Файл: Курсовая работа по дисциплине Операционные системы студент группы убвт2001 Нальгиев М. Х. Москва, 2023.rtf
Добавлен: 28.04.2024
Просмотров: 15
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
Шифрующая файловая система EFS
Служба каталогов Active Directory
Отношения доверия между доменами
Управление мерами безопасности при помощи групповой политики
Аутентификация и управление доступом
Делегирование прав администрирования
Протокол аутентификации Kerberos
Делегирование полномочий на выполнение аутентификации
МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ
Ордена Трудового Красного Знамени федеральное государственное бюджетное образовательное учреждение высшего образования «Московский технический университет связи и информатики»
Кафедра «Информационная безопасность»
Курсовая работа по дисциплине «Операционные системы»
Выполнил:
студент группы УБВТ-2001:
Нальгиев М.Х.
Москва, 2023
Оглавление
Безопасность файлов и папок 6
Файловая система NTFS 6
Защита файлов 10
Разрешения для файлов 11
Защита папок 12
Шифрующая файловая система EFS 14
Архитектура EFS 16
Служба каталогов Active Directory 21
Отношения доверия между доменами 24
Управление мерами безопасности при помощи групповой политики 26
Аутентификация и управление доступом 28
Аутентификация 28
Управление доступом 30
Делегирование прав администрирования 31
Протокол аутентификации Kerberos 32
Делегирование полномочий на выполнение аутентификации 35
Заключение 38
Список используемой литературы 39
Введение
При создании системы безопасности ОС Windows 2000 разработчики фирмы Microsoft постарались учесть как существующий опыт использования системы безопасности Windows NT 4.0, так и реализовать новые наборы механизмов и протоколов безопасной работы с информацией.
Система безопасности Windows 2000 состоит из множества компонентов, предоставляющих возможность обеспечения безопасности работы с данными в любой точке сети, начиная с хранения информации в файлах на дисках серверов и рабочих станций и заканчивая средствами обеспечения гарантированного уровня безопасности при передаче данных по сети путем использования механизмов виртуальных частных сетей (VPN). Windows 2000 содержит более 40 различных интегрированных между собой механизмов безопасности, каждый из которых может быть расширен разработчиками для учета особенностей применения этой ОС в сети своего предприятия.
Службы безопасности Windows 2000 ориентированы на соответствие следующим требованиям:
-
Предоставление пользователям доступа ко всем ресурсам сети после выполнения единственной процедуры входа в систему. -
Надёжность методов аутентификации и авторизации пользователей. -
Безопасность соединений между внутренними и внешними ресурсами. -
Возможность применения необходимых политик безопасности и управления ими. -
Автоматизированный аудит безопасности. -
Способность к взаимодействию с другими операционными системами и протоколами безопасности. -
Расширяемая архитектура, что позволяет разрабатывать приложения, использующие возможности системы безопасности Windows 2000.
Перечисленные особенности являются важными элементами системы безопасности Windows 2000. В основе этой системы лежит простая модель аутентификации и авторизации. Аутентификация позволяет идентифицировать пользователя при входе в систему и установлении сетевых соединений со службами. Идентифицированный пользователь получает авторизацию для доступа к определённым сетевым ресурсам в зависимости от заданных разрешений. В процессе авторизации используется механизм управления доступом, проверяющий записи в каталоге Active Directory™, а также списки управления доступом (access control lists, ACL), в которых определяются разрешения на доступ к объектам, таким как локальные и общие принтеры и файлы.
Ключевая цель системы защиты Microsoft Windows 2000 - следить за тем, кто и к каким объектам осуществляет доступ. Система защиты хранит информацию, относящуюся к безопасности для каждого пользователя, группы пользователей и объекта. Единообразие контроля доступа к различным объектам (процессам, файлам, семафорам и др.) обеспечивается тем, что с каждым процессом связан маркер доступа, а с каждым объектом - дескриптор защиты. Маркер доступа в качестве параметра имеет идентификатор пользователя, а дескриптор защиты - списки прав доступа. ОС может контролировать попытки доступа, которые производятся процессами прямо или косвенно инициированными пользователем.
В системе Microsoft Windows 2000 были, по большей части, заменены внутренние и внешние настройки, присутствовавшие в Windows NT. Без сомнения, Windows 2000 является одной из наиболее передовых операционной системой в отношении интернета. Также очевиден тот факт, что в Windows 2000 сохранены традиционные возможности, такие как серверы файлов, печати и баз данных для внутреннего пользования, а также веб-серверы и серверы приложений для работы с интернетом. Дополнительные возможности, такие как сервер telnet, позволяют выполнять в Windows 2000 те функции, которые зарезервированы для систем Unix. Несмотря на то, что эти функции могут использоваться, совершенно понятно, что в Windows 2000 будет храниться и осуществляться работа с секретной информацией.
