BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/15.0070)

Slides:



Advertisements
Podobné prezentace
Podpora plánování rozvoje sociálních služeb formou založení odborných partnerství CZ.1.04/3.1.03/
Advertisements

PREZENTUJÍCÍ eIDAS autentizace (eOP-eMedocs ukázka využití) Petr Pavlinec Odbor informatiky Kraj Vysočina.
Školení MS Word 2007 pro začátečníky RNDr. Milan Zmátlo MěÚ Třebíč, říjen 2011 Vzdělávání v eGON centru Třebíč Tento.
IBM Global Technology Services © 2006 IBM Corporation Zabezpečení přístupu k informacím na základě elektronického podpisu Konference eČesko 2006.
BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )
Projekt Informační a vzdělávací portál Libereckého kraje I CZ.1.07/1.1.00/ I Školení pro uživatele portálu.
Inf Používání a tvorba databází. Výukový materiál Číslo projektu: CZ.1.07/1.5.00/ Šablona: III/2 Inovace a zkvalitnění výuky prostřednictvím ICT.
Počítačové sítě 8. Využití sítí © Milan Keršlágerhttp:// Obsah: ● sdílení v sítích.
Elektronické učební materiály - II. stupeň Digitální technologie 9 Autor: Bc. Pavel Šiktanc Movie Maker uložení a sdílení filmů Co se všechno naučíme???
Jak lze využít infrastrukturu CzechPOINT v rámci úřadu Mgr. Jarmila Šmardová
MATURITNÍ OTÁZKA Č.6 ORIENTACE V PRINCIPECH, MOŽNOSTECH A PRAKTICKÉM VYUŽITÍ POČÍTAČOVÝCH SÍTÍ.
Management počítačových sítí Počítačové sítě VUT v Brně Fakulta podnikatelská Lekce 4 – Management síťové vrstvyIng. Viktor Ondrák, Ph.D.strana 1 Lekce.
Základní škola a mateřská škola Lázně Kynžvart Autor: Mgr. Petra Šandová Název: VY_32_INOVACE_5B_INF3_16_ Téma: pro 4.,5.ročník ZŠ, vytvořeno:
Síťové operační systémy OB21-OP-EL-KON-DOL-M Orbis pictus 21. století.
Uvedení autoři, není-li uvedeno jinak, jsou autory tohoto výukového materiálu a všech jeho částí. Tento projekt je spolufinancován ESF a státním rozpočtem.
Projekt: Škola pro život Registrační číslo: CZ.1.07/1.4.00/ Číslo DUM: VY_32_INOVACE_02-informatika 8. třída_021 Základní škola: Základní škola.
Databáze © Mgr. Petr Loskot
Management počítačových sítí
Bezpečnostní technologie I
Autentizace předmětem
PŘIHLÁŠENÍ K ELEKTRONICKÉ EVIDENCI TRŽEB
Přednáška pro předmět Operační systémy II ÚI PEF MENDELU
Věcné autority v roce 2016
Identity management Radim Drgáč.
Stávající informační systém
Základní škola a mateřská škola Lázně Kynžvart Autor: Mgr
Výukový materiál zpracován v rámci projektu
Seminář Evaluace poskytovatelů „Zajištění vybraných služeb sociální prevence na území Jihomoravského kraje“ Tato konference je financována z.
Systémové databáze v SQL Serveru
Technické vybavení počítače - Počítač PC
Internet.
Inf Počítač a lidé s handicapem
Druhy sítí podle rozlehlosti
Evaluace předmětů studenty (Anketky)
Batové dávky Autorem materiálu a všech jeho částí, není-li uvedeno jinak, je Vojtěch Mrózek. Dostupné z Metodického portálu ISSN: ,
OPERAČNÍ SYSTÉMY Část 1 – úloha OS Zpracovala: Mgr. Marcela Cvrkalová
Výukový materiál zpracován v rámci projektu
ORGANIZACE DAT V POČÍTAČI
Windows – WordPad VY_32_INOVACE_32_649
Systém jednotné autentizace - SJA
TÉMA: Počítačové systémy
Databáze MS ACCESS 2010.
Výukový materiál zpracován v rámci projektu
Financováno z ESF a státního rozpočtu ČR.
1. ročník oboru Mechanik opravář motorových vozidel
Požadavky na hardware, software
Informatika pro ekonomy přednáška 8
Digitální učební materiál
GDPR: ochrana osobních údajů
Informační a komunikační technologie Informatika Operační systémy
Informační a komunikační technologie Informatika
Informatika Počítačové sítě.
2. cvičení Univerzitní WebNet
Opakování učiva pro 9. ročník
Technická Evidence Zdravotnických Prostředků 1
MAP II. MAP Praha 12 pokračuje
Centralizované rozvojové projekty 2017
Materiál byl vytvořen v rámci projektu
Remote login.
Název školy: Autor: Název: Číslo projektu: Název projektu:
Základní škola a mateřská škola Lázně Kynžvart Autor: Mgr
Bezpečnost Windows pro pokročilé: účty počítačů
PRAKTICKÉ ZKUŠENOSTI ŠKOLY ZAPOJENÉ DO PROJEKTU MOV
Informatika pro ekonomy přednáška 8
Informační systém základních registrů
Digitální učební materiál
Mobilní bezpečná platforma Policie ČR CZ / /17
Informatika Počítačové viry.
Opakování učiva pro 9. ročník
Informatika Počítačové sítě.
Transkript prezentace:

BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ ) TÉMA Č. 7: BEZPEČNOSTNÍ PODSYSTÉM MS WINDOWS mjr. Ing Milan Jirsa, PhD.

