Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
пользователя, инициировавшего этот запрос. Этот механизм позволяет серверу действовать от лица клиента при доступе к объектам, к которым сам сервер не имеет доступа.
Созданный LSA маркер доступа AT передается процессу входа, который с помощью провайдера аутентификации завершает процесс авторизации пользователя в КС, запуская процесс его инициализации (userinit.exe) и передавая ему AT. Процесс инициализации на основе содержащегося в AT идентификатора безопасности пользователя зафужает из реестра Windows его профиль и загружает программную оболочку — проводник Windows (explorer.exe), передавая ему маркер доступа пользователя. После этого процесс инициализации завершает свою работу.
Концепция рабочего стола пользователя (desktop) в защищенных версиях Windows отличается от аналогичного понятия в открытых версиях этой операционной системы. Рабочий стол в защищенных версиях Windows представляет собой совокупность окон, одновременно видимых на экране. Только процессы, окна которых расположены на одном рабочем столе, могут взаимодействовать между собой, используя средства графического интерфейса пользователя Windows (GUI).
Процесс входа (winlogon), получающий от пользователя имя и пароль, выполняется на отдельном рабочем столе (рабочем столе аутентификации). Никакой другой процесс, в том числе и программная закладка, внедренная нарушителем для перехвата паролей, не имеет доступа к этому рабочему столу. Поэтому приглашение пользователю на вход в систему, выводимое этой закладкой, может располагаться только на рабочем столе прикладных программ, с которым связаны все запущенные пользователем про-фаммы.
Переключение экрана компьютера с одного рабочего стола на другой производится при нажатии комбинации клавиш Ctrl+Alt+ +Delete. В защищенных версиях Windows эта комбинация обрабатывается иначе — сообщение о нажатии комбинации клавиш Ctrl+Alt+Delete посылается только процессу входа, который остается активным до перезагрузки операционной системы или выключения питания. Для всех других процессов (в частности, для всех прикладных профамм, запущенных пользователем) нажатие этой комбинации клавиш совершенно незаметно.
При загрузке системы на экране компьютера вначале отображается рабочий стол аутентификации. Однако пользователь вводит имя и пароль не сразу, а только после нажатия комбинации клавиш Ctrl+Alt+Delete. Когда пользователь завершает сеанс работы с системой, на экран также выводится рабочий стол аутентификации, и новый пользователь может ввести пароль для входа в систему только после нажатия комбинации клавиш Ctrl+Alt+ +Delete.
Если в систему внедрена программная закладка для перехвата паролей, то для осуществления ею этого перехвата в закладке необходимо обработать нажатие пользователем комбинации клавиш Ctrl+Alt+Delete. В противном случае при нажатии пользователем этой комбинации клавиш произойдет переключение на рабочий стол аутентификации, рабочий стол прикладных профамм станет неактивным и закладка просто не сможет ничего перехватить — сообщения о нажатии пользователем клавиш будут приходить на другой рабочий стол. Однако для всех прикладных программ факт нажатия пользователем комбинации клавиш Ctrl+Alt+Delete всегда остается незамеченным. Поэтому введенный пользователем пароль будет воспринят не профаммной закладкой, а процессом входа.
Конечно, программная закладка может имитировать не первое приглашение операционной системы, когда пользователю предлагается нажать комбинацию клавиш Ctrl+Alt+Delete для начала работы, а то приглашение, которое высвечивается после нажатия пользователем этой комбинации клавиш.
Однако в обычных условиях (при отсутствии внедренной программной закладки) это второе приглашение автоматически отменяется через достаточно короткое время (от 30 с до 1 мин, в зависимости от версии Windows). Если второе приглашение присутствует на экране компьютера долгое время, то этот факт должен насторожить пользователя. Кроме того, как показывает опыт, пользователи, имеющие достаточный опыт работы с защищенными версиями Windows, приобретают привычку начинать работу с системой с нажатия комбинации клавиш Ctrl+Alt+Delete независимо от того, что отображается на экране.
Защита рассматриваемых версий операционной системы Windows от профаммных закладок такого рода может считаться весьма надежной.
Для управления списками пользователей и фупп в КС, назначения им полномочий, определения параметров политики безопасности в операционных системах Windows 2000/XP администратором используются функции «Администрирование» и «Локальная политика безопасности» панели управления, а в операционной системе Windows NT для этого предназначалась системная программа «Диспетчер пользователей» (User Manager).
На рис. 3.9 и 3.10 приведены примеры определения свойств учетной записи пользователя, а также свойств и состава группы пользователей. Для учетной записи пользователя помимо его логического имени для входа в систему и полного имени и (или) описания задаются следующие характеристики:
• признак необходимости смены пароля при следующем входе в систему (устанавливается, как правило, при создании учетной записи администратором или задании для пользователя нового пароля);