Файл: Функции операционных систем персональных компьютеров.pdf
Добавлен: 28.03.2023
Просмотров: 97
Скачиваний: 2
Защита конфиденциальности пользователей
В современном информационном мире пользователи осуществляют подсоединения к многочисленным цифровым ресурсам. Потоки информации движутся в обоих направлениях, приложения Windows способны принимать и отправлять файлы. Почтовые сообщения и другие связанные с пользователем данные, в том числе диагностического характера, пересылаются в обе стороны, а также отправляются различным веб-службам. Корпоративные и индивидуальные пользователи могут управлять такими информационными потоками, используя для этого как специальную вкладку «Конфиденциальность» в приложении «Безопасность», так и групповую политику, которую составляют и применяют для пользовательских систем сисадмины.
Linux Mint. Если посмотреть на Linux, то все недостатки безопасности устраняются считанные часы. Все продукты семейства Unix имеют очень мало изъянов. Есть возможность шифрования данных, но, чтобы это выполнять, потребуются определенные навыки. Что касается всплывающих блокираторов – про них можно забыть. Во многом безопасность данных на этой ОС зависит от сисадмина на предприятии или от домашнего пользователя.
Защита на уровне BIOS
При установке Linux-системы необходимо внимательно ознакомиться с документацией на BIOS. BIOS представляет собой ближайший к аппаратным средствам слой ПО, и многие загрузчики Linux используют функции BIOS для защиты от перезагрузки системы злоумышленниками, а также манипулирования Linux-системой. Некоторые загрузчики Linux позволяют установить пароль, запрашиваемый при загрузке системы.
Периодически появляется необходимость отлучаться от компьютера. В таких ситуациях полезно заблокировать консоль, чтобы исключить возможность ознакомления с вашим именем и результатами работы. Для решения этой задачи в Linux используются программы xlock и vlock. С помощью xlock блокируется доступ для X дисплея (для восстановления доступа необходимо ввести регистрационный пароль). Vlock позволяет заблокировать работу отдельных (или всех) виртуальных консолей Linux-машины. Однако следует знать, что они не защищают от перезагрузки или других способов прерывания работы системы.
Большинство методов, с помощью которых злоумышленник может получить доступ к ресурсам, требуют перезагрузки или выключения питания машины. В связи с этим нужно очень серьезно относиться к любым признакам взлома, фиксировать и анализировать все странности и несоответствия в системном журнале. При этом нужно исходить из того, что любой взломщик всегда пытается скрыть следы своего присутствия. Для просмотра системного журнала обычно достаточно проверить содержимое файлов syslog, messages, faillog и maillog в каталоге /var/log. Полезно также установить скрипт ротации журнальных файлов или демона, который сохраняет журналы на заданную глубину.
Локальная безопасность
Локальная безопасность обычно связана с двумя моментами: защита от локальных пользователей и защита от администратора системы. Не секрет, что получение доступа к счетам локальных пользователей - это первая задача, которую ставит перед собой злоумышленник, пытаясь проникнуть в систему. Если надежные средства локальной защиты отсутствуют, то, используя ошибки в ОС и/или неверно сконфигурированные службы, злоумышленник может легко изменить полномочия в сторону увеличения, что чревато тяжелыми последствиями. Общие правила, которые необходимо соблюдать для повышения локальной защиты состоят в следующем: предоставление минимально необходимого уровня привилегий; контроль за регистрацией всех пользователей; своевременное изъятие счетов пользователей. Нужно постоянно помнить о том, что неконтролируемые счета - идеальный плацдарм для проникновения в систему.
Защита Linux с помощью паролей
Анализ рисков на уровне ОС показывает, что наибольшую опасность представляют действия злоумышленников, связанные с кражей или подбором паролей. Защита паролей поэтому должна занимать ведущее место в системе защиты любой ОС. Защита паролей - область, в которой Linux существенно отличается от многих коммерческих версий Unix и других ОС, причем в лучшую сторону.
В большинстве современных реализаций Linux программа passwd не позволяет пользователю вводить легко разгадываемые пароли путем предупреждения о потенциальной опасности пароля (ввод пароля при этом, к сожалению, не блокируется). Для проверки устойчивости ансамбля конкретного пароля к подбору существует немало программ. Причем используются они с успехом как системными администраторами, так и взломщиками. Наиболее распространенные представители этого класса программ - Crack и John Ripper. Стоит отметить, что эти программы требуют дополнительного процессорного времени, но эта потеря вполне оправдана - замена слабых паролей значительно снижает вероятность проникновения в систему.
