- •Лекція 12 Тема: Захист інформації в операційних системах
- •Основні завдання забезпечення безпеки
- •Базові поняття криптографії
- •Поняття криптографічного алгоритму і протоколу
- •Криптосистеми з секретним ключем
- •Криптосистеми із відкритим ключем
- •Гібридні криптосистеми
- •Цифрові підписи
- •Сертифікати
- •3. Принципи аутентифікації і керування доступом
- •Основи аутентифікації
- •4. Аутентифікація та керування доступом в unix
- •Облікові записи користувачів
- •4.2.Аутентифікація
- •Керування доступом
- •5. Аутентифікація і керування доступом у Windows хр
- •Загальна архітектура безпеки
- •Аутентифікація
- •Керування доступом
- •Загальні принципи організації аудиту
- •Робота із системним журналом unix
- •Журнал подій Windows хр
- •7. Локальна безпека даних
- •Принципи шифрування даних на файлових системах
- •Підтримка шифрувальних файлових систем у Linux
- •Шифрувальна файлова система Windows хр
- •8. Мережна безпека даних
- •Шифрування каналів зв’язку
- •Захист інформації на мережному рівні
- •Захист інформації на транспортному рівні
- •9. Атаки і боротьба з ними
- •9.1. Переповнення буфера
- •Квоти дискового простору
- •Зміна кореневого каталогу застосування
- •Висновки
- •Контрольні запитання та завдання
Журнал подій Windows хр
Архітектура аудиту Windows ХР
Повідомлення аудиту можуть бути згенеровані виконавчою підсистемою під час перевірки прав доступу, при цьому за передавання таких повідомлень у режим користувача для реєстрації відповідає SRM. Крім того, повідомлення можуть надходити від компонентів режиму користувача, зокрема від прикладних процесів (для цього у програмах необхідно використовувати відповідні функції Win32 АРІ). Інформацію про такі повідомлення зберігають у журналі подій (event log). Для роботи із ним процес повинен мати необхідні привілеї.
Необхідність аудиту конкретної події визначає локальна політика безпеки (local security policy). Цю політику підтримує LSASS у межах загальної політики безпеки і передає SRM під час ініціалізації системи. LSASS отримує повідомлення аудиту від SRM або компонентів режиму користувача і відсилає їх окремому процесові журналу подій, що зберігає записи аудиту в журналі.
Використання журналу подій у застосуваннях
Розглянемо особливості використання журналу подій у застосуваннях [32]. Насамперед необхідно зазначити, що процедура виведення повідомлень у журнал відокремлена від процедури задання тексту повідомлень. Фактично під час виведення повідомлення зазначають лише його код, а всю текстову інформацію, що відповідає цьому коду, задають в окремих файлах повідомлень журналу. Спочатку ознайомимося із процесом створення файлів повідомлень, а потім перейдемо до організації виведення повідомлень у журнал.
Розробка файлів повідомлень
Вихідні файли повідомлень - це текстові файли спеціального формату, які мають розширення .тс. Структура такого файла проста — він складається з пар і м'я_параметра=значення.
Журнал подій дає змогу задавати повідомлення кількома мовами. При цьому вибір варіанта повідомлення, що відображатиметься під час перегляду журналу за допомогою вікна перегляду подій (Event Viewer), залежить від мовних налаштувань ОС. Для визначення допустимих мов на початку файла повідомлень необхідно задати параметр LanguageNames зі значенням у вигляді списку специфікацій мов, розділених пробілами (у форматі ім'я_мови=код_мови:іи'я_файла):
LanguageNames=(Engl і sh=0x409:msg_en Ukrai пі an=0x422:msg_ua)
Блок інформації для окремого повідомлення має такий вигляд:
Messageld=0xl
Symbol іcName=MSG MYMSG
Language=Englі sh
Application started (executable file: *1)
Language=Ukrainian
Програму запущено (виконується файл: її)
Параметр Messageld задає код повідомлення, Symbol і cName визначає символьну константу, яка буде доступна в застосуванні як позначення цього повідомлення. Параметр Language починає блок тексту повідомлення, що відповідає заданій мові (ім’я мови треба задати раніше за допомогою параметра LanguageNames). Завершенням такого блоку є рядок із єдиним символом ".У тексті повідомлення можливі специфікації підстановки %1, %2 тощо, замість них підставляються параметри, задані під час виведення повідомлення.
Після створення mc-файл обробляє компілятор повідомлень (тс. ехе).
тс -A msgfile.тс
Параметр -А означає, що вихідні дані, як і вхідні, будуть у форматі ASCII.
У результаті буде згенеровано такі файли:
заголовний файл msgfile.h із оголошеннями констант, заданих параметрами Symbol і cName;
набір файлів із визначеннями текстів для різних мов (наприклад, під час компіляції msgfile.mc будуть згенеровані msg_en.bin та msg_ua.bin);
файл ресурсів msgfile.rc, що містить посилання на файли із визначеннями текстів. Після компіляції mc-файла потрібно створити двійковий файл повідомлень.
