Особенности обеспечения безопасности ос windows nt

ВВЕДЕНИЕ

При разработке операционной системы Windows NT компания Microsoft уделяла самое пристальное внимание обеспечению информационной безопасности. Как следствие, эта система предоставляет надежные механизмы защиты, которые просты в использовании и легки в управлении

Каждый, кто использует компьютерные сети, нуждается в средствах обеспечения безопасности

Статистика показывает, что в большинстве случаев несанкционированного проникновения в систему можно избежать, если системный администратор уделяет должное внимание средствам защиты. Эффективность обеспечения безопасности компьютерных систем всегда зависит от качества настройки программно-аппаратных средств

Операционная система Windows NT имеет богатый набор средств защиты, которые будут рассмотрены в данном курсовом проекте.

Основными механизмами защиты являются:

• идентификация и аутентификация пользователя при входе в систему;
• разграничение прав доступа к ресурсам, в основе которого лежит реализация дискреционной модели доступа (отдельно к объектам файловой системы, к устройствам, к реестру ОС, к принтерам и др.);
• аудит, т.е. регистрация событий.

Объектом исследования является операционная система Windows NT.

Предметом исследования являются механизмы защиты в операционной системе Windows NT.

Целью курсовой работы является рассмотрение перспективных технологий и методов защиты информации от несанкционированного доступа.

Задачами курсового проекта является указание наилучших рекомендаций по обеспечению безопасности системы.

История разработки

Разработка Windows NT под рабочим названием «NT OS/2 » была начата в ноябре 1988 года группой специалистов во главе с Дэвидом Катлером (англ. Dave Cutler

), который перешёл в Microsoft из DEC , где они разрабатывали VAX и VMS . Работа шла параллельно с разработкой фирмой IBM собственной ОС, OS/2 2.0 , которая окончательно вышла только в апреле 1992 года . Одновременно с этим фирма Microsoft продолжала разрабатывать свои ОС семейства DOS и Windows , отличающиеся меньшими требованиями к ресурсам компьютера, чем IBM OS/2. После того, как в мае 1990 года была выпущена Windows 3.0 , Microsoft решила добавить в NT OS/2 программный интерфейс (API), совместимый с Windows API . Это решение вызвало серьёзные трения между фирмами Майкрософт и IBM, которые закончились разрывом совместной работы. IBM продолжила разработку OS/2 самостоятельно, а Майкрософт стала работать над системой, которая была в результате выпущена под названием Windows NT. Хотя эта система не сразу стала популярной, подобно DOS, Windows 3.x или Windows 9.x, с точки зрения маркетинга Windows NT оказалась существенно более удачной, чем OS/2.

Нужно отметить, что в качестве программных интерфейсов ОС NT изначально планировались API OS/2 и затем POSIX , поддержка Windows API была добавлена в последнюю очередь. Кроме того, в качестве аппаратной платформы для NT изначально планировались Intel i860 и затем MIPS , поддержка Intel x86 также была добавлена позднее. Затем, в процессе эволюции этой ОС исчезла поддержка обоих изначально запланированных программных интерфейсов и обеих изначально запланированных аппаратных платформ. Для i860 даже не было ни одной релизной версии этой ОС, хотя именно от кодового названия этого процессора, N10
(N Ten), происходит название самой ОС NT. Ныне Microsoft расшифровывает аббревиатуру NT как New Technology
. А в качестве альтернативы POSIX-подсистеме Microsoft стала предлагать пакет Сервисы Microsoft Windows для UNIX .

Для разработки ОС NT фирма Microsoft пригласила группу специалистов из компании DEC во главе с Дэвидом Катлером (англ.
), обладающую опытом создания многозадачных операционных систем, таких как VAX/VMS и RSX-11 . Некоторое сходство, отмеченное между внутренними архитектурами Windows NT и ОС семейства VMS, дало основания обвинить вновь принятых сотрудников Microsoft в краже интеллектуальной собственности DEC. Возникший конфликт был разрешён мирным путём: DEC признала собственность Microsoft на технологии, лежащие в основе Windows NT, а Microsoft создавала и поддерживала версию Windows NT для архитектуры DEC Alpha.

