatori cu drepturi mai putine, protejarea modificarilor unor programe ale unor utilizatori de catre alte programe, etc. Rate de securitate National Computer Security Center (NCSC, www.radium.ncsc.mil) a fost stabilita in 1981 ca parte a Agentiei de Securitate Nationala a Ministerului Apararii din SUA si a ajutat guvernul, companiile si utilizatorii casnici sa-si protejeze datele personale si private stocate in calculatoare. Ca parte a acestui scop, NCSC a creat o lista de ranguri de securitate (Tabelul VI.1) care sunt utilizate in indicarea gradului de protectie a sistemelor de operare, componentelor de retea si ofertelor de aplicatii sigure (trusted). Aceste rate de securitate au foste create in 1983 si sunt cunoscute sub numele de ,,Orange Book". Nivele de securitate Rating Descriere A1 Verified Design B3 Security Domains B2 Structured Protection B1 Labeled Security Protection C2 Controlled Access Protection C1 Discretionary Access Protection (obsolete) D Minimal Protection Nici un sistem de operare nu are rata de securitate A1 (Verified Design). Desi sunt putine sistemele de operare care au castigat nivelul B, C2 este un nivel considerat suficient si cel mai inalt nivel din punct de vedere practic pentru sistemele de operare de scop general. In iulie 1995 [34], Microsft Windows NT 3.5 cu Service Pack 3 a fost prima versiune de Windows NT care a castigat nivelul C2. In martie 1999, Windows NT 4 cu Service Pack 3 a castigat nivelul E3 din partea organizatiei guvernamentale pentru Securitatea Tehnologiei Informatiei, nivel echivalent cu C2. Pentru a castiga un nivel C2 de securitate, exista cateva cerinte cheie, cum ar fi: - facilitati de logon securizat - utilizatorii sa fie identificati in mod unic iar acestia pot avea acces la un computer numai dupa ce au fost autentificati; - acces la disc controlat - proprietarul unui fisier poate determina cine poate accesa resursa respectiva si ce poate face cu ea. Proprietarul da drepturi care permit diverse feluri de acces unor utilizatori sau unor grupuri de utilizatori; - auditarea securitatii - abilitatea de a detecta si inregistra evenimente legate de securitate sau orice incercare de a crea, accesa sau sterge resurse ale sistemului. Identificatorii de logon inregistreaza identitatile tuturor utilizatorilor, facand usoara gasirea oricarei persoane care efectueaza o actiune neautorizata; - protectia de reutilizare a obiectelor - previne utilizatorii de a vedea datele pe care alt utilizator le-a sters sau de a accesa memoria pe care alti utilizatori au folosit-o si au eliberat-o; Windows NT intruneste doua din cerintele nivelurilor B [34]: - functionalitate de tip cale sigura (Trusted path functionality) care previne caii troieni sa intercepteze numele de utilizatori si parolele in procesul de logon (combinatia Ctrl+Alt+Delete aduce pe ecran o fereastra usor de recunoscut); - facilitati de management sigur - adica conturi diferite pentru administratori, utilizatori insarcinati cu back-up- ul si utilizatori standard. Componentele sistemului de securitate din Windows 2000/2003 Security reference monitor (SRM) - o componenta a executivului Windows 2000 (\Winnt\System32\Ntoskrnl.exe) care este responsabila pentru executarea de verificari de acces de securitate asupra obiectelor, manipularea privilegiilor (drepturile utilizatorilor) si generarea oricaror mesaje rezultate din auditatea securitatii; Local security authority subsystem (Lsass) - un proces care ruleaza imaginea \Winnt\System32\Lsass.exe care este responsabil pentru politica locala de securitate (ce utilizatori au voie sa intre/logon pe masina locala, politica parolelor, privilegii acordate utilizatorilor si grupurilor), autentificarea utilizatorilor si trimiterea mesajelor de securitate rezultate in urma auditului catre Event Log. Functiile sunt implementate in Lsasrv--\Winnt \System32 \ Lsasrv.dll; Lsass policy database - o baza de date care contine setarile politicii de securitate a sistemului, localizata in Registry, in HKLM\SECURITY. Cuprinde informatii precum: ce domenii sunt sigure pentru incercari de logon, cine are dreptul de a accesa sistemul si cum (interactiv, prin retea si logon ale serviciilor), ce fel de auditare de securitate se executa. Aceasta baza de date mai cuprinde si ,,secrete" precum informatii de logon pentru domeniile sub forma de cache, precum si conturile de logon pentru serviciile Win32; Security Accounts Manager (SAM) service - un set de subrutine responsabile pentru managementul bazei de date care contine numele de utilizatori si grupurile de pe masina locala, implementate in \Winnt \System32 \Samsrv.dll, care ruleaza in procesul Lsass; SAM database - o baza de date care contine utilizatorii locali si grupurile impreuna cu parolele si alte atribute, stocata in HKLM\SAM; Active Directory - un serviciu director care contine o baza de date in care sunt stocate informatii despre obiectele din domeniu. Un domeniu este o colectie de calculatoare impreuna cu grupurile asociate de securitate care sunt conduse ca o singura entitate. Active Directory stocheaza informatii despre obiectele din domeniu, inclusiv utilizatori, grupuri si calculatoare. Informatiile despre parole si privilegiile pentru utilizatorii din domeniu si grupuri sunt stocate in Active Directory, care este replicat intre calculatoarele desemnate ca si controlere de domeniu. Serverul Active Directory este implementat in \Winnt \System32 \Ntdsa.dll; Authentication packages - biblioteci care ruleaza in contextul procesului Lsass si care implementeaza politica de autentificare in Windows 2000. O biblioteca de autentificare DLL este responsabila pentru verificarea corespondentei dintre username si parola, iar in caz de corespondenta, va intoarce catre Lsass informatii detaliate despre identitatea utilizatorului; Logon process (Winlogon) - un proces de tip user-mode care ruleaza \Winnt\System32 \Winlogon.exe, responsabil cu a da raspuns catre SAS si pentru managementul logon-urilor interactive. De exemplu, Winlogon creeaza un shell cu utilizatorul cand acesta este autentificat.
După plată vei primi prin email un cod de download pentru a descărca gratis oricare alt referat de pe site (vezi detalii).