Звичайно його компонують у DLL за два етапи:
текстовий файл ресурсів компілюють у двійкове подання за допомогою компілятора ресурсів
гс -г -fo msgfile.res msgfile.rc
на основі двійкового подання ресурсів компонують динамічну бібліотеку
link -dll -noentry -out-.msgfile.dU msgfile.res
Реєстрація двійкового файла повідомлень у реєстрі
Файл повідомлень повинен реєструватися у системному реєстрі. Для цього необхідно задати ключ:
HKLM\SYSTEM\CurrentControlSetXServi ces\EventLog\
Applі catі on\ім ‘ я джерела повідонлень за допомогою вікна перегляду подій (Event Viewer), залежить від мовних налаштувань ОС. Для визначення допустимих мов на початку файла повідомлень необхідно задати параметр LanguageNames зі значенням у вигляді списку специфікацій мов, розділених пробілами (у форматі і м ’ я_мови=код_мови: і м' я файла):
LanguageNames=(Engl і sh=0x409:msg_en Ukrai nian=0x422:msg_ua)
Блок інформації для окремого повідомлення має такий вигляд:
Messageld=0xl
Symbol і cName=MSG_MYMSG
Language=English
Application started (executable file: її)
Language=Ukrainian
Програму запущено (виконується файл: її)
Параметр Messageld задає код повідомлення, Symbol і cName визначає символьну константу, яка буде доступна в застосуванні як позначення цього повідомлення. Параметр Language починає блок тексту повідомлення, що відповідає заданій мові (ім’я мови треба задати раніше за допомогою параметра LanguageNames). Завершенням такого блоку є рядок із єдиним символом ".У тексті повідомлення можливі специфікації підстановки %1, %2 тощо, замість них підставляються параметри, задані під час виведення повідомлення.
Після створення mc-файл обробляє компілятор повідомлень (тс. ехе).
тс -A msgfile.тс
Параметр -А означає, що вихідні дані, як і вхідні, будуть у форматі ASCII.
У результаті буде згенеровано такі файли:
заголовний файл msgfile.h із оголошеннями констант, заданих параметрами Symbol і cName;
набір файлів із визначеннями текстів для різних мов (наприклад, під час компіляції msgfile.mc будуть згенеровані msg_en.bin та msg_ua.bin);
файл ресурсів msgfile.rc, що містить посилання на файли із визначеннями текстів.
Після компіляції шс-файла потрібно створити двійковий файл повідомлень. Звичайно його компонують у DLL за два етапи:
текстовий файл ресурсів компілюють у двійкове подання за допомогою компілятора ресурсів
re -r -fo msgfile.res msgfile.rc
на основі двійкового подання ресурсів компонують динамічну бібліотеку
link -dll -noentry -out.msgfi 7e.dll msgfile.res
Реєстрація двійкового файла повідомлень у реєстрі
Файл повідомлень повинен реєструватися у системному реєстрі. Для цього необхідно задати ключ:
HKLM\SYSTEM\CurrentControlSet\Servi ces\EventLog\
Аррі і cat і on\ 7«' fijmepenaj]OB ідомлень і в ньому - рядкове значення EventMessageFile, яке повинно містити повний шлях до двійкового файла повідомлень. Ім’я джерела повідомлень з’являтиметься у відповідному стовпчику вікна перегляду повідомлень.
Після реєстрації повідомлення, пов’язані із джерелом даних, будуть відображені із використанням зазначеного файла повідомлень.
Виведення повідомлень у журнал
Після підготовки і реєстрації у системі двійкового файла повідомлень застосування може працювати із журналом подій.
Для виведення повідомлень у журнал використовують їхні коди, у ролі яких задають константи з отриманого раніше заголовного файла. Цей файл потрібно підключати до застосувань, що використовують журнал
#іпсіude "msgfile.h"
Перед виведенням повідомлень у журнал необхідно зареєструвати у системі джерело повідомлень, після завершення виведення — скасувати цю реєстрацію. Для цього використовують функції RegisterEventSourceO і DeregisterEventSource():
// туарр повинен збігатися з ім’ям джерела, заданим у реєстрі HANDLE hiog = RegisterEventSourceCNULL,"туарр");
... робота з журналом через дескриптор hi од DeregisterEventSource(hlog);
Для виведення повідомлення в журнал використовують функцію ReportEvent():
BOOL ReportEvent(HANDLE hlog, WORD etype, WORD ecategory, DWORD ecode,
PSID userid. WORD parnum. DWORD dsize. LPCTSTR *params, LPVOID data);
де; hlog — дескриптор журналу;
etype — тип повідомлення (EVENTLOG_ERROR_TYPE — повідомлення про помилку, EVENTLOG_WARNING_TYPE — попередження, EVENTLOG_INFORMATION_TYPE — інформаційне повідомлення);
ecode - код повідомлення (відповідна константа із заголовного файла); parnum - кількість параметрів повідомлення (елементів масиву params); params — масив параметрів повідомлення (під час виведення повідомлення ці параметри будуть послідовно підставлені замість специфікацій підстановки).
Ця функція у разі помилки повертає значення FALSE:
const char *messages[] = { argv[0] }: //ім'я виконуваного файла // HANDLE hlog = RegisterEventSourcet...);
ReportEventChlog. EVENTLOG_INFORMATION_TYPE, 0.
MSG_MYMSG, NULL. 1.0. messages. NULL):
Унаслідок виконання цього фрагмента коду в журналі подій для джерела туарр у системі із встановленими українськими локальними налаштуваннями відобразиться таке повідомлення:
Програму запущено (виконується файл: сЛрзШтуарр.ехе)
Для використання функцій роботи із журналом під час компонування застосування необхідно зазначати бібліотечний файл advapi32.lib.