Несмотря на общие корни, совместимость Windows NT и OS/2 уменьшалась с каждым новым выпуском этой ОС. Поддержка API OS/2 2.0, хотя планировалась в NT, так и не была завершена; в Windows NT 4.0 была удалена поддержка файловой системы HPFS , а в Windows XP была удалена подсистема поддержки программ для OS/2 1.x.

1.5 Принципы работы защитной системы IIS

Microsoft Internet Information Server (IIS) был создан для унификации работы всех служб Internet. Он представляет собой высокоинтегрированный пакет серверных служб поддержки HTTP, FTP и Gopher.

Защита IIS основана на средствах обеспечения безопасности Windows NT. В их число входят:

• учетные записи пользователей.  Для предотвращения несанкционированного доступа к узлу IIS следует контролировать учетные записи пользователей. К основным методам защиты также относятся: применение формуляра “Гость из Internet”, регистрация по имени и паролю пользователя (по схеме аутентификации Windows NT) и выбор сложных для угадывания паролей;
• установка NTFS;
• права доступа. Основным механизмом доступа через сервер IIS является анонимный доступ. Из механизмов проверки подлинности лишь Windows NT Challenge-Response, используемый сервером HTTP, можно считать относительно защищенным. Поэтому не применяйте для аутентификации базовую схему, так как имя пользователя и пароль при этом передаются по сети открытым способом;
• уменьшение числа протоколов и отключение службы Server. Уменьшив число протоколов, которыми пользуются сетевые адаптеры, вы заметно усилите защиту. Чтобы пользователи не смогли просматривать разделяемые ресурсы IIS, отключите службу Server. Отключение этой службы затруднит злоумышленникам поиск слабых мест в вашей системе;
• защита информации в FTP. FTP всегда использует защиту на уровне пользователя. Это значит, что для доступа к серверу FTP пользователь должен пройти процедуру регистрации. Сервис FTP сервера IIS для идентификации пользователей, желающих получить доступ, может использовать базу данных пользовательских бюджетов Windows NT Server. Однако при этой процедуре FTP передает всю информацию только открытым текстом, что создает опасность перехвата пользовательских имен и паролей.

Кроме того, к сервису FTP сервера IIS Windows NT можно разрешить исключительно анонимный доступ. Такой вариант хорош тем, что при нем отсутствует возможность рассекречивания паролей в общей сети. Анонимный доступ к FTP разрешен по умолчанию;

• контроль доступа по IP-адресу. Существует дополнительная возможность контроля доступа к серверу IIS — разрешение или запрещение доступа с конкретных IP-адресов (рис. 5). Например, можно запретить доступ к своему серверу с определенного IP-адреса; точно так же можно сделать сервер недоступным для целых сетей. С другой стороны, можно разрешить доступ к серверу только определенным узлам;
• схемы шифрования. Чтобы обеспечить безопасность пакетов во время их пересылки по сети, приходится применять различные схемы шифрования. Необходимость в такой защите вызвана тем, что при пересылке пакетов по сети не исключен перехват кадров. Большинство схем шифрования работает внутри прикладного и транспортного уровня модели OSI. Некоторые схемы могут работать и на более низких уровнях. Используются такие протоколы, как: SSL, PCT, SET, PPTP, PGP.

Редиректоры

Редиректор – сетевое программное обеспечение, которое принимает запросы вво-да/вывода для удаленных файлов, именованных каналов или почтовых слотов и затем пере-назначает их сетевым сервисам другого компьютера. Редиректор перехватывает все запросы, поступающие от приложений, и анализирует их.

Фактически существуют два типа редиректоров, используемых в сети:

• клиентский редиректор (client redirector)
• серверный редиректор (server redirector).

