Ресурс – это абстрактная структура, имеющая множество атрибутов, характеризующих способы доступа к ресурсу и его физическое представление в системе 8 страница

Примером коммерческого загрузчика является Acronis OS Selector. Полный набор утилит от Acronis позволяет управлять разделами, устанавливать операционные системы и создавать резервные копии данных. Из бесплатных утилит такого класса можно применять утилиту EasyBCD.

8.4. Настройка загрузчиков ОС

Для настройки загрузчика Windows можно применить утилиту msconfig, которая вызывается через меню Пуск командой выполнить. Рабочее окно утилиты показано на рис. 8.3, 8.4. Наибольший интерес представляют вкладки "Общие" и BOOT.INI.

Рис. 8.3. Вкладка "Общие" рабочего окна утилиты msconfig

На вкладке "Общие" можно установить тип запуска и указать обрабатываемые при запуске файлы.

Рис. 8.4. Вкладка BOOT.INI окна утилиты msconfig

Вкладка BOOT.INI позволяет просмотреть содержимое файла boot.ini, проверить корректность путей ко всем загрузчикам операционных систем, а также указать параметры загрузки и настроить время ожидания выбора операционной системы. Следует иметь в виду, что ручное конфигурирование системы требует достаточных знаний этого вопроса.

8.5. Удаление загрузчиков ОС

Удаление загрузчиков Windows может быть выполнено командой Пуск/Панель управления/Установка и удаление программ и компонентов Windows. Вместе с удаляемой операционной системой удалится и соответствующий загрузчик.

В ряде случаев проще воспользоваться утилитой EasyBCD. Кнопкой Редактировать boot menu вызывается окно редактирования загрузки, выделяется ненужный загрузчик и удаляется кнопкой Delete. Против загрузчика операционной системы, загружающейся по умолчанию, установить флажок Default. После чего сохранить уставки.

Контрольные вопросы:

Какие действия выполняет загрузчик операционной системы?

Что такое бутстрап?

Перечислите наиболее известные загрузчики операционных систем.

Какие файлы необходимы для работы загрузчика NTLDR? Приведите и прокомментируйте примерный текст файла boot.ini.

Каким образом загрузчики устанавливаются на системный диск?

К чему сводится настройка загрузчиков и как она осуществляется?

Как удаляются загрузчики операционной системы?

9. СИСТЕМНЫЙ РЕЕСТР И СИСТЕМНЫЕ СЛУЖБЫ

9.1. Назначение и структура реестра

Реестр является базой данных о настройках операционной системы Windows и большинства её приложений, а также и хранит информацию об установленных устройствах компьютера, настройке сети и об установленном программном обеспечении. Все связи между файлами и создавшими их программами, все настройки программ посредством нажатия кнопок опций, установки флажков и т.д. – всё собрано в реестре или может быть получено обработкой данных реестра.

Иногда единственным средством восстановления работоспособности программ или оборудования является редактирование реестра. В то же время, ошибки, допущенные при редактировании реестра, приводят к тяжёлым последствиям: исчезают значки из папки "Мой компьютер" или с панели управления, безвозвратно отключаются компоненты Windows, нарушается процесс загрузки операционной системы и т.д.

Для редактирования реестра применяется редактор реестра, который вызывается командой "Пуск/Выполнить/regedit". Внешний вид окна редактора реестра показан на рис. 9.1. В левой части значками папок показано дерево разделов и подразделов, в правой части – значения выбранного раздела или подраздела. Редактирование реестра, как правило, сводится к перемещению по ветвям дерева к нужному разделу (подраздела) реестра, изменению его значений или созданию нового подраздела и его редактированию.

Рис. 9.1. Окно редактора реестра

Реестр Windows состоит из пяти главных разделов, которые не подлежат удалению:

· HKEY_KLASSES_ROOT – раздел содержащий сведения о соответствии файлов и создающих их программ;

· HKEY_USERS – раздел, содержащий подразделы пользователей компьютера, в т.ч. и пользователя по умолчанию (т.е. не выбранного в процессе запуска системы);

· HKEY_CURRENT_USER – указатель на часть раздела HKEY_USERS, соответствующую текущему пользователю, которая имеет имя, состоящее из символа S и длинного ряда чисел, разделённых символом "-", и являющееся уникальным для каждого пользователя компьютера идентификатором защиты;

· HKEY_LOCAL_MACHINE – раздел, хранящий сведения об аппаратном и программном обеспечении общих для всех пользователей;

· HKEY_CURRENT_CONFIG – копия информации из других разделов и подразделов реестра.