Безопасность файлов и папок
В Windows 2000 применяется иерархическая файловая система. На каждом диске создается так называемый корневой каталог, который может включать в себя файлы и другие каталоги (подкаталоги). Таким образом, создается связанная древовидная иерархия файлов и каталогов.
Все файловые системы, поддерживаемые Windows 2000, являются иерархическими, хотя существенно отличаются между собой способами записи файлов на носителях информации. Windows 2000 поддерживает следующие файловые системы:
-
FAT: применяется в MS-DOS. -
FAT32: применяется в Windows 95/98. -
NTFS: применяется в Windows 2000.
Используя любую файловую систему, можно использовать разрешения для доступа к общим папкам, чтобы их контролировать. Можно указать, какие пользователи могут читать, записывать, создавать или изменять файлы и папки внутри папок, предоставленных в общее пользование.
Файловая система NTFS
Обозначение файловой системы NTFS представляет собой аббревиатуру от New Technology File System (файловая система операционной системы NT).
NTFS представляет собой новую файловую систему, используемую в операционной системе Windows 2000. Ограничения, которые имелись в FAT32, в NTFS были в значительной степени устранены.
Для томов NTFS система Windows 2000 предлагает дополнительные параметры защиты. Кроме контроля за папками, предоставленными в общее пользование, можно следить за безопасностью файлов и папок локальных пользователей (тех, что входят в систему с вашей рабочей станции). Можно налагать ограничения на любые папки и файлы; в томах FAT можно выдавать разрешения только на уровне папки (и только для пользователей, что вошли через сеть).
У файловой системы NTFS имеется и ряд других преимуществ:
-
Поддерживается только на жестких дисках. -
Система NTFS более экономно размещает информацию на очень больших жестких дисках (поддерживает 64-разрядную адресацию данных). -
При записи имен файлов используется уникальный код (Unicode). Такая кодировка символов пришла на смену кодировке ANSI. В Unicode используется 16-разрядное представление символов. Поэтому в таблице кодирования может содержаться до 65536 символов. -
Система обеспечивает лучшее восстановление информации в случае проблем с жестким диском. -
Поддерживает сжатие файлов. (Программы для компрессии, написанные на базе MS-DOS (DriveSpase, Doublespase, Stacker) не работают в системе Windows 2000.) -
Система поддерживает дисковые квоты – ограничение дискового пространства, которые можно установить для каждого пользователя. -
Система NTFS поддерживает шифрование файлов для повышения безопасности.
Недостатком файловой системы NTFS является невозможность для других систем (Windows 9x, Linux, MS-DOS и OS/2) читать тома NTFS. Если используется система, отличная от Windows 2000, прочесть информацию из томов NTFS будет невозможно.
Файловая система NTFS 5.0. Эта версия файловой системы является объектно-ориентированным хранилищем данных, представляемых в виде привычных для пользователя объектов — файлов и каталогов. В NTFS 5.0 теперь можно хранить потенциально любую информацию и в любых форматах представления. Реализуются эти возможности за счет появления в файловой системе нового механизма Reparse points (повторный грамматический анализ).
Reparse points — это объекты, которые могут быть связаны с файлами или каталогами, и описывают правила хранения и обработки информации, хранящейся в нестандартном для файловой системы виде. С использованием этого механизма в NTFS уже реализованы механизмы шифрования данных и механизмы монтирования томов (представление любого тома в виде каталога на другом диске — возможность создания виртуальной файловой системы, состоящей только из файлов и каталогов на любой рабочей станции или сервере). А разработчики получили мощный инструмент для создания приложений, способных хранить данные в своем уникальном формате (включая и собственные алгоритмы шифрования) для обеспечения необходимого уровня производительности и безопасности работы с данными.
Принципы работы механизма Reparse points основаны на следующих положениях:
-
Любое приложение, работающее с файловой системой, при обращении к дискам отображает информацию в виде привычных файлов и каталогов, хранящихся в NTFS. -
При попытке открытия выбранного пользователем файла (или каталога), запрос на чтение данных передается приложением ядру ОС, которое анализируя свойства выбранного файла и обнаруживая связанный с ним объект Reparse points, анализирует хранящуюся в этом объекте информацию (в этом и состоит суть названия механизма — повторный грамматический анализ).
Объект Reparse points, по сути, содержит ссылку на специальный драйвер, создаваемый любым разработчиком. Этот драйвер и определяет реальный формат хранения данных на томах NTFS. При попытке открытия файла управление передается созданному разработчиком модулю, который и считывает данные с диска в известном ему формате. Поэтому с появлением этого нового механизма любой разработчик имеет возможность обеспечить безопасность и удобство хранения данных для своего специфического приложения.