Оба редиректора функционируют на представительском уровне модели OSI. Когда клиент делает запрос к сетевому приложению или службе, редиректор перехватывает этот запрос и проверяет, является ли ресурс локальным (находящимся на запрашивающем ком-пьютере) или удаленным (в сети). Если редиректор определяет, что это локальный запрос, он направляет запрос центральному процессору для немедленной обработки. Если запрос пред-назначен для сети, редиректор направляет запрос по сети к соответствующему серверу. По существу, редиректоры скрывают от пользователя сложность доступа к сети. После того как сетевой ресурс определен, пользователи могут получить к нему доступ без знания его точно-го расположения.

Терминальный режим работы

Терминальный режим работы — организация сетевой работы информационной системы (ИС) посредством размещения всех пользовательских приложений и данных на центральном сервере (серверах), доступ к которым осуществляется с машин-терминалов (см. также рабочая станция, рабочий терминал, «тонкий клиент»),
изготовленных в упрощенном исполнении и, как следствие, более дешевых,
занимающих минимум места, бесшумных и практически не требующих
обслуживания.

Терминальный режим работы кроме снижения стоимости ИС, программного
обеспечения и расходов на обслуживание, позволяет обеспечить более
высокий уровень безопасности и простоту масштабирования ИС.

Функции и характеристики сетевых операционных систем (ОС).

Различают ОС со встроенными сетевыми функциями и оболочки над локальными ОС. По другому признаку классификации различают сетевые ОС одноранговые и функционально несимметричные (для систем “клиент/сервер”).

Основные функции сетевой ОС:

1. управление каталогами и файлами;
2. управление ресурсами;
3. коммуникационные функции;
4. защита от несанкционированного доступа;
5. обеспечение отказоустойчивости;
6. управление сетью.

Управление каталогами и файлами в сетях заключается в обеспечении доступа к данным, физически расположенным в других узлах сети. Управление осуществляется с по-мощью специальной сетевой файловой системы. Файловая система позволяет обращаться к файлам путем применения привычных для локальной работы языковых средств. При обмене файлами должен быть обеспечен необходимый уровень конфиденциальности обмена (секретности данных).

Управление ресурсами включает обслуживание запросов на предоставление ресурсов, доступных по сети.

Коммуникационные функции обеспечивают адресацию, буферизацию, выбор на-правления для движения данных в разветвленной сети (маршрутизацию), управление потоками данных и др. Защита от несанкционированного доступа — важная функция, способствующая поддержанию целостности данных и их конфиденциальности. Средства защиты могут раз-решать доступ к определенным данным только с некоторых терминалов, в оговоренное время, определенное число раз и т.п. У каждого пользователя в корпоративной сети могут быть свои права доступа с ограничением совокупности доступных директорий или списка возможных действий, например, может быть запрещено изменение содержимого некоторых файлов.

Отказоустойчивость характеризуется сохранением работоспособности системы при воздействии дестабилизирующих факторов. Отказоустойчивость обеспечивается применением для серверов автономных источников питания, отображением или дублированием информации в дисковых накопителях. Под отображением обычно понимают наличие в системе двух копий данных с их расположением на разных дисках, но подключенных к одному контроллеру. Дублирование отличается тем, что для каждого из дисков с копиями используются разные контроллеры. Очевидно, что дублирование более надежно. Дальнейшее повышение отказоустойчивости связано с дублированием серверов, что однако требует дополнительных затрат на приобретение оборудования.

Управление сетью связано с применением соответствующих протоколов управления. Программное обеспечение управления сетью обычно состоит из менеджеров и агентов. Менеджером называется программа, вырабатывающая сетевые команды. Агенты представляют собой программы, расположенные в различных узлах сети. Они выполняют команды менеджеров, следят за состоянием узлов, собирают информацию о параметрах их функционирования, сигнализируют о происходящих событиях, фиксируют аномалии, следят за трафиком, осуществляют защиту от вирусов. Агенты с достаточной степенью интеллектуальности могут участвовать в восстановлении информации после сбоев, в корректировке параметров управления и т.п.

1.6 Аудит

Аудит — это функция Windows NT, позволяющая отслеживать деятельность пользователей, а также все системные события в сети.

