Уязвимости учетных записей
Для большей гибкости в управлении доступом пользователей компания Apple сделала эти различные типы учетных записей доступными. Так как каждый тип учетной записи предназначен для обеспечения различных уровней доступа, необходимо знать о потенциальных рисках безопасности каждого типа учетной записи.
Стандартные пользователи. Данный тип учетных записей является максимально безопасным, если задан подходящий пароль. Эти пользователи могут использовать почти все ресурсы и средства компьютера Маc, но не могут изменить ничего, что может повлиять на операционную систему. Можно еще больше ограничить эту учетную запись, используя управляемые настройки средств родительского контроля.
Администраторы. Это учетная запись создается при начальной настройке компьютера Мас с помощью Ассистента миграции (Setup Assistant), позволяет изменять все, что требуется для управления системой. Недостатком является то, что пользователь может изменить или установить такое программное обеспечение, которое сделает систему незащищенной или неустойчивой.
Для повседневного использования можно применять дополнительные учетные записи администраторов. Они создаются равноценными в правах. Все учетные записи администраторов могут вносить любые изменения в систему, включая удаление или изменение пароля других учетных записей администраторов. Администраторы могут также изменять права для любой другой учетной записи, либо отключая текущих администраторов, либо превращая стандартных пользователей в администраторов. Более того, запуск вредоносных программ от имени администратора может нанести серьезный вред операционной системе.
Любой администратор может включить учетную запись root или изменить пароль учетной записи root с помощью утилиты Служба каталогов (Directory Utility), расположенного в папке Система/Библиотеки/Core Services (/System/Library/Core Services). По этим причинам необходимо ограничивать число учетных записей администраторов.
Пользователь guest. Пользователям guest по умолчанию разрешен доступ к компьютеру через сетевой общий доступ без пароля и им можно разрешить входить в систему локально, не вводя пароль. Очевидный риск безопасности состоит в том, что любой пользователь получает доступ, эквивалентный доступу стандартной учетной записи (в том числе доступ к папкам Общие [Public], Почтовый ящик [Drop Box], Сайты [Sites] и Общий доступ [Shared]). Такой пользователь может выполнять некоторые потенциально опасные приложения или заполнять жесткий диск нежелательными файлами. Пользователь guest может также перезапустить или выключить Мас, что позволяет скомпрометировать систему во время запуска.
4.3 Типы паролей
OS X использует пароли в качестве основного метода проверки подлинности пользователя. Большинство пользователей знакомо только со своим паролем учетной записи, но Маc может иметь также пароль прошивки, главный пароль, множество паролей ресурсов и несколько паролей для keychain.
Каждый тип пароля предназначен для конкретной цели.
· Пароль учетной записи (account password). Пароль учетной записи - это атрибут, который используется для аутентификации пользователя, чтобы он мог войти в систему. По соображениям безопасности пароль учетной записи пользователя хранится как зашифрованные данные в записи пользователя. Только пользователь root может обращаться к зашифрованным данным в записи пользователя.
· Пароль прошивки (firmware password). Используется для защиты компьютера Маc во время загрузки. По умолчанию любой может обойти систему защиты путем простого использования одной из широко известных комбинаций клавиш перехвата загрузки. Например, по умолчанию любой может удерживать клавишу [Options] при загрузке, чтобы выбрать альтернативную операционную систему, тем самым обходя систему защиты. Задание пароля прошивки не позволит несанкционированным пользователям использовать какие-либо клавиатурные комбинации перехвата загрузки.
· Главный пароль (master password). Используется для сброса паролей учетных записей стандартных пользователей, администраторов и учетных записей, использующих систему шифрования File Vault, если пользователь забыл свой пароль учетной записи.
· Пароль ресурса (resource password). Общий термин для описания пароля, применяемого практически любой службой, которая требует аутентификации. Пароли ресурсов включают пароли электронной почты, сайта, файлового сервера, приложения и зашифрованного образа
диска. Многие пароли ресурсов автоматически сохраняются для пользователя системой keychain.
· Пароль keychain-файла. OS X защищает важные аутентификационные активы пользователя (кроме пароля учетной записи) в зашифрованных keychain-файлах. Каждый keychain-файл защищается с помощью собственного пароля. Система попытается синхронизировать пароли keychain-файлов с паролем учетной записи пользователя. Однако эта синхронизация не обязательна, и для keychain-файлов могут использоваться свои пароли.
4.3 Управление keychain-файлами.
OS X автоматически защищает все данные, необходимые для аутентификации, в зашифрованных keychain-файлах. Так как большое количество важных объектов оказывается в файлах keychain, то сами эти файлы шифруются с помощью устойчивого алгоритма. Они будут недоступны, если вы не знаете пароль keychain-файла. Если вы забудете пароль keychain-файла, его содержимое будет утрачено навсегда. Самым важным свойством системы keychain-файлов является то, что она работает полностью автоматически при использовании настроек по умолчанию.
Keychain-файлы. В системе хранятся различные файлы keychain для разных пользователей и ресурсов.
· /Пользователи/<имя_пользовятеля>/Библиотеки/Кеусhains/ 1оgin.кеусhain (/Users/<имя_пользовятеля>/Library/Кеусhain/login.keychain).
· /Библиотеки/Keychains/FileVaultMaster.keychain (/Library/Keychain/ FileVaultMaster.keychain). Этот keychain-файл содержит главный пароль системы FiieVault.
· Библиотеки/Keychains/System.keychain (/Library/Keychain/System. keychain).
· Система/Библиотеки/Keychains/ (/System/Library/Keychains/).
Доступ к keychain-файлам. Основным инструментом для управления keychain-файлами является приложение Связка ключей (Keychain Access). С помощью этого приложения можно просматривать и модифицировать любой объект keychain-файла, включая сохраненные пароли ресурсов, сертификаты, ключи, формы сайтов и защищенные заметки. Можно также создавать и удалять keychain-файлы, изменять их настройки и пароли, а также исправлять поврежденные keychain-файлы.
Дата добавления: 2015-09-18; просмотров: 626;