Введение
Операционная система Windows NT и ее следующий представитель Windows 2000, благодаря своим современным принципам построения, защищенности, гибкости, а также встроенной сетевой поддержке и мощным сетевым возможностям, получила широкое распространение. Поэтому встает насущная проблема реализации систем защиты, которые могли бы встраиваться в ОС Windows NT, расширяя ее возможности и обеспечивая функции защиты сетевой информации.
Отметим сразу, что базовая архитектура ядра ОС Windows NT практически не изменилась при переходе к Windows 2000, поэтому почти все, что описано в этой книге верно как для ОС Windows NT, так и для Windows 2000.
В книге помимо базовых основ написания драйверов, являющихся неотъемлемыми компонентами средств защиты информации, представлена общая и сетевая архитектура ОС Windows NT. Описание архитектуры необходимо для определения предоставляемых возможностей по реализации и встраиванию средств защиты сетевой информации, а также для сравнения возможных способов реализации защиты и определения наиболее предпочтительных способов.
Исследование архитектуры ОС Windows NT позволяет определить не только то, как и куда можно встроить средство защиты, но и то, как этому средству предоставить наибольшие возможности со стороны операционной системы, поскольку от этого зависит решение конкретных задач по защите, которые оно сможет реализовать.
Знание архитектуры ОС и драйверов применительно к сфере защиты информации необходимо с различных точек зрения:
- С точки зрения средств защиты информации, в том числе и нестандартных (не упомянутых в документации к ОС).
- С точки зрения преодоления средств защиты.
Допустим, нам необходимо разработать средство защиты. Его типовая структура на данный момент выглядит примерно так:
Реализация почти всех перечисленных элементов системы защиты для ОС NT возможна только с применением драйверов:
- Защита локальных данных – либо драйвер шифрующей файловой системы, либо драйвер-фильтр для прозрачного шифрования, либо перехват вызовов системных сервисов.
- Защита сетевых данных – драйвер протокола, NDIS-драйвер промежуточного уровня, собственная сетевая служба, фильтр стандартной сетевой службы (такие службы реализованы как файловые системы), перехват вызовов системных сервисов.
- Выявление нарушителя для всех вышеприведенных вариантов – анализ событий, регистрация в журнале, запрос на подтверждение подозрительных действий.
Для специализированного оборудования должны быть разработаны драйверы для интеграции в эту схему.
В зависимости от конкретной постановки задачи должен быть выбран наиболее подходящий способ ее решения. Одного ответа на все случаи жизни быть не может, так как два основных критерия выбора решения:
- критерий максимальной простоты реализации;
- критерий максимальной универсальности противоречат друг другу: чем более универсальным может быть вариант реализации, тем сложнее его реализация и наоборот.