Затверджую
Вид материала | Документы |
- Затверджую затверджую голова Кримського Голова Державної податкової Республіканського, 117.84kb.
- “Затверджую”, 639.38kb.
- Юрія Федьковича «затверджую», 585.95kb.
- Володимира Даля "затверджую", 183.23kb.
- Затверджую: Проректор з навчальної роботи, 59.36kb.
- «Затверджую», 21.74kb.
- Юрія Федьковича " затверджую, 825.92kb.
- Юрія Федьковича " затверджую, 245.34kb.
- Юрія Федьковича " затверджую, 501.24kb.
- Затверджую прийнятий на засіданні, 1283.44kb.
2.4 Архітектура комплексу засобів захисту об’єкта експертизи
КЗЗ ОЕ реалізується за допомогою декількох компонентів [13-15] (рис. 2):
- процес входу в систему (Windows Logon, Winlogon) - процес режиму користувача (Winlogon.exe), який відповідає за забезпечення інтерактивного входу в систему;
- графічний інтерфейс ідентифікації і автентифікації (Graphical Identification and Authentication, GINA) - модуль, який завантажується в процес Winlogon (зазвичай Msgina.dll), надає інтерфейс користувачів для введення даних ідентифікації і автентифікації;
- диспетчер локальної автентифікації (LSA) - процес режиму користувача (Lsass.exe), який відповідає за автентифікацію, управління політикою безпеки і розміщення повідомлень аудиту в системний журнал;
Рис. 2. Схема архітектури КЗЗ ОЕ
- служба мережного входу (Net Logon, Netlogon) - системна служба (Netlogon.dll), що виконується в процесі LSA і використовується при автентифікації за протоколом NTLM. Netlogon надає такі функції:
- підтримка захищеного з’єднання з контролером домену;
- передача по захищеному з’єднанню з контролером домену даних автентифікації;
- сервер (служба) локальної автентифікації (LSA Server, Lsasrv) - модуль, який завантажується в процес LSA (Lsasrv.dll), реалізує управління політикою безпеки і вибір пакета автентифікації;
- реєстратор подій (Event Log, Eventlog) - модуль, який завантажується в процес LSA (Eventlog.dll), призначений для запису повідомлень аудиту в системний журнал;
- інтерфейс служби каталогів (NTDS API, Ntdsapi) - модуль, який завантажується в процес LSA (Ntdsapi.dll), реалізує інтерфейс доступу до служби каталогів, що запускається на контролерах домену;
- диспетчер облікових записів (Security Accounts Manager, SAM, Samsrv) - модуль, який завантажується в процес LSA (Samsrv.dll), відповідає за підтримку локальної бази даних облікових записів;
- пакети автентифікації (Authentication Packages) - модулі, які завантажуються в процес LSA (наприклад, Msv1_0.dll для NTLM, Kerberos.dll для Kerberos V5), реалізують автентифікацію з використанням одного з протоколів автентифікації;
- база даних політики LSA - база даних, яка містить параметри політики безпеки локальної системи. Зберігається в розділі реєстру HKLM\SECURITY;
- база даних SAM - база даних облікових записів. Зберігається в розділі реєстру HKLM\SAM;
- служба каталогів (NTDS, Active Directory) - служба каталогів в доменах Windows 2000, Windows Server 2003. Працює тільки на доменних контролерах. Підтримує базу даних об’єктів домену, включаючи дані про доменні облікові записи. Служба реалізована у вигляді модуля (Ntdsa.dll), що завантажується в процес LSA;
- монітор безпеки (Security Reference Monitor, SRM) - компонент виконавчої системи, що відповідає за авторизацію і генерацію повідомлень аудиту в системі;
- драйвер захищеного інтерфейсу з ядром (Kernel Security Device Driver, KSecDD) - набір функцій режиму ядра, які реалізують інтерфейси LPC і використовуються іншими компонентами режиму ядра для взаємодії з LSA.
2.5 Середовище функціонування і обмеження об’єкта експертизи
2.5.1 Середовище функціонування об’єкта експертизи
Передбачається функціонування ОЕ в складі одномашинного однокористувачевого комплексу (клас АС 1), при функціонуванні у складі багатомашинного багатокористувачевого комплексу (наприклад, локальної обчислювальної мережі) (клас АС 2) та при функціонуванні у складі розподіленого багатомашинного багатокористувачевого комплексу з необхідністю передачі інформації через незахищене середовище (глобальної обчислювальної мережі) (клас АС 3) [2] (рис. 3).
Рис. 3. Схема середовища функціонування ОЕ в АС класів 1, 2, 3.
2.5.2 Обмеження об’єкта експертизи
2.5.2.1 Апаратні обмеження функціонування об’єкта експертизи
ОЕ функціонує на робочій станції (персональному комп’ютері, мобільному комп’ютері типу ноутбук), яка складається з обчислювальної машини на платформі Intel X86 або еквівалентній з кількістю процесорів до двох. Нижче наведено список стандартних пристроїв, які можуть бути підключені до ОЕ:
- монітор;
- клавіатура;
- графічний маніпулятор „миша”;
- пристрій НГМД;
- пристрій CD-ROM;
- пристрій НЖМД;
- принтер;
- аудіо адаптер;
- мережний адаптер.
Все зовнішнє обладнання, яке підключається до мережного адаптеру робочої станції, не контролюється ОЕ.
2.5.2.2 Програмні обмеження функціонування об’єкта експертизи
ОЕ є модульною системою, що складається з програмних компонентів, які виконують задачі, здійснюючи взаємодію через інтерфейси. Склад програмних компонентів визначається змістом фірмового дистрибутива ОЕ та конфігурацією, визначеною для встановлення ОЕ.
Всі програмні компоненти ОЕ розташовані в фізичних межах робочої станції. При функціонуванні ПЗ ОЕ представлено зовнішніми програмними інтерфейсами та інтерфейсами користувача.