Важный элемент политики безопасности – аудит событий в системе. ОС

Windows ведет аудит событий по 9 категориям:

• Аудит событий входа в систему.
• Аудит управления учетными записями.
• Аудит доступа к службе каталогов.
• Аудит входа в систему.
• Аудит доступа к объектам.
• Аудит изменения политики.
• Аудит использования привилегий.
• Аудит отслеживания процессов.
• Аудит системных событий.

Администратор использует политику аудита (Audit Policy) для выбора типов событий, которые нужно отслеживать. Когда событие происходит, в журнал безопасности того компьютера, на котором оно произошло, добавляется новая запись. Журнал безопасности является тем средством, с помощью которого администратор отслеживает наступление тех типов событий, которые он задал.

Политика аудита контроллера домена определяет количество и тип фиксируемых событий, происходящих на всех контроллерах домена. На компьютерах Windows NT Workstation или Windows NT Server, входящих в домен, политика аудита определяет количество и тип фиксируемых событий, происходящих только на данном компьютере.

Администратор может установить политику аудита для домена для того, чтобы:

• отслеживать успешные и неуспешные события, такие как логические входы пользователей, чтение файлов, изменения в разрешениях пользователей и групп, выполнение сетевых соединений и т.п.;
• исключить или минимизировать риск неавторизованного использования ресурсов;
• анализировать временные тенденции, используя архив журнала безопасности.

Аудит является частью системы безопасности. Когда все средства безопасности отказывают, записи в журнале оказываются единственным источником информации, на основании которой администратор может сделать выводы о том, что произошло или готовится произойти в системе.

Установление политики аудита является привилегированным действием: пользователь должен либо быть членом группы Administrators на том компьютере, для которого устанавливается политика, либо иметь права Manage auditing and security log.

ОПЕРАЦИОННАЯ СИСТЕМА АЛЬТ 8 СП

Правообладатели программного обеспечения

1. АКЦИОНЕРНОЕ ОБЩЕСТВО «ИНФОРМАЦИОННАЯ ВНЕДРЕНЧЕСКАЯ КОМПАНИЯ»
   коммерческая организация без преобладающего иностранного участия

   Сокращенное наименование:
   АО «ИНФОРМАЦИОННАЯ ВНЕДРЕНЧЕСКАЯ КОМПАНИЯ»

   Государство регистрации в качестве юридического лица:
   Россия

   Основной государственный регистрационный номер регистрации в качестве юридического лица (ОГРН):
   1027700115453

   Идентификационный номер (ИНН):
   7702157005

2. ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «БАЗАЛЬТ СВОБОДНОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ»
   коммерческая организация без преобладающего иностранного участия

   Сокращенное наименование:
   ООО «БАЗАЛЬТ СПО»

   Государство регистрации в качестве юридического лица:
   Россия

   Основной государственный регистрационный номер регистрации в качестве юридического лица (ОГРН):
   1157746734837

   Идентификационный номер (ИНН):
   7714350892

Сведения об основаниях возникновения у правообладателя (правообладателей) исключительного права
на программное обеспечение на территории всего мира и на весь срок действия исключительного права

Собственная разработка

Сведения о соответствии или несоответствии программного обеспечения требованиям, установленным пунктом 5 Правил формирования и ведения единого реестра российских программ для электронных вычислительных машин
и баз данных и единого реестра программ для электронных вычислительных машин и баз данных из
государств — членов Евразийского экономического союза, за исключением Российской Федерации,
утвержденных постановлением Правительства Российской Федерации от 16 ноября 2015 года № 1236
«Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств,
для целей осуществления закупок для обеспечения государственных и муниципальных нужд»

Соответствует

Запись в реестре №4305 от 29.03.2018 произведена на основании приказа Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 28.03.2018 №136

Предыдущие и (или) альтернативные названия программного обеспечения:

Альт СП

Описание программного обеспечения

Коды продукции в соответствии с Общероссийским классификатором продукции по видам экономической деятельности:
58.29.11 Системы операционные на электронном носителе

