Затверджую

Вид материалаДокументы

Содержание


2.4 Архітектура комплексу засобів захисту об’єкта експертизи
2.5 Середовище функціонування і обмеження об’єкта експертизи
2.5.2 Обмеження об’єкта експертизи
2.5.2.2 Програмні обмеження функціонування об’єкта експертизи
Подобный материал:
1   2   3   4   5   6   7   8   9   ...   25

2.4 Архітектура комплексу засобів захисту об’єкта експертизи


КЗЗ ОЕ реалізується за допомогою декількох компонентів [13-15] (рис. 2):
  1. процес входу в систему (Windows Logon, Winlogon) - процес режиму користувача (Winlogon.exe), який відповідає за забезпечення інтерактивного входу в систему;
  2. графічний інтерфейс ідентифікації і автентифікації (Graphical Identification and Authentication, GINA) - модуль, який завантажується в процес Winlogon (зазвичай Msgina.dll), надає інтерфейс користувачів для введення даних ідентифікації і автентифікації;
  3. диспетчер локальної автентифікації (LSA) - процес режиму користувача (Lsass.exe), який відповідає за автентифікацію, управління політикою безпеки і розміщення повідомлень аудиту в системний журнал;





Рис. 2. Схема архітектури КЗЗ ОЕ
  1. служба мережного входу (Net Logon, Netlogon) - системна служба (Netlogon.dll), що виконується в процесі LSA і використовується при автентифікації за протоколом NTLM. Netlogon надає такі функції:
  • підтримка захищеного з’єднання з контролером домену;
  • передача по захищеному з’єднанню з контролером домену даних автентифікації;
  1. сервер (служба) локальної автентифікації (LSA Server, Lsasrv) - модуль, який завантажується в процес LSA (Lsasrv.dll), реалізує управління політикою безпеки і вибір пакета автентифікації;
  2. реєстратор подій (Event Log, Eventlog) - модуль, який завантажується в процес LSA (Eventlog.dll), призначений для запису повідомлень аудиту в системний журнал;
  3. інтерфейс служби каталогів (NTDS API, Ntdsapi) - модуль, який завантажується в процес LSA (Ntdsapi.dll), реалізує інтерфейс доступу до служби каталогів, що запускається на контролерах домену;
  4. диспетчер облікових записів (Security Accounts Manager, SAM, Samsrv) - модуль, який завантажується в процес LSA (Samsrv.dll), відповідає за підтримку локальної бази даних облікових записів;
  5. пакети автентифікації (Authentication Packages) - модулі, які завантажуються в процес LSA (наприклад, Msv1_0.dll для NTLM, Kerberos.dll для Kerberos V5), реалізують автентифікацію з використанням одного з протоколів автентифікації;
  6. база даних політики LSA - база даних, яка містить параметри політики безпеки локальної системи. Зберігається в розділі реєстру HKLM\SECURITY;
  7. база даних SAM - база даних облікових записів. Зберігається в розділі реєстру HKLM\SAM;
  8. служба каталогів (NTDS, Active Directory) - служба каталогів в доменах Windows 2000, Windows Server 2003. Працює тільки на доменних контролерах. Підтримує базу даних об’єктів домену, включаючи дані про доменні облікові записи. Служба реалізована у вигляді модуля (Ntdsa.dll), що завантажується в процес LSA;
  9. монітор безпеки (Security Reference Monitor, SRM) - компонент виконавчої системи, що відповідає за авторизацію і генерацію повідомлень аудиту в системі;
  10. драйвер захищеного інтерфейсу з ядром (Kernel Security Device Driver, KSecDD) - набір функцій режиму ядра, які реалізують інтерфейси LPC і використовуються іншими компонентами режиму ядра для взаємодії з LSA.

2.5 Середовище функціонування і обмеження об’єкта експертизи

2.5.1 Середовище функціонування об’єкта експертизи


Передбачається функціонування ОЕ в складі одномашинного однокористувачевого комплексу (клас АС 1), при функціонуванні у складі багатомашинного багатокористувачевого комплексу (наприклад, локальної обчислювальної мережі) (клас АС 2) та при функціонуванні у складі розподіленого багатомашинного багатокористувачевого комплексу з необхідністю передачі інформації через незахищене середовище (глобальної обчислювальної мережі) (клас АС 3) [2] (рис. 3).





Рис. 3. Схема середовища функціонування ОЕ в АС класів 1, 2, 3.

2.5.2 Обмеження об’єкта експертизи


2.5.2.1 Апаратні обмеження функціонування об’єкта експертизи

ОЕ функціонує на робочій станції (персональному комп’ютері, мобільному комп’ютері типу ноутбук), яка складається з обчислювальної машини на платформі Intel X86 або еквівалентній з кількістю процесорів до двох. Нижче наведено список стандартних пристроїв, які можуть бути підключені до ОЕ:
  1. монітор;
  2. клавіатура;
  3. графічний маніпулятор „миша”;
  4. пристрій НГМД;
  5. пристрій CD-ROM;
  6. пристрій НЖМД;
  7. принтер;
  8. аудіо адаптер;
  9. мережний адаптер.

Все зовнішнє обладнання, яке підключається до мережного адаптеру робочої станції, не контролюється ОЕ.

2.5.2.2 Програмні обмеження функціонування об’єкта експертизи

ОЕ є модульною системою, що складається з програмних компонентів, які виконують задачі, здійснюючи взаємодію через інтерфейси. Склад програмних компонентів визначається змістом фірмового дистрибутива ОЕ та конфігурацією, визначеною для встановлення ОЕ.

Всі програмні компоненти ОЕ розташовані в фізичних межах робочої станції. При функціонуванні ПЗ ОЕ представлено зовнішніми програмними інтерфейсами та інтерфейсами користувача.