Все изменения реестра делаются в разделах HKEY_CURRENT_USER и HKEY_LOCAL_MACHINE.

Значения – это указатели на места, где хранится информация. Всего в реестре используются восемь видов значений (табл. 9.1).

Таблица 9.1. Виды значений реестра

Вид значения	Значок, используемый редактором	Возможность создания в редакторе реестра
Строковый параметр (REG_SZ)		Да
Мультистроковый параметр (REG_MULTI_SZ)		Да
Расширяемый строковый параметр (REG_EXPAND_SZ)		Да
Двоичный параметр (REG_BINARY)		Да
Параметр DWORD длиной 32 бита (REG_DWORD)		Да
Параметр QWORD длиной 64 бита (REG_QWORD)		Да
Машинное слово (REG_DWORD_BIGENDIAN)		Нет
Список ресурсов (REG_LIST, REG_RESOURCE_REQUIREMENTS_LIST или FULL_RESOURCE_DESCRIPTOR)		Нет

Строковый параметр (REG_SZ) содержит последовательность символов, которая может быть прочитана и понята пользователем. Мультистроковый параметр (REG_MULTI_SZ) представляет собой последовательность строк, разделённых нулевым символом. Ввести нулевой символ с клавиатуры невозможно, его можно только скопировать из другого приложения. Расширяемый строковый параметр (REG_EXPAND_SZ) содержит специальные переменные, в которые Windows перед передачей приложению подставляет данные. Например, ссылка на звуковой файл может иметь вид: %SystemRoot%\Media\doh.wav, а в приложение будет передан параметр C:\Windows\Media\doh.wav, полученный подстановкой вместо %SystemRoot% пути к системной папке C:\Windows.

Двоичные значения представлены последовательностями шестнадцатеричными числами, каждая цифра которых изображает содержимое тетрады (четырёх разрядов байта), например, "1А В8 С3 СС …".

Параметры DWORD и QWORD являются обычными 32-битными и
64-битными числами соответственно, которые могут быть представлены как в шестнадцатеричной, так и в десятичной системе счисления. Редко встречающийся параметр REG_DWORD_BIGENDIAN является параметром DWORD, в котором старшее и младшее двухбайтовые слова хранятся в обратном порядке. Способ истолкования чисел, заданных указанными параметрами зависит от использующего из приложения.

Особенностью реестра 64-разрядной Windows является существование слоёв отдельных разделов и ветвей реестра, содержащих описания для 32- и 64-разрядных приложений. Это вызвано тем, что 32-битное и 64-битное программное обеспечение трудно совмещаются друг с другом. Радикальной мерой стало бы существование двух реестров для 32- и 64-разрядных приложений, но это не практично. Поэтому принята компромиссная концепция, согласно которой дойные описания существуют только для тех разделов и ветвей, для которых они необходимы.

Например, соответствия файлов и текстовых редакторов не требуют применения слоёв, в то время как 64-биная программа не может обратиться к 32-битной DLL. Поэтому соответствия не нуждаются в слоях, а описания обращений к DLL должны быть разными для 32- и 64-битных приложений и оформляются в виде двух слоёв.

9.2. Работа с реестром

Стандартной, но не единственной, утилитой работы с реестром является программа regedit.exe, которая называется редактором реестра. Схема рабочего окна утилиты показана на рис. 9.1. Меню "Файл" содержит команды управления реестром:

· Импорт… – импорт (загрузка) файла реестра;

· Экспорт … – сохранение файла реестра;

· Загрузить куст… – загрузить раздел (подраздел) файла реестра;

· Выгрузить куст… – сохранить раздел (подраздел) файла реестра;

· Подключить сетевой реестр – подключиться к реестру удалённого компьютера;

· Отключить сетевой реестр – отключится от реестра удалённого
компьютера.