Наличие функционала поддержки работы пользователей с ограничениями по слуху:
Нет

Наличие функционала поддержки работы пользователей с ограничениями по зрению:
Нет

Адрес страницы сайта правообладателя, на которой размещена документация, содержащая описание
функциональных характеристик программного обеспечения и информацию, необходимую
для установки и эксплуатации программного обеспечения:

Номер заявления:

118461

Дата регистрации:
30.10.2017

История изменений

Дата	Предмет	Прежнее значение	Новое значение
05.09.2022	Коды продукции	58.29.11 Системы операционные на электронном носителе58.29.29 Обеспечение программное прикладное прочее на электронном носителе58.29.31 Обеспечение программное системное для загрузки	58.29.11 Системы операционные на электронном носителе
05.09.2022	Основной класс	02.01 Операционные системы	02.09 Операционные системы общего назначения

Расширяемость.

В то время как аппаратная часть компьютера устаревает за несколько лет, полезная жизнь операционных систем может измеряться десятилетиями. Примером может служить ОС UNIX. Поэтому операционные системы всегда изменяются со временем эволюционно, и эти изменения более значимы, чем изменения аппаратных средств. Изменения ОС обычно заключаются в приобретении ею новых свойств, например поддержке новых типов внешних устройств или новых сетевых технологий. Если код ОС написан таким образом, что дополнения и изменения могут вноситься без нарушения целостности системы, то такую ОС называют расширяемой. Расширяемость достигается за счет модульной структуры ОС, при которой про¬граммы строятся из набора отдельных модулей, взаимодействующих только через функциональный интерфейс.

Терминальный сервер

Терминальный сервер — от англ. terminal server. Он же — сервер терминалов.

Терминальный сервер — сервер, предоставляющий клиентам вычислительные ресурсы (процессорное время, память, дисковое пространство) для решения задач. Технически, терминальный сервер представляет собой очень мощный компьютер (либо кластер), соединенный по сети с терминальными клиентами — которые, как правило, представляют собой маломощные или устаревшие рабочие станции.

Процесс работы

Терминальный клиент после установления связи
с терминальным сервером пересылает на последний вводимые данные
(нажатия клавиш, перемещения мыши) и, возможно, предоставляет доступ к
локальный ресурсам (CD-ROM, флоппи-диск, принтер, жесткий диск).
Терминальный сервер предоставляет среду для работы (терминальная
сессия), в которой можно выполнять ресурсоемкие приложения. Результат
работы сервера передается на клиента, как правило, это изображение для монитора.

Преимущества терминального сервера

• Существенная экономия на программном и аппаратном обеспечении для рабочих станций
• Снижение временных расходов на администрирование
• Повышение безопасности — снижение риска инсайдерских взломов

Виды терминальных серверов

• Microsoft Windows Terminal Server (поставляется в Microsoft Windows Server)
• Citrix Metaframe
• X-Window
• 2X TerminalServer (англ.)

Распределители

Распределитель (designator) представляет собой часть программного обеспечения, управляющую присвоением букв накопителя (drive letter) как локальным, так и удаленным сетевым ресурсам или разделяемым дисководам, что помогает во взаимодействии с сетевыми ресурсами. Когда между сетевым ресурсом и буквой локального накопителя создана ассоциация, известная также как отображение дисковода (mapping a drive), распределитель отслеживает присвоение такой буквы дисковода сетевому ресурсу. Затем, когда пользователь или приложение получат доступ к диску, распределитель заменит букву дисковода на сете-вой адрес ресурса, прежде чем запрос будет послан редиректору.

Структура сетевой операционной системы

Сетевая операционная система составляет основу любой вычислительной сети. Каждый компьютер в сети автономен, поэтому под сетевой операционной системой в широком смысле понимается совокупность операционных систем отдельных компьютеров, взаимодействующих с целью обмена сообщениями и разделения ресурсов по единым правилам – протоколам. В узком смысле сетевая ОС – это операционная система отдельного компьютера, обеспечивающая ему возможность работать в сети.

Рис. 1 Структура сетевой ОС

В соответствии со структурой, приведенной на рис. 1, в сетевой операционной системе отдельной машины можно выделить несколько частей.

1. Средства управления локальными ресурсами компьютера: функции распределения оперативной памяти между процессами, планирования и диспетчеризации процессов, управления процессорами, управления периферийными устройствами и другие функции управления ресурсами локальных ОС.
2. Средства предоставления собственных ресурсов и услуг в общее пользование – серверная часть ОС (сервер). Эти средства обеспечивают, например, блокировку файлов и записей, ведение справочников имен сетевых ресурсов; обработку запросов удаленного доступа к собственной файловой системе и базе данных; управление очередями запросов удаленных пользователей к своим периферийным устройствам. 
3. Средства запроса доступа к удаленным ресурсам и услугам – клиентская часть ОС (редиректор). Эта часть выполняет распознавание и перенаправление в сеть запросов к удаленным ресурсам от приложений и пользователей. Клиентская часть также осуществляет прием ответов от серверов и преобразование их в локальный формат, так что для приложе-ния выполнение локальных и удаленных запросов неразличимо.
4. Коммуникационные средства ОС, с помощью которых происходит обмен сооб-щениями в сети. Эта часть обеспечивает адресацию и буферизацию сообщений, выбор мар-шрута передачи сообщения по сети, надежность передачи и т.п., т. е. является средством транспортировки сообщений.

Заключение

При
организации удаленного управления серверами необходимо принимать во
внимание множество факторов, в первую очередь, характеристики сетевой
ОС, производительность линий связи, вопросы безопасной аутентификации.
Наиболее полный набор средств управления предоставляет UNIX, однако,
при грамотном подходе, администраторам Windows NT и NetWare также нет
основания для беспокойства. Тонкие клиенты опять возвращаются в жизнь

Однако если
отбросить излишнюю рекламную шелуху, то далеко не всегда дешевое
решение — лучшее. Вывод напрашивается сам собой: чем «тоньше» клиент,
тем «толще» сервер и тем хуже заказчик работает с графикой

Тонкие клиенты опять возвращаются в жизнь. Однако если
отбросить излишнюю рекламную шелуху, то далеко не всегда дешевое
решение — лучшее. Вывод напрашивается сам собой: чем «тоньше» клиент,
тем «толще» сервер и тем хуже заказчик работает с графикой.

CC-BY-CA Анатольев А.Г., 31.01.2012

Вывод

По большому счёту все рассматриваемые дистрибутивы примерно одинаковые, но у каждой есть свои заморочки — Astra стремится сделать интерфейс похожий на Windows, чтобы пользователями лучше воспринималась; Альт имеет хорошую поддержку сообщества.

100% замены Windows ни одна ОС обеспечить не сможет, но не потому что они такие, а потому что далеко не всё ПО имеет аналоги для Linux, особенно различные государственные программы, как Электронное казначейство, например. Но все разработчики уже это поняли и стараются учитывать этот момент. Так что в ближайшем будущем нас заполонит российское ПО для Linux. Сейчас же, пока эти программы не приспособлены для работы на этих ОС, правильней будет при миграции выделять их на сервера терминального доступа.

Часть материалов взята из следующего источника composs.ru

ЗАКЛЮЧЕНИЕ

В вычислительной технике понятие безопасности является весьма широким. Оно подразумевает надежность работы компьютера, сохранность ценных данных, защиту информации от внесения в нее изменений неуполномоченными лицами, и надежность работы компьютерных систем во многом опирается на меры самозащиты. Итак, можно привести массу фактов, свидетельствующих о том, что угроза информационному ресурсу возрастает с каждым днем, подвергая в панику ответственных лиц на предприятиях во всем мире. В процессе выполнения курсовой работы было проработано большое количество литературы, выявлены источники угрозы информации и определены способы защиты от них, проведен сравнительный анализ механизмов защиты операционных систем Windows NT и Linux. В заключение данной курсовой работы могу предположить, что механизмы и всевозможные способы защиты Windows NT не являются идеальными по этому защита данных становится сложной задачей.