Защита информации в персональных ЭВМ. Средства, позволяющие контролировать доступ.

При загрузке с винта система BIOS читает главную загрузочную запись MBR. Обычно программа записанная в MBR загружает загрузочный сектор активного раздела, однако, можно использовать MBR для организации контроля входа в ПЭВМ, так как размер программы MBR невелик, то эффективно использовать MBR для загрузки большей по объему программы. При применении стандартной разбивки жесткого диска на разделы с помощью программы FDISK сектора, начиная с третьего на нулевой дорожке нулевого цилиндра, не используются, поэтому их можно применить для хранения программы, выполняющей функции контроля. Помимо того в записи MBR хранится первичная таблица описателей логических дисков, изменение этой таблицы позволяет предотвратить доступ к логическому диску при загрузке с дискеты.

Первый сектор активного раздела, осуществляющий загрузку ОС можно также использовать для загрузки программы, реализующей разграничение доступа. Модификация таблицы параметров, которые содержатся в загрузочной записи логического диска, может использоваться для предотвращения доступа к этому логическому диску при загрузке с дискеты. Функции разграничения доступа можно реализовать с помощью драйвера устройства. Этот драйвер может контролировать доступ к файлам и нестандартно определенным логическим дискам. На драйвер можно возложить запрос пароля на вход в систему. Перехват прерываний на различных этапах загрузки системы позволяет организовать дополнительные разграничения доступа. Перехват прерывания 13h дает возможность реализовать режим прозрачного шифрования данных на жестком диске, а также запрещать доступ к гибким дискам и к отдельным частям жесткого. Этот режим предохраняет от копирования данных с жесткого диска при загрузке с дискеты. Перехват прерывания int 13h целесообразно осуществлять до загрузки ОС. Перехват прерываний int 21h и других прерываний позволяет организовать разграничение доступа к файлам и каталогам.

Система разграничения доступа должна обеспечивать выполнение следующих функций:

1. Аутентификация пользователя по паролю и возможно по ключевой дискете.
2. Разграничение доступа к логическим дискам.
3. Прозрачное шифрование логических дисков, что имеет смысл только при наличии соответствующей аппаратуры, так как любые программные способы подразумевают хранение ключей в ОП во время выполнения шифрования.
4. Шифрование выбранных файлов, которое может осуществляться в прозрачном режиме или по требованию.
5. Разграничение доступа к каталогам и файлам, включая посекторную защиту от чтения-записи данных, защиту от переименования и перемещения и запрет модификации областей FAT и каталогов для выбранных файлов. Для реализации этой функции необходимо хранить таблицы большого объема, описывающие полномочия по доступу к каждому сектору и теневые таблицы FAT и каталогов для проверки корректности при их перезаписи.
6. Разрешение запуска строго определенных для пользователя программ, загрузка и выполнение программ реализуется средствами прерывания int 13h BIOS, поэтому фактически для всех программ, запуск которых запрещен для пользователя, должен устанавливаться режим недоступности соответствующих файлов.
7. На всех этапах работы должна реализовываться защита от отладчиков.

Наиболее важным является этап аутентификации пользователя. При ее выполнении до загрузки ОС желательно проверить что ни одна программа не загружена в память, а если загружена, то не получит управление. Для этого необходимо убедится в выполнении следующих условий:

1. система не запущена в режиме виртуального процессора 8086;
2. закрыта двадцатая адресная линия;
3. размер памяти в области данных системы BIOS соответствует размеру памяти ЭВМ;
4. Все используемые программой или аппаратурой вектора прерываний указаны на область постоянной памяти.