Названия большинства команд достаточно понятны и комментариев не требуют, за исключением команд работы с "кустом". Кустом называют реестр и его подразделы за древовидную архитектуру реестра в целом и его составных частей. Сохраняя подраздел реестра, приходится заботиться о сохранении не только значений подраздела, но и связей, соединяющих подраздел со всеми окружающими его элементами реестра, т.е. путей доступа к подразделу с верхних уровней иерархии и выхода из подраздела в нижестоящие уровни иерархии.

Аналогичным образом, импортируя куст, приходится не только загружать данные подраздела, но и восстанавливать связи с окружающими его выше- и нижестоящими элементами реестра.

Команды работы с сетевым реестром позволяют загрузить в редактор реестра файл реестра удалённого компьютера для его редактирования, а по завершении редактирования отключиться от указанного файла.

Кроме системной утилиты regedit на рынке программного обеспечения предлагаются программы-редакторы реестра:

· Мастер Автозапуска 1.0 – работа с разделами реестра, отвечающими за запуск программ при загрузке Windows;

· RegWorks 1.3.4 – расширенный редактор и монитор реестра;

· Registrar Registry Manager 4.04 – приложение, позволяющее заменять штатного редактора реестра с предоставлением расширенного сервиса (откат, поиск в фоне, закладки, раскрашивание разделов и подразделов и т.д.) недоступного в Regedit;

· RegCompact.NET 1.8 – приложение, осуществляющее полную перезапись, дефрагментацию и оптимизацию реестра Windows XP.

В процессе эксплуатации компьютера происходит "засорение" операционной системы файлами-двойниками системных файлов и различными некорректными разделами и подразделами реестра. С фалами-двойниками работают средства восстановления системы (см. разделы 7.7 – 7.9). С накопившимся в реестре "мусором" работают утилиты очистки и оптимизации реестра. К ним относятся утилиты:

· InstallSpy 2.0 – контроль за изменениями в файловой системе и системном реестре, просмотр и удаление ненужных разделов и подразделов;

· NBG Clean Registry 1.8.3.2018 – поиск и удаление неправильных ссылок в реестре и ярлыках Windows;

· Registry Booster 1.2 – очистка и оптимизация системного реестра Windows;

· Registry Clean Expert 4.31, Registry Drill 4.0.02, Registry Mechanic 5.2.0.310, WinSysClean 2006 6.02, Work With Registry 4.0, Глюк Ремовер 2.4 – очистка реестра от некорректной или устаревшей информации;

Кроме перечисленных выше операций с реестром системным администраторам приходится выполнять достаточно специфические операции с применением следующих программных средств:

· Advanced Registry Tracer 2.1 – анализ изменений в системном реестре;

· Regmon 7.0.3 – отслеживание обращений запускаемых или уже работающих программ к диску или системному реестру.

Резервное копирование реестра производится автоматически в точках восстановления системы (см. разд. 7). Его можно также произвести вручную командами меню "Файл" редактора реестра. Это целесообразно делать перед любыми операциями редактирования реестра. Восстановление реестра производится наряду с восстановлением системных файлов приложением "Восстановление системы". Можно восстановить реестр и вручную посредством загрузки сделанной резервной копии реестра.

9.3. Системные службы

Системные службы – это системные приложения, которые выполняются автоматически независимо от статуса пользователя и запускающиеся автоматически системой и вручную пользователем. Управление службами осуществляется системной программой System Control Manager (рис. 9.2, 9.3). Поэтому приложение, сконструированное как служба, должно быть способно принимать сообщения от указанной программы управления службами.

Рис. 9.2. Окно приложения System Control Manager при вызове через панель управления

Рис. 9.3. Окно приложения System Control Manager при вызове через контекстное меню

Доступ к программе System Control Manager может быть осуществлён двумя способами:

· вызовом приложения "Администрирование" через "Панель управления";

· вызовом командой "Управление" через контекстное меню значка "Мой компьютер".

Окно программы System Control Manager разделено на две панели. В правой панели помещён список служб и зарезервировано место для описания службы (практически ничего не даёт) и меню команд управления выделенной службы.

