Безопасность серверных операционных систем

Подчеркнем, что модель MAC, основанная на формальной модели Биба, преобладающее положение занимает в Windows 2008 и Vista по сравнению с предшествующими версиями Windows. Операционная система автоматически назначает ресурсам через Integrity Control уровни целостности на основе модели MAC. При этом администраторы могут изменять уровни целостности только после того, как они будут назначены операционной системой, другими словами, операционная система может назначить столь высокий уровень целостности, что он будет недоступен даже администраторам.
Существующий в Windows механизм наследования облегчает администраторам задачи назначения разрешений и управления ими [14, с. 19].
Таким образом, ключевая идея MIC состоит в том, что объекты операционной системы подразделяются на несколько уровней в зависимости от степени доверия к коду процесса, непосредственно обращающегося к объекту, при этом модификация доверенных объектов недоверенными процессами не допускается.
Integrity Control имеет пять заранее определенных уровней целостности (уровней доверия), которые мы рассмотрим ниже. Данные пять уровней целостности перечислены в порядке от низшего к высшему:
Ненадежный (untrusted) – низший уровень целостности. Integrity Control назначает его процессам, которые были зарегистрированы анонимно.
Низкий (low) уровень назначается любым объектам, которые были непреднамеренно загружены в компьютер Windows из Internet и сохраненным в папке Temporary Internet Files. IE 7.0 (браузер по умолчанию в Windows 2008 и Vista) также имеет низкий уровень целостности, работая в защищенном режиме (в песочнице), режиме IE по умолчанию.
Средний (medium) – уровень целостности по умолчанию, неявно назначаемый объектам, пользователям и процессам, для которых явно не определен уровень целостности. Средний уровень также назначается материалам, сознательно загружаемым пользователями из Internet с помощью функции Save As.
Высокий (high) – уровень целостности по умолчанию для учетных записей администратора.
Системный (system) – высший уровень целостности. В Windows 2008 и Vista системный уровень целостности назначается всем системным службам и процессам ядра.
При проектировании системы защиты от несанкционированного доступа следует учитывать, что рано или поздно эта защита окажется снятой [19, с.188]. На рисунке 2 показано последствия уровней целостности для пользователей Windows. Так, если пользователь со средним уровнем целостности пытается выполнить с помощью Notepad запись в файл wic.txt, которому назначен высокий уровень целостности, то Windows заблокирует эту попытку и выдаст сообщение о соответствующей ошибке.