Защита информации в персональных ЭВМ. Средства, позволяющие контролировать доступ.
При загрузке с винта система BIOS читает главную загрузочную запись MBR. Обычно программа записанная в MBR загружает загрузочный сектор активного раздела, однако, можно использовать MBR для организации контроля входа в ПЭВМ, так как размер программы MBR невелик, то эффективно использовать MBR для загрузки большей по объему программы. При применении стандартной разбивки жесткого диска на разделы с помощью программы FDISK сектора, начиная с третьего на нулевой дорожке нулевого цилиндра, не используются, поэтому их можно применить для хранения программы, выполняющей функции контроля. Помимо того в записи MBR хранится первичная таблица описателей логических дисков, изменение этой таблицы позволяет предотвратить доступ к логическому диску при загрузке с дискеты.
Первый сектор активного раздела, осуществляющий загрузку ОС можно также использовать для загрузки программы, реализующей разграничение доступа. Модификация таблицы параметров, которые содержатся в загрузочной записи логического диска, может использоваться для предотвращения доступа к этому логическому диску при загрузке с дискеты. Функции разграничения доступа можно реализовать с помощью драйвера устройства. Этот драйвер может контролировать доступ к файлам и нестандартно определенным логическим дискам. На драйвер можно возложить запрос пароля на вход в систему. Перехват прерываний на различных этапах загрузки системы позволяет организовать дополнительные разграничения доступа. Перехват прерывания 13h дает возможность реализовать режим прозрачного шифрования данных на жестком диске, а также запрещать доступ к гибким дискам и к отдельным частям жесткого. Этот режим предохраняет от копирования данных с жесткого диска при загрузке с дискеты. Перехват прерывания int 13h целесообразно осуществлять до загрузки ОС. Перехват прерываний int 21h и других прерываний позволяет организовать разграничение доступа к файлам и каталогам.
Система разграничения доступа должна обеспечивать выполнение следующих функций:
- Аутентификация пользователя по паролю и возможно по ключевой дискете.
- Разграничение доступа к логическим дискам.
- Прозрачное шифрование логических дисков, что имеет смысл только при наличии соответствующей аппаратуры, так как любые программные способы подразумевают хранение ключей в ОП во время выполнения шифрования.
- Шифрование выбранных файлов, которое может осуществляться в прозрачном режиме или по требованию.
- Разграничение доступа к каталогам и файлам, включая посекторную защиту от чтения-записи данных, защиту от переименования и перемещения и запрет модификации областей FAT и каталогов для выбранных файлов. Для реализации этой функции необходимо хранить таблицы большого объема, описывающие полномочия по доступу к каждому сектору и теневые таблицы FAT и каталогов для проверки корректности при их перезаписи.
- Разрешение запуска строго определенных для пользователя программ, загрузка и выполнение программ реализуется средствами прерывания int 13h BIOS, поэтому фактически для всех программ, запуск которых запрещен для пользователя, должен устанавливаться режим недоступности соответствующих файлов.
- На всех этапах работы должна реализовываться защита от отладчиков.
Наиболее важным является этап аутентификации пользователя. При ее выполнении до загрузки ОС желательно проверить что ни одна программа не загружена в память, а если загружена, то не получит управление. Для этого необходимо убедится в выполнении следующих условий:
- система не запущена в режиме виртуального процессора 8086;
- закрыта двадцатая адресная линия;
- размер памяти в области данных системы BIOS соответствует размеру памяти ЭВМ;
- Все используемые программой или аппаратурой вектора прерываний указаны на область постоянной памяти.
Дата добавления: 2015-07-30; просмотров: 955;