M04 - Bezpečnost operačního systému a síťové komunikace
Níže je uveden pouze náhled materiálu. Kliknutím na tlačítko 'Stáhnout soubor' stáhnete kompletní formátovaný materiál ve formátu PDF.
Příklad 1:
Kód PIN zabezpečuje přístup k certifikátu a soukromému klíči,
který je uložen na hardwarovém zařízení, např. na čipové kartě.
Autentizační informace ověřuje bezpečnostní služba (server). Součástí bezpeč-
nostního podsystému operačního systému je bezpečné uložení uživatelských
informací (zejména hesel) a bezpečná výměna informací mezi autentizujícím
se klientem a autentizační autoritou. K tomuto účelu se zpravidla používají
kryptografické algoritmy.
1.2.
Interaktivní přihlašování ve Windows
Základní autentizační úroveň v operačním systému Windows představuje in-
teraktivní přihlašování, při kterém uživatel aktivně zadává identifikační údaje.
Ty jsou následně porovnávány s parametry místního nebo doménového účtu.
Proces interaktivního přihlašování je zajišťován systémovým procesem Winlo-
gon (winlogon.exe). V jeho bezpečnostním kontextu1 je zavedena knihovna ms-
gina.dll, která reprezentuje systémový modul označovaný jako Microsoft Gra-
phical Identification and Authentication (MS GINA). Jeho úkolem je zachytit
vznik událostí třídy Secure Attention Sequence (SAS), do které náleží např.
žádost o přihlášení, odhlášení nebo uzamčení sezení, a informovat o těchto
stavech řídící proces Winlogon.
Příklad 2:
Interaktivní přihlašování uživatele začíná současným stiskem tří
kláves Ctrl+Alt+Del. Tato akce vyvolá systémovou událost třídy SAS žádost
o přihlášení, která je zachycena modulem MS GINA. O vzniklé události infor-
muje MS GINA proces Winlogon prostřednictvím funkce WlxSasNotify. Po-
kud proces Winlogon rozhodne, že je možné provést přihlášení, signalizuje stav
modulu MS GINA zpětným voláním funkce WlxLoggedOutSAS. Výsledkem je
zobrazení autentizačního formuláře.
Modul MS GINA je zaměnitelná komponenta operačního systému Windows.
To znamená, že může být nahrazena modulem třetí strany, který např. roz-
šiřuje množinu zařízení, ze kterých je možné autentizaci provádět, např. o
čtečky čipových karet. Modularita operačního systému není pouze výhodou.
Otevřenost operačního systému přináší i určitá rizika. Zaměnitelnost modulu
MS GINA byla zneužita trojským koněm FakeGina, který bez zjevných funkč-
ních změn nahrazoval původní systémovou knihovnu, navíc však zachycoval
hesla uživatelů, kteří se přihlašovali do systému.