Существует несколько режимов работы служб:

· запрещена к запуску;

· ручной запуск (по запросу);

· автоматический запуск при загрузке компьютера;

· автоматический (отложенный) запуск (введён в Windows Vista и Windows Server 2008);

· обязательный запуск – автоматический запуск и невозможность (для пользователя) остановить службу.

Режим работы службы устанавливается посредством команд, появляющихся в правой панели слева от списка служб при выделении службы мышью или клавиатурой.

Контрольные вопросы

Что такое системный реестр операционной системы Windows?

Какова структура системного реестра среды Windows?

Что такое значения системного реестра и какие виды значений существуют?

Как строится системный реестр 64-разрядной операционной системы Windows?

Опишите системную утилиту редактирования реестра.

Каковы утилиты работы с реестром, не входящие в состав операционной системы Windows?

Как выполняется резервное копирование системного реестра?

Что такое системные службы?

Как производится управление системными службами?

10. БЕЗОПАСНОСТЬ ОПЕРАЦИОННЫХ СИСТЕМ

В настоящее время очень информация стала товаром: ею хотят обладать конкуренты, участники торгов и аукционов и многие другие участники экономической деятельности в самых разных целях: от хищения интеллектуальной собственности до получения различных конкурентных преимуществ. Кроме того, разрушение информации и приостановка действия информационной системы нарушают нормальный ритм работы предприятий, организаций и частных лиц, что также даёт определённые преимущества конкурентам, осуществившим успешную атаку на информационную систему предприятия или частного лица.

Из изложенного следует, что предметом защиты является как сама информация, так и программное обеспечение, а если смотреть шире, то и оборудование, которое участвует в информационных процессах, т.к. в ряде случаев оно может быть подвергнуто незаконной модификации, как в процессе поставки, так и в процессе эксплуатации и ремонта.

Под информационной безопасностью понимается защищённость информации и поддерживающей её инфраструктуры от случайных и преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба пользователям или владельцам информации и поддерживающей инфраструктуры. Первым барьером на пути злоумышленников являются операционные системы, которые должны поддерживать защитные механизмы.

10.1. Угрозы, уязвимости, атаки

Схема взаимодействия предприятия с окружающей средой при отсутствии аппаратных средств защиты информации показана на рис. 10.1. Техническая часть информационной инфраструктуры предприятия представлена маршрутизатором (М), сервером (С), коммуникационной подсетью, выполненной по различным топологических схемам и множеством рабочих мест РМ1, РМ2, … РМ_n. Предприятие или физическое лицо, взаимодействующее с предприятием, называется контрагентом (КА). Лицо, пытающееся получить несанкционированный доступ к информации или разрушить информацию или программное обеспечение, а также блокировать к ней доступ зарегистрированным пользователям, представлен злоумышленником (ЗУ). Взаимодействие элементов системы показано двунаправленными стрелками.

Рис. 10.1. Примерная схема локальной сети малого предприятия

Как видно из рис. 2.3, основными мишенями для воздействия являются сервер, содержащий информационные массивы и управляющий сетью предприятия, и рабочие места, на которых содержится локальная информация и реплики (согласованные фрагменты) информационных массивов, относящихся к децентрализованным банкам данных.

Для того, чтобы строить систему защиты информации необходимо понимать угрозы, которые могут быть созданы как для информации, так и для поддерживающей её инфрастуктуры.

Угрозой называется потенциально возможное событие, действие, процесс или явление, которое может вызвать нанесение ущерба (материального, морального или иного) ресурсами системы. Примерами угроз являются уничтожение и искажение информации, изменение её структуры, утечка информации, присвоение чужого труда и т.д. Классификация угроз, их содержание и источники приведены в табл. 10.1.

