Уязвимости учетных записей

Для большей гибкости в управлении доступом поль­зователей компания Apple сделала эти различные типы учетных записей доступными. Так как каждый тип учетной записи предназначен для обе­спечения различных уровней доступа, необходимо знать о потенциальных рисках безопасности каждого типа учетной записи.

Стандартные пользователи. Данный тип учетных записей является максимально безопасным, если за­дан подходящий пароль. Эти пользователи могут использовать почти все ресурсы и средства компьютера Маc, но не могут изменить ничего, что мо­жет повлиять на операционную систему. Можно еще больше ограничить эту учетную запись, используя управляемые настройки средств родитель­ского контроля.

Администраторы. Это учетная запись создается при начальной настрой­ке компьютера Мас с помощью Ассистента миграции (Setup Assistant), позволяет изменять все, что требуется для управления системой. Недостатком является то, что пользователь может изменить или установить такое программное обеспечение, которое сдела­ет систему незащищенной или неустойчивой.

Для повседневного использования можно применять дополнитель­ные учетные записи администраторов. Они создаются равноценными в правах. Все учетные записи администраторов могут вносить любые изменения в систему, включая удаление или изменение па­роля других учетных записей администраторов. Администраторы могут также изменять права для любой другой учетной записи, либо отключая текущих администраторов, либо превращая стандартных пользователей в администраторов. Более того, запуск вредоносных программ от имени администратора может нанести серьезный вред операционной системе.

Любой администратор может включить учетную запись root или изменить пароль учетной запи­си root с помощью утилиты Служба каталогов (Directory Utility), располо­женного в папке Система/Библиотеки/Core Services (/System/Library/Core Services). По этим причинам необходимо ограничивать число учетных за­писей администраторов.

Пользователь guest. Пользователям guest по умолчанию разрешен доступ к компьютеру через сетевой общий доступ без пароля и им можно разрешить входить в систему локально, не вводя пароль. Очевидный риск безопасности состоит в том, что любой пользователь получает доступ, эквивалентный доступу стандартной учетной записи (в том числе доступ к папкам Общие [Public], Почтовый ящик [Drop Box], Сайты [Sites] и Общий доступ [Shared]). Такой пользователь может выполнять некоторые потенци­ально опасные приложения или заполнять жесткий диск нежелательными файлами. Пользователь guest может также перезапустить или выключить Мас, что позволяет скомпрометировать систему во время запуска.

4.3 Типы паролей

OS X использует пароли в качестве основного метода проверки подлинно­сти пользователя. Большинство пользователей знакомо толь­ко со своим паролем учетной записи, но Маc может иметь также пароль прошивки, главный пароль, множество паролей ресурсов и несколько па­ролей для keychain.

Каждый тип пароля предназначен для конкретной цели.

· Пароль учетной записи (account password). Пароль учетной записи - это атрибут, который используется для аутентифи­кации пользователя, чтобы он мог войти в систему. По соображениям безопасности пароль учетной записи пользователя хранится как зашифрованные данные в записи пользователя. Только пользователь root может обращаться к зашифрованным данным в записи пользо­вателя.

· Пароль прошивки (firmware password). Используется для защиты ком­пьютера Маc во время загрузки. По умолчанию любой может обой­ти систему защиты путем простого использования одной из широко известных комбинаций клавиш перехвата загрузки. Например, по умолчанию любой может удерживать клавишу [Options] при загруз­ке, чтобы выбрать альтернативную операционную систему, тем самым обходя систему защиты. Задание пароля прошивки не позволит не­санкционированным пользователям использовать какие-либо клави­атурные комбинации перехвата загрузки.

· Главный пароль (master password). Используется для сброса паролей учетных записей стандартных пользователей, администраторов и учетных записей, использующих систему шифрования File Vault, если пользователь забыл свой пароль учетной записи.

· Пароль ресурса (resource password). Общий термин для описания па­роля, применяемого практически любой службой, которая требует аутентификации. Пароли ресурсов включают пароли электронной по­чты, сайта, файлового сервера, приложения и зашифрованного образа

диска. Многие пароли ресурсов автоматически сохраняются для поль­зователя системой keychain.

· Пароль keychain-файла. OS X защищает важные аутентификационные активы пользователя (кроме пароля учетной записи) в зашифрован­ных keychain-файлах. Каждый keychain-файл защищается с помощью собственного пароля. Система попытается синхронизировать пароли keychain-файлов с паролем учетной записи пользователя. Однако эта синхронизация не обязательна, и для keychain-файлов могут исполь­зоваться свои пароли.

4.3 Управление keychain-файлами.

OS X автоматически защищает все данные, необходимые для аутентифи­кации, в зашифрованных keychain-файлах. Так как большое количество важных объектов оказывается в файлах keychain, то сами эти файлы шифруются с помощью устойчивого алгорит­ма. Они будут недоступны, если вы не знаете пароль keychain-файла. Если вы забудете пароль keychain-файла, его содержимое будет утрачено навсег­да. Самым важным свойством системы keychain-файлов является то, что она работает полностью автоматически при использовании настроек по умолчанию.

Keychain-файлы. В системе хранятся различные файлы keychain для разных пользователей и ресурсов.

· /Пользователи/<имя_пользовятеля>/Библиотеки/Кеусhains/ 1оgin.кеусhain (/Users/<имя_пользовятеля>/Library/Кеусhain/login.keychain).

· /Библиотеки/Keychains/FileVaultMaster.keychain (/Library/Keychain/ FileVaultMaster.keychain). Этот keychain-файл содержит главный па­роль системы FiieVault.

· Библиотеки/Keychains/System.keychain (/Library/Keychain/System. keychain).

· Система/Библиотеки/Keychains/ (/System/Library/Keychains/).

Доступ к keychain-файлам. Основным инструментом для управления keychain-файлами является приложение Связка ключей (Keychain Access). С помощью этого приложения можно просматривать и модифицировать любой объект keychain-файла, включая сохраненные пароли ресурсов, сертификаты, ключи, формы сай­тов и защищенные заметки. Можно также создавать и удалять keychain-файлы, изменять их настройки и пароли, а также исправлять поврежден­ные keychain-файлы.








Дата добавления: 2015-09-18; просмотров: 634;


Поиск по сайту:

При помощи поиска вы сможете найти нужную вам информацию.

Поделитесь с друзьями:

Если вам перенёс пользу информационный материал, или помог в учебе – поделитесь этим сайтом с друзьями и знакомыми.
helpiks.org - Хелпикс.Орг - 2014-2024 год. Материал сайта представляется для ознакомительного и учебного использования. | Поддержка
Генерация страницы за: 0.008 сек.