Защита данных
Для контроля целостности данных, которая может быть нарушена в результате как локальных, так и сетевых атак, в Linux используется пакет Tripwire. При запуске он вычисляет контрольные суммы всех основных двоичных и конфигурационных файлов, после чего сравнивает их с эталонными значениями, хранящимися в специальной базе данных. В результате администратор имеет возможность контролировать любые изменения в системе. Целесообразно разместить Tripwire на закрытом от записи гибком магнитном диске и ежедневно запускать.
Безусловно, что для повышения конфиденциальности полезно хранить данные на дисках в зашифрованном виде. Для обеспечения сквозного шифрования всей файловой системы в Linux используются криптографические файловые системы CFS (Cryptographic File System) и TCFS (Transparent Cryptographic File System).
Защита дисплеев
Защита графического дисплея - важный момент в обеспечении безопасности системы. Она направлена на исключение возможности перехвата пароля, ознакомления с информацией, выводимой на экран, и т. п. Для организации этой защиты в Linux предусмотрены следующие средства:
- программа xhost (позволяет указать, каким узлам разрешен доступ к вашему дисплею);
- регистрация с использованием xdm (x display manager) - для каждого пользователя генерируется 128-битный ключ (cookie);
- организация обмена с помощью защищенной оболочки ssh (secure shell) - в сети исключается поток незашифрованных данных.
Дополнительно к этому для организации контроля доступа к видеоподсистеме компьютера в рамках Linux разработан проект GGI (Generic Graphics Interface). Идея GGI состоит в переносе части кода, обслуживающего видеоадаптеры, в ядро Linux. С помощью GGI практически исключается возможность запуска на вашей консоли фальшивых программ регистрации.
Сетевая защита
По мере развития сетевых технологий вопросы безопасности при работе в сети становятся все более актуальными. Практика показывает, что зачастую именно сетевые атаки проходят наиболее успешно. Поэтому в современных ОС сетевой защите уделяется очень серьезное внимание. В Linux для обеспечения сетевой безопасности тоже применяется несколько эффективных средств:
- защищенная оболочка ssh для предотвращения атак, в которых для получения паролей используются анализаторы протоколов;
- программы tcp_wrapper для ограничения доступа к различным службам вашего компьютера;
- сетевые сканеры для выявления уязвимых мест компьютера;
- демон tcpd для обнаружения попыток сканирования портов со стороны злоумышленников (в дополнение к этому средству полезно регулярно просматривать файлы системного журнала);
- система шифрования PGP (Pretty Good Privacy);
- программа stelnet (защищенная версия хорошо известной программы telnet);
- программа qmail (защищенная доставка электронной почты);
- программа ipfwadm для настройки межсетевых экранов (firewall);
- режим проверки паролей входных соединений для систем, разрешающих подключение по внешним коммутируемым линиям связи или локальной сети.
Отрадно отметить, что многие из перечисленных средств включены в состав последних дистрибутивов Linux.
Mac OS X. Наиболее безопасная ОС, за ее взлом даже назначают неплохую награду на некоторых хакерских сайтах. Помогает поддерживать систему в стабильности за счет шифрования данных и распределения их на личные и системные. К тому же новая Mac OS переписана с нуля и не совместима с предыдущими версиями. Это значит, что искать пути взлома стало еще труднее.
Антивирус Gatekeeper
Это старая (представлена ещё в Mac OS X Mountain Lion 10.8) функция защиты Mac от вредоносного ПО и «неподобающих приложений, загруженных из интернета».
Функция по своим целям и поведению напоминает контроль учетных записей Windows (UAC). В двух словах, она проверяет наличие ID разработчика у приложения, скачанного откуда-либо еще, кроме Mac App Store. Если ID нет, программа не запустится, если не поменять установки вручную. Другие опции включают «Anywhere» (наименее безопасную) и «Mac App Store» (и ничего кроме; это установка высокого уровня безопасности).
Шифрование диска FileVault 2
Еще один инструмент безопасности. Он шифрует весь диск на Mac, защищая данные шифрованием XTS-AES 128. Apple утверждает, что первичное шифрование осуществляется быстро и ненавязчиво. Оно также может закодировать любой съемный диск, помогая пользователю обеспечить резервное копирование Time Machine или на других внешних накопителях.
FileVault 2 также позволяет стереть все данные на диске, делается это в два этапа. Во-первых, программа убивает ключи шифрования от Mac, что сделает данные «полностью недоступными», как полагают в Apple. Затем происходит тщательное стирание всех данных с диска. Так что у тех, кто задумает восстановить что-либо с этого диска, будет много «веселья».
Сброс устройства RemoteWipe
Эта функция позволяет удалить все личные данные и восстановить заводские настройки Mac, если компьютер «сменил владельца» без согласия последнего. Есть опция и помягче, с удаленной установкой пароля доступа.
iCloud.com и приложение Find My iPhone на устройствах iOS позволяют определить местонахождение пропавшего Mac на карте. А если он отключен, то вы получите сообщение, как только компьютер установит беспроводное соединение. Существует также вариант отображения сообщения на экране с информацией о том, как вернуть пропавший компьютер владельцу.
Хранение паролей
Браузер Safari оснащен генератором паролей, который создает надежные комбинации для интернет-аккаунтов.
Еще есть iCloud Keychain, который хранит логины и пароли (вместе с данными кредитной карты) с использованием 256-битного шифрования AES. iCloud также позволяет синхронизировать все имена пользователей и пароли между выпущенными Apple устройствами.
У автозаполнения всего один недостаток: если некто недружественный получает шанс воспользоваться Mac в отсутствие владельца, то возможны осложнения. Так что настоятельно рекомендуется отключить автоматическое заполнение в настройках безопасности и конфиденциальности.
Управление конфиденциальностью
Данные опции позволяют (или запрещают) определенным приложениям запрашивать данные о вашем местоположении, при этом даются объяснения того, как Location Services могут навредить личной жизни.
Существуют также некие вкладки «Доступности», которые позволяют разрешать определенным приложениям «управлять компьютером» (очевидная аналогия с Windows, где некоторые приложения, особенно вторичные, запрашивают установку «Выполнить от имени администратора» перед запуском). Пользователю решать самому, какие приложения получат привилегии. Притом, что это не затрагивает конфиденциальность как таковую, в качестве дополнительной функции безопасности ее, безусловно, стоит упомянуть.
Антифишинг
Такой инструмент (фактически введен уже некоторое время назад) сегодня просто необходим. Проблема постепенно усугубляется, так как фишинг требует специальных контрмер, и хорошо, что Apple их предлагает.
Брандмауэр
Это основной инструмент, который позволяет принять или отклонить входящие соединения на Mac с помощью приложения.
Однако этот брандмауэр не обеспечивает исходящей защиты, поэтому было бы разумно установить нечто серьезнее.
Win 10. Заключения экспертов неутешительны – последней версии Win 10 не достает стабильности по сравнению с популярными до сих пор Win XP и Win 7. Экраны смерти, плохая интеграция и совместимость со сторонним ПО, проблемы администрирования и т.д. Анализируя форумы, мнения экспертов и заверения Microsoft можно сделать вывод, что ОС годится для использования неприхотливых пользователей домашних ПК, но часто является головной болью для сисадминов компаний.
Linux Mint. Пожалуй, самая стабильная система из всех троих. Так почему Linux стабильна? Прежде всего из-за доставшегося в наследство от UNIX фундаментального принципа: пользователь и администратор здесь — разные лица. В смысле, они, конечно, могут быть одним человеком (домашний ПК), но даже в таком случае разделение прав по-прежнему строгое. Чтобы навредить системе, необходимо действовать в ней с правами администратора, а для этого необходимо потрудиться как минимум ввести пароль.
В системах Microsoft схема формально такая же, однако с начала 80-х и до начала нулевых администратор и пользователь в её ОС были либо одним лицом, либо значительно пересекались: простой юзер имел доступ к ресурсам, которые в Линуксе доступны только админу. А это сформировало дурную привычку: пользователи Windows до сих пор искренне недоумевают, когда система что-то им запрещает. Они привыкли решать пользовательские проблемы с привлечением полномочий администратора: перезагрузить, переустановить...