Таблица 10.1. Системная классификация угроз

Параметры классификации	Значения параметров	Содержание значения
Виды угроз	Физическая целостность данных	Уничтожение и искажение
Логическая структура	Искажение структуры
Содержание	Несанкционированная модификация
Конфиденциальность	Несанкционированное получение, Утечка информации
Право собственности	Присвоение чужого труда
Происхождение угроз	Случайное	Отказы, сбои, ошибки Стихийные бедствия Побочные явления
Преднамеренное	Злоумышленные действия людей
Предпосылки появления угроз	Объективные	Количественная и качественная недостаточность элементов системы
Субъективные	Промышленный шпионаж Недобросовестные сотрудники Криминальные и хулиганствующие элементы Службы других государств
Источники угроз	Люди	Пользователи, персонал, посторонние люди
Технические устройства	Регистрации, ввода, обработки, хранения, передачи и вывода
Модели, алгоритмы, программы	Общего назначения, прикладные, вспомогательные
Технологические схемы обработки данных	Ручные, интерактивные, внутримашинные, сетевые
Внешняя среда	Состояние среды, побочные шумы, побочные сигналы

Уязвимостью называется любая характеристика или любой элемент информационной системы, использование которых злоумышленником может при­вести к реализации угрозы. Примером уязвимости может быть, например, отправка сервером различных сообщений в ответ на неправильную команду запроса доступа к сети. Такое сообщение может содержать информацию, полезную для злоумышленника.

Атакой называется реализация злоумышленником угрозы информационной безопасности.

10.2. Политика безопасности

Совершенно очевидно, что в современных условиях система безопасности должна строиться как много эшелонированная оборона, элементы которой взаимодействуют и развиваются по определённому стратегическому плану. Таким планом является Политика безопасности.

Политика безопасности является первичным документом в системе документов, обеспечивающих информационную безопасность предприятия. Она представляет собой план самого высокого уровня и описывает безопасность в самых общих терминах в целях планирования всей программы обеспечения информационной безопасности. Политика безопасности охватывает все средства вычислительной техники и коммуникаций, а также программное обеспечение.

Рис. 10.2. Структура политики безопасности

Структура политики безопасности показана на рис. 10.2, из которого видно, что политика безопасности предусматривает как чисто организационные мероприятия, так и мероприятия, затрагивающие техническое и програм­мное обеспечение, которые должны под­держивать операционные системы. Например, идентификация пользователя и политика управления паролями и полномочиями пользователей должны поддерживаться операционными системами. Для того, чтобы работать с электронной почтой и осуществлять её защиту, необходима также поддержка их операционными системами. Операционные системы должны поддерживать и систему шифрования и расшифровывания данных, и нейтрализацию угроз процессу обмена информацией со стороны авторов сообщений, их получателей и злоумышленников, удостоверение авторства сообщений и многое другое.

В частности, в процессе информационного обмена угрозы могут создавать три участника этого процесса:

· злоумышленник:

ознакомление с содержанием переданного сообщения;

навязывание получателю ложного сообщения как посредством искажения, так и полной его фабрикации;

изъятие сообщения из системы с сокрытием факта изъятия;

создание помех в работе канала связи.

· законный источник сообщения:

разглашение переданного конфиденциального сообщения;

отказ от авторства действительно переданного им сообщения;

утверждение о передаче получателю фактически не отправлен­ного сообщения.

· законный приёмник информации:

разглашение полученного сообщения;

отказ от факта получения сообщения, которое в действительности было получено;

утверждение о получении сообщения, которое, якобы, было отправлено источником, а фактически было сфабриковано самим получателем.

Для облегчения разработки политики безопасности существуют шаблоны как политики безопасности в целом, так и её составных частей.

10.3. Защита от вторжений

Вторжение – это вход в защищённую информационную систему. Последствия вторжения плохо предсказуемы. Обычно вторжение преследует вполне определённые цели. Как правило, после вторжения следуют попытки стать привилегированным пользователем (например, администратором) с последующим осуществлением зловредных действий (кража или разрушение информации и т.д.). Однако встречаются вторжения, сделанные просто для самоутверждения.

Наиболее часто защита от несанкционированного доступа осуществляется присвоением каждому пользователю специального имени (логина), под которым пользователь зарегистрирован в операционной системе и пароль – набор символов, служащий для подтверждения соответствия субъекта, реально входящего в систему, владельцу логина. Пара логин и пароль уникальна для операционной системы управляющей работой компьютера или для сервера локальной сети.

Несмотря на кажущуюся надёжность этого способа, эта система достаточно легко взламывается. Согласно теории шифрования, стойкость логина и пароля зависит от их длины. Однако это верно для логина и пароля, создаваемых случайным образом. Часто администратор назначает логин и пароль, имеющие смысл, а в некоторых случаях пользователю предоставляется возможность переопределить пароль или самостоятельно назначить логин и пароль (например в электронной почте). Большая вероятность наличия логинов и паролей, имеющих смысл, создаёт возможность программным способом генерировать пары логин – пароль и проверять их. Существуют и другие способы несанкционированного проникновения в систему, основанные на командах ping, telnet, dnsquery, nslookup, dig и многих других.

Существуют алгоритмы, усиливающие пароль и системы заменяющие его. К ним относятся:

· шифрование пароля после ввода его пользователем;

· алгоритм "соли", предусматривающий добавление к паролю случайного числа, меняющегося при каждом входе в систему;

· одноразовые пароли;

· система "оклик – отзыв";

· аутентификация (опознание) с помощью объекта, например, специальной пластиковой карточки;

· аутентификация пользователя по биометрическим данным.

Шифрование пароля после ввода его пользователем предусматривает хранение в файле паролей операционной системы не паролей пользователей, а паролей пользователей, преобразованных по некоторому алгоритму. Исходными данными является пароль, введённый пользователем, результатом – преобразованный пароль, зависящий от алгоритма шифрования и от введённого пароля. Попытка злоумышленника ввести зашифрованный пароль приведёт к результату, отсутствующему в таблице зашифрованных паролей.

Алгоритм "соли" приводит к созданию у злоумышленника файла возможных комбинаций логина и пароля, имеющего огромный размер, что существенно затрудняет поиск нужной пары.

Одноразовые пароли предполагают создание программным способом или списка одноразовых паролей, или генерацию списка одноразовых паролей, полученных преобразованием последнего в списке пароля. Алгоритм генерации паролей таков, что по текущему паролю можно вычислить предшествующий, но не последующий. В системе ведётся учёт числа вхождений пользователя в систему и хранится последний в списке пароль. При входе в систему по номеру вхождения и хранящегося пароля вычисляется текущий пароль и сравнивается с введённым.

Система "оклик – отзыв" предусматривает требование ответа на вопрос после ввода пользователем логина. Список вопросов и ответов на них заранее сгенерирован для каждого пользователя. Вопросы касаются фактов, известных пользователю, но с большой вероятностью неизвестных злоумышленнику. Примерами таких вопросов являются вопросы "Девичья фамилия Вашей бабушки?" или "Где мы встречались в апреле 2010 г.?". Если эта фамилия встречающаяся редко, то маловероятно, что она окажется в списке возможных пар логин – пароль, имеющегося у злоумышленника, а уж место встречи в заданную дату, имеющее значение для легального пользователя, злоумышленнику угадать практически невозможно.

Система аутентификации с помощью объекта предполагает наличие у пользователя специальной пластиковой карточки с данными или HASP-ключа, вставляющегося в порт USB. Сервер, обслуживающий рабочее место пользователя, отправляет запрос, компьютер рабочего места считывает данные и отправляет их на сервер. Сервер сравнивает полученные данные с данными, имеющимися у него в специальной базе данных, и в случае совпадения разрешает доступ.

10.4. Межсетевые экраны

На рис. 10.1 приведена схема взаимодействия локальной сети предприятия с глобальной сетью Интернет при отсутствии аппаратных средств защиты. Одной из важных возможностей осуществления угроз информационной безопасности является наличие ничем не контролируемых трафиков (обмена информацией) с сетью Интернет и внутри локальной сети, которыми может воспользоваться злоумышленник.

Программные и аппаратные средства, позволяющие разделить сеть на две и более частей, осуществлять контроль трафиков и блокировать нежелательные трафики, называются межсетевыми экранами, брандмауэрами или fierwall'ами. Идеальный брандмауэр должен выполнять следующие функции:

· блокировка внешних атак, включая сканирование портов, подмену IP-ад­ресов, DoS и DDoS (атак "Отказ в обслуживании"), подбор паролей и пр.

· блокировка утечки информации даже при проникновении вредоносного кода в компьютер посредством блокирования выхода кода в сеть.

· контроль приложений запрашивающих разрешение на доступ к открытым портам с проверкой по имени файла и аутентичности приложения;