Bezpečnost MS Windows Bezpečnost operačního systému MS Windows zajišťuje tzv. bezpečnostní podsystém. Nejčastěji bývá charakterizován pomocí čtyř jeho složek: LSA - Local Security authority. SAM - Security Accounts Manager. SRM - Security Reference Monitor. Přihlašovací procesy.

Schématické znázornění struktury operačního systému

Charakteristika částí bezpečnostního podsystému - 1 Security reference monitor (SRM) - Část exekutivy Windows ( \Winnt\System32\Ntoskrnl.exe ), která řídí přístup k objektům operačního systému, zpracovává uživatelská práva (user rights) a generuje zprávy auditu. Podsystém Local security authority (Lsass) - Proces běžící v uživatelském režimu ( \Winnt\System32\Lsass.exe ), který zodpovídá za místní bezpečnostní politiku (patří sem např. možnost přihlásit se k počítači, politika účtů, privilegia uživatelských a skupinových účtů, nastavení parametrů auditu), autentizaci uživatelů a zasílání auditních zpráv do odpovídajících log souborů. Většinu těchto funkcí implementuje knihovna Lsasrv ( \Winnt\System32\Lsasrv.dll ).

Charakteristika částí bezpečnostního podsystému - 2 Databáze politiky Lsass - Databáze obsahující nastavení místní bezpečnostní politiky. Je součástí registru (HKLM\SECURITY). Obsahuje informaci o důvěryhodných doménách, o tom, kdo se může přihlásit k systému a jak (interaktivně, ze sítě), o přiřazení uživatelských práv a nastavení auditu. Také jsou v ní uložená tzv. úspěšná kešovaná přihlášení, pokud ovšem nebylo zakázáno jejich ukládání. Služba Security Accounts Manager (SAM) - Služba spravuje databázi obsahující lokální uživatelské a skupinové účty. Služba SAM je implementována jako knihovna \Winnt\System32\Samsrv.dll a běží v rámci procesu Lsass.

Charakteristika částí bezpečnostního podsystému- 3 Databáze SAM - Databáze, která obsahuje definované lokální uživatelské a skupinové účty spolu s jejich hesly a dalšími atributy. Databáze je součástí registru (HKLM\SAM), na disku ji lze najít ve \winnt\system32\config. Aktivní adresář (Active Directory, AD) - Adresářová služba využívající databázi, která obsahuje informace o objektech domény. Doména je skupina počítačů, která je administrována jako jeden celek prostřednictvím společně sdílených objektů. Typickým objektem aktivního adresáře je uživatel, počítač, skupina a organizační jednotka. Také informace o heslech a uživatelských právech je uložena v aktivním adresáři, kde se spolu s ostatním objekty replikuje mezi speciálně vyčleněnými počítači – tzv. řadiči domény. Proces serveru aktivního adresáře je implementován ve \Winnt\System32\Ntdsa.dll a běží v rámci procesu Lsass.

Charakteristika částí bezpečnostního podsystému - 4 Autentizační balíky - Jsou to DLL knihovny běžící v kontextu Lsass procesu, které implementují autentizační politiku Windows. Autentizační balík kontroluje, zda je v pořádku uživatelem zadané jméno a heslo, a pokud ano, poskytne procesu Lsass podrobnou informaci o uživateli. Přihlašovací proces (Winlogon) - Proces běžící v uživatelském režimu ( \Winnt\System32\Winlogon.exe ), který odpovídá na stisk kláves CTRL+ALT+DEL a řídí interaktivní přihlašování. Winlogon také po úspěšném přihlášení vytváří proces reprezentující uživatelské rozhraní (typicky se jedná o Explorer). Grafická identifikace a autentizace (GINA) - DLL knihovna běžící v rámci procesu Winlogon, jejímž prostřednictvím Winlogon získá jméno účtu a heslo případně PIN čipové karty. Standardní GINA je \Winnt\System32\Msgina.dll.

Charakteristika částí bezpečnostního podsystému - 5 Služba síťového přihlášení (Netlogon) - Služba ( \Winnt\System32\Netlogon.dll ), která běží uvnitř Lsass a odpovídá na přihlašovací požadavky ze sítě. Autentizace se pak provede podobně jako u interaktivního (lokálního) přihlášení. Služba Netlogon je také schopna lokalizovat řadiče v doméně. Kernel Security Device Driver (KSecDD) - Knihovna funkcí implementujících LPC rozhraní (LPC – Local Procedure Call), které využívají ostatní bezpečnostní moduly bežící v režimu jádra. Například šifrovaný souborový systém (EFS – Encrypting File System) ji využívá pro komunikaci s Lsass. Ovladač KSecDD je obsažen ve \Winnt\System32\Drivers\Ksecdd.sys.

Spolupráce jednotlivých částí bezpečnostního podsystému při přihlašování uživatele je znázorněna na následujícím obrázku: