Содержание к диссертации
Введение
Глава 1. Уязвимость механизмов защиты популярных ОС 9
1.1 Основные проблемы защиты рабочих станций ЛВС от НСД 9
1.2 Угрозы НСД к рабочим станциям ЛВС 12
1.2.1 Статистика опубликованных угроз для различных ОС 12
1.2.2 Классификация угроз (атак) 13
1.2.2.1 Угрозы, позволяющие запустить несанкционированный исполняемый код 14
1.2.2.2 Угрозы, позволяющие осуществить НСД к ресурсам вычислительной системы 15
1.2.2.3 Угрозы, позволяющие обойти установленные разграничения прав доступа 16
1.2.2.4 Угрозы, использующие встроенные недокументированные возможности (закладки) . 17
1.2.2.5 Троянские программы 18
1.2.3 Статистика опубликованных угроз (атак) по группам (в классификации) 18
1.3 Недостатки существующих механизмов защиты 19
1.3.1 Недостатки механизмов РПД к ресурсам ВС 22
1.3.2 Недостатки механизмов РПД к запуску процессов . 26
1.4 Выводы 29
Глава 2. Метод управления доступом к ресурсам ВС с учетом процесса как самостоятельного субъекта доступа 30
2.1 Существующие методы управления доступом к ресурсам ВС 30
2.2 Метод управления доступом с учетом процесса как самостоятельного субъекта доступа 36
2.3 Результаты и выводы 40
Глава 3. Достоинства предложенного метода 42
3.1 Корректность реализации механизмов управления доступом 42
3.2 Корректность реализации механизма обеспечения замкнутости программной среды 49
3.3 Локализация прав доступа приложений к ресурсам ВС 52
3.3.1 Локализация прав доступа виртуальных машин к ресурсам ВС 52
3.3.2 Локализация прав доступа приложений со встроенными СЗИ к ресурсам ВС 53
3.4 Механизм контроля последовательности событий (выполнения) 55
3.5 Противодействие известным типам атак с помощью предложенного метода 57
3.5.1 Атаки, позволяющие несанкционированно запустить исполняемый код 57
3.5.2 Атаки, позволяющие осуществить НСД к ресурсам вычислительной системы 60
3.5.3 Атаки, позволяющие обойти установленные разграничения прав доступа 64
3.5.4 Вирусные атаки, "троянские" программы 67
3.6 Основные результаты и выводы 69
Глава 4. Исследование эффективности предложенного метода 70
4.1 Цели и задачи 70
4.2 Модель рабочей станции без системы защиты 71
4.2.1 Система массового обслуживания НЖМД 75
4.2.2 СМО процессор — оперативная память 76
4.2.3 Сетевая модель рабочей станции 77
4.3 Модель рабочей станции с системой защиты 80
4.4 Исследование падения производительности 87
4.5 Проверка адекватности модели 92
4.6 Выводы 96
Заключение 97
Литература 99
- Угрозы, использующие встроенные недокументированные возможности (закладки)
- Метод управления доступом с учетом процесса как самостоятельного субъекта доступа
- Локализация прав доступа приложений со встроенными СЗИ к ресурсам ВС
- Модель рабочей станции с системой защиты
Введение к работе
На сегодняшний день подавляющее большинство операционных систем (ОС), применяемых при построении вычислительной системы (ВС), обладают встроенными средствами защиты. Причем наблюдается общая тенденция усиления роли механизмов защиты [37, 41]. Тем не менее, даже при использовании последних версий ОС и прикладного программного обеспечения, нельзя гарантировать полную защиту от НСД, что подтверждается большим количеством известных атак на механизмы защиты ОС [49, 50, 53]. Статистика фактов несанкционированного доступа к информации (НСД) показывает, что большинство современных вычислительных систем достаточно уязвимы с точки зрения безопасности.
По этой причине, при построении защищенной вычислительной системы, актуальной является задача создания средств добавочной защиты ВС, что, в свою очередь, предполагает разработку усовершенствованных механизмов защиты.
Целью настоящей диссертационной работы является разработка метода управления доступом к ресурсам вычислительной системы с учетом процесса, как самостоятельного субъекта доступа и реализующих его механизмов добавочной защиты вычислительных систем. В соответствии с поставленной целью основными задачами являются:
- Исследование методов управления доступом к ресурсам в существующих системах добавочной защиты вычислительных систем и в распространенных операционных системах с целью обнаружения причин уязвимостей.
Разработка и исследование метода управления доступом к ресурсам вычислительной системы с учетом процесса, как самостоятельного субъекта доступа.
Разработка и исследование механизмов добавочной защиты, реализующих такой метод:
механизма управления доступом к ресурсам ВС;
механизма обеспечения замкнутости программной среды;
механизма локализации прав доступа приложений;
механизма управления последовательностью запуска программ.
Исследование способов противодействия атакам, направленным на несанкционированный доступ к ресурсам вычислительных систем с помощью разработанного метода.
Исследование влияния разработанного метода управления доступом к ресурсам на производительность вычислительной системы.
Методы исследований основаны на теории вероятностей, теории массового обслуживания и математической статистики.
Научная новизна работы. В ходе выполнения работы получены следующие новые научные результаты:
Предложен метод управления доступом к ресурсам вычислительной системы, с учетом процесса, как самостоятельного субъекта доступа.
Разработаны математические модели рабочей станции без защиты и с системой защиты, реализующей предложенный метод, для исследования влияния предложенного метода на производительность вычислительной системы.
На разработанных моделях показано, что реализация предложенного метода в ВС, за счет анализа прав процесса, увеличивает время обработки запроса на единицы процентов (до 10%).
Сформулированы требования к построению и настройке подсистемы управления доступом с целью снижения потерь производительности ВС.
Практическая ценность полученных результатов заключается в следующем:
Разработаны механизмы добавочной защиты, реализующие предложенный метод управления доступом к ресурсам вычислительной системы и позволяющие решать широкий спектр задач обеспечения информационной безопасности современных вычислительных систем.
Определены условия эффективного применения предложенного метода управления доступом и основывающихся на нем механизмов защиты в современных вычислительных системах.
Предложены способы противодействия известным типам угроз, реализованные на основе предложенного метода, для защиты вычислительных систем от несанкционированного доступа.
Разработаны математические модели для оценки характеристик функционирования систем защиты при различной нагрузке на ВС.
Основные результаты работы использованы в комплексных системах защиты корпоративных сетей МПС, ЗАО "Петер-стар", а также использованы в учебном процессе на кафедре ВТ СПбГУИТМО.
Основные положения, выносимые на защиту:
- Метод управления доступом к ресурсам вычислительной си
стемы, с учетом процесса, как самостоятельного субъекта до-
ступа, являющийся основой подсистемы разграничения прав доступа добавочной защиты вычислительной системы.
Механизмы добавочной защиты, реализованные на основе предлагаемого метода;
Результаты исследований эффективности предложенного метода.
Апробация работы. Научные и практические результаты диссертации доложены и обсуждены на:
Ведомственной конференции "Проблемы обеспечения информационной безопасности на федеральном железнодорожном транспорте", 2001 г.
XXXII научной и учебно-методической конференции СПбГИТМО (ТУ), посвященная 300-летию Санкт-Петербурга, 2003 г.
VI Всероссийском форуме "Банковская безопасность: состояние и перспективы развития", 2003 г.
Научно—практических семинарах НПП "Информационные технологии в бизнесе".
Публикации. По теме диссертации опубликовано 5 работ, получено 2 свидетельства об официальной регистрации программы для ЭВМ.
Структура и объем диссертации. Диссертация состоит из введения, четырех глав, заключения и списка литературы. Рукопись содержит 104 страниц текста, 20 рисунков и 8 таблиц. Список литературы включает 54 наименования.
Угрозы, использующие встроенные недокументированные возможности (закладки)
К этой группе можно отнести примеры, основывающиеся на недоработках в ядре и системных утилитах ОС, которые позволяют программными методами обходить установленные разграничения доступа к объектам системы.
Примеры ошибок составляющих эту группу немногочисленны и требуют детального анализа работы механизмов (функций API) ОС. При этом нужно учитывать, что при рассмотрении коммерческих ОС (не имеющих общедоступных исходных текстов) данный анализ сильно затруднен (т. к. производители ОС крайне неохотно документируют внутреннюю архитектуру систем).
Угрозы, использующие встроенные недокументированные возможности (закладки) К этой группе можно отнести методы, использующие встроенные недокументированные возможности (закладки). К таким закладкам относятся встроенные инженерные пароли для входа в систему, например, широко известный пароль фирмы Award "AWARD_SW", специальные возможности (последовательность действий) для недокументированных действий (например, в одном из хранителей экрана фирмы Microsoft присутствует сетевой код), закладки в разнообразных прикладных приложениях и т. п. Закладки (или не декларируемые возможности) наиболее трудны в обнаружении и в тоже время существует достаточно много примеров подобных свойств у коммерческого программного обеспечения, поскольку оно очень сложно и не содержит сопроводительной документации (исходные тексты ПО). На практике существует достаточно много скрытых эффектов в различного рода приложениях. Для примера достаточно привести MS Office, с наличием обширного набора последовательностей команд, приводящих к запуску встроенных процедур (как правило, это игры и некоторые странные эффекты, например зависание приложения). Наибольшую опасность естественно представляют закладки в системах безопасности. Несмотря на то, что явных свидетельств на обнаружение подобного рода вещей нет в открытых источниках, их нельзя исключать. Известны особые свойства у программ Internet Explorer, проявляющих периодическую активность для до-оснащения поставленного ПО через Internet на серверах внешних по отношению к ИС. Такие вещи следует считать вредными с точки зрения безопасности не только потому, что в качестве побочного эффекта на внешние сервера может копироваться учетная информация, но также и потому, что такие соединения могут быть объектом атаки со стороны внешних нарушителей. Наиболее радикальный вариант внедрения подобных вещей в ПО заключается не во внедрении фрагментов кода (такие НДВ могут быть в принципе обнаружены при надлежащем желании любым разработчиком, способным анализировать машинные коды с использованием развитых инструментальных средств) а в наделении особыми свойствами симметрии структуры данных (таблицы раундов, подстановок, перестановок, гаммирующие код структуры и т. д.), которые используются для шифрования учетной информации при хранении и передаче через сеть.
К этой группе можно отнести так называемые "троянские" программы. Это программы, оформленные обычно либо как полезные прикладные, либо как обновления системных, но не являющиеся таковыми. Основная задача таких программ - при первом же запуске скрытно внедриться в операционную систему и выполнять затем несанкционированные действия. Для того чтобы такая программа появилась в системе, пользователь должен сам (преднамеренно или нет) первоначально выполнить ее. После первого запуска программа заменяет собой часть системных файлов или просто добавляет себя в список загрузки и предоставляет нарушителю доступ к системе или защищаемым ресурсам "жертвы".
Следующая диаграмма представляет собой процентное соотношение каждой выделенной группы в общем списке для рассматриваемых типов операционных систем: Видно, что рассматриваемые типы угроз составляют более половины от всех возможных. Кроме того, в настоящее время наблюдается сильный рост числа троянских программ, а подобные программы являются одним из основных средств злоумышленников, т. к. с их помощью проще всего внедрять в системы программы сбора и расшифровки паролей, программы позволяющие удаленно запустить другую программу, программы позволяющие удаленно менять настройку системы и т. п.
Существует два подхода построения защищенных систем. В одном используются встроенные в ОС или системные приложения механизмы защиты. В другом предполагается использование внешних средств защиты (стороннего ПО). Такие средства защиты называются встроенные и добавочные. В нашей стране требования РД касаются добавочных средств защиты, в силу специфики развития ПО (ОС у нас не производятся, а западное системное ПО имеет мало шансов на получение необходимых сертификатов).
Метод управления доступом с учетом процесса как самостоятельного субъекта доступа
В таком случае приходится включать такие ресурсы в список доступных пользователю (для операционных систем, не различающих прикладные и системные процессы), что приводит к невозможности корректного выполнения рассмотренных в первой главе требований к реализации разграничительной политики доступа. То есть невозможно корректно настроить дискреционный механизм разграничения прав доступа, т. к. невозможно ограничить пользователей в доступе к системным ресурсам. При таких условиях, также, вообще невозможно реализовать мандатный механизм разграничения прав доступа, т. к. мандатный метод не предполагает наличия ресурсов ВС, доступных для изменения пользователям с разными классификационными метками. Таким образом, применение мандатного метода разграничения прав доступа возможно в случае равенства классификационных меток всех субъектов доступа к ресурсам ВС, что сводит на нет эффективность мандатного метода.
В СЗИ можно использовать встроенный в систему механизм различения системных и прикладных процессов. Последнее нецелесообразно, т. к. среди рассматриваемых операционных систем такую возможность предоставляют Unix-подобные ОС и ОС семейства MS Windows NT, и в текущей реализации позволяют различать только два типа процессов: системные (обладающие неограниченными привилегиями) и прикладные (обладающие привилегиями пользователя, запустившего их), а угрозы позволяющие несанкционированно запустить исполняемый код (см. 1.2.2.1), угрозы позволяющие осуществить НСД к файловым объектам (см. 1.2.2.2) и угрозы позволяющие обойти существующие разграничения прав доступа (см. 1.2.2.3) направлены именно на такие привилегированные процессы.
Заметим, что возможность угроз вышеупомянутых типов заключается не столько в том, что привилегированный процесс имеет доступ к системным ресурсам ОС, но в невозможности ограничить такой процесс рамками только системных ресурсов. То есть невозможно запретить доступ системным утилитам ОС и т. п. к пользовательским ресурсам, что позволяет злоумышленнику, в результате атаки привилегированного процесса, получить доступ к ресурсам других пользователей, т. е. осуществить НСД. Кроме того, в ОС MS Windows невозможно встроенными средствами запретить пользователю запуск программ из некоторого каталога ФС, при сохранении полноценной поддержки остальных режимов доступа к этому каталогу. Заметим также, что при сертификации средств добавочной защиты в России не допускается использование встроенных механизмов защиты операционных систем.
С невозможностью реализовать разграничение доступа пользователей к системным ресурсам вычислительной системы, связана и некорректная реализация ряда других механизмов защиты, в частности, механизма обеспечения замкнутости программной среды - одного из важнейших механизмов защиты. Под замкнутостью программной среды понимается обеспечение работы пользователя только с санкционированным администратором безопасности набором программ. Это необходимо для исключения возможности запуска пользователем разного рода снифферов, "троянских" программ, программ взлома или подбора паролей, инструментальных средств и т. п. При реализации данного механизма создается список разрешенных к запуску процессов (программ) и СЗИ разрешается запуск процессов только из данного списка. С целью предотвращения возможности запуска несанкционированного процесса с параметрами легального, анализируется полный путь запускаемого процесса. Естественно, что запуск системных процессов (собственно ОС и системных утилит) запретить невозможно - они должны войти в список разрешенных для запуска процессов (в противном случае, опять же, ОС и приложения не смогут нормально функционировать). При этом невозможность запретить доступ пользователю к системной области ФС в режиме записи, где располагается большинство системных процессов, которые должны быть разрешены на запуск, позволяет пользователю вместо системного процесса (по тому же полному пути) расположить несанкционированный (собственный) процесс и запустить его (механизм обеспечения замкнутости программной среды не сможет в этом случае отличить несанкционированный процесс от легального системного процесса).
Для механизма обеспечения замкнутости программной среды, опирающегося на разграничения типа "пользователь - файл", необходимо сопоставлять с каждым пользователем свой собственный список разрешенных к запуску программ (либо задавать ограничение программной среды общим для всех пользователей - для системы в целом). Такой подход интуитивно понятен, но имеет существенные недостатки. Главным из них является необходимость перечислять в этих списках все процессы, разрешенные к запуску пользователем, в том числе и процессы, порождаемые уже разрешенными процессами, так как ни одна из существующих СЗИ не различает, кто запустил процесс: пользователь или другой процесс.
Таким образом списки разрешенных процессов становятся очень громоздкими, существенно снижается производительность системы, за счет больших затрат времени на анализ таких списков при каждом обращении к объекту файловой системы, представляющего собой исполняемый код. Сильно усложняется администрирование подобной СЗИ, так как администратору безопасности приходится составлять такие списки для каждого пользователя, что само по себе очень сложно, а при добавлении новых программ, изменять списки у каждого пользователя [7, 8].
Соответственно при удалении некоторой программы, приходится удалять из множества списков не только саму программу, но и все процессы порождаемые удаляемой программой.
Кроме того, возникает проблема, связанная с необходимостью введения в список разрешенных некоторому пользователю процессов отладочных и иных программ, которые необходимо запускать эксплуатационным службам при работе некоторого пользователя в системе, а с другой стороны необходимо исключить возможность прямого запуска этих отладочных программ пользователем. Это приводит к возникновению тупиковых ситуаций и невозможности корректной настройки механизмов защиты.
Локализация прав доступа приложений со встроенными СЗИ к ресурсам ВС
Важнейшим требованием при реализации диспетчера доступа является следующее — управление доступом должно осуществляться, как для явных действий субъекта, так и для скрытых. Под "явными" подразумеваются действия, осуществляемые с использованием санкционированных средств, а под "скрытыми" — иные действия, в том числе с использованием собственных программ доступа к объектам.
Наиболее критичными, с точки зрения обеспечения информационной безопасности, являются скрытые каналы взаимодействия виртуальных машин (в том числе, макросы для офисных приложений и нерегламентированные действия виртуальных машин, например, виртуальной машины Java). Серьезные проблемы безопасности, связанные с защитой от несанкционированных действий виртуальных машин, вызваны тем, что функционирующая машина "видна" только именем своего исполняемого файла, например: winword.exe, при этом машина имеет встроенные средства программирования, например, макросы для редактора Word. Встроенными средствами программирования виртуальной машины могут быть запрограммированы скрытые каналы доступа к ресурсам, при этом невозможно определить запуск соответствующей несанкционированной программы (и, соответственно, разграничить для нее доступ к ресурсам), т. к. в качестве запущенного процесса будет отображаться имя процесса виртуальной машины (вне зависимости от того, какую внутреннюю программу она исполняет).
Настройкой прав доступа виртуальной машины (процесса виртуальной машины) к различным ресурсам системы можно создать некоторую "рабочую область" для данной виртуальной машины (например, каталог файловой системы), вне которой она не сможет что-либо изменять. Кроме того, разграничивая права виртуальной машины как самостоятельного субъекта доступа, можно предотвратить запуск каких-либо программ, установленных на компьютере (если запретить к ним доступ виртуальной машины), доступ к настроечным и конфиденциальным файлам данных, располагающихся на компьютере, т. е. минимизировать возможный ущерб от скрытых каналов доступа к ресурсам, которые могут быть организованы средствами программирования виртуальной машины.
Сама СУБД осуществляет управление доступом пользователей к таблицам. Все таблицы, доступ к которым разграничивается между пользователями, могут находиться в одном или нескольких файлах, т. е. разграничения для файлов и таблиц в общем случае не совпадают (однозначное соответствие получается только в том случае, когда база данных реализуется таким образом, что каждая таблица располагается в собственном файле).
Таким образом, т. к. разграничения доступа для файлов и таблиц в одной системе в общем случае не совпадают, возникает противоречие: не выполняется требование к диспетчеру доступа (управление доступом должно осуществляться, как для явных действий субъекта, так и для скрытых). Чтобы разрешить доступ пользователю к таблице, на более низком уровне иерархии — системном, должен быть разрешен доступ пользователя к файлу, но один файл содержит таблицы различных пользователей. Поэтому корректно задача управление доступом решается здесь только в том случае, если функционируют разграничения доступом обоих уровней — и для файлов, и для таблиц, т. е. только в том случае, когда к файлам, содержащим таблицы, возможно обращение только приложением, реализующим управление доступом к таблицам (используя иные приложения, например программы работы с файловой системой, пользователь сумеет получить доступ ко всему файлу, т. е. получить несанкционированный доступ к таблицам других пользователей — имеет место скрытый канал доступа к ресурсам).
Включение в субъекты доступа процесса позволяет настройками диспетчера доступа организовать доступ к файлам, содержащим таблицы только приложением, имеющим встроенные средства разграничения доступа к таблицам, иным приложениям (в частности программам редактирования файловой системы) доступ к файлам, содержащим таблицы, должен быть запрещен.
Благодаря появившейся связи процесс — процесс, становится возможным управлять последовательностью событий (запуска программ) при работе ВС. В этом случае можно разграничивать права доступа для процессов на запуск процессов, т. е. можно обеспечивать замкнутость программной среды не на уровне списков санкционированных процессов (разрешения запуска пользователем отдельных программ), а уже на уровне последовательностей запуска процессов (технологий обработки данных). Другими словами, можно задавать последовательности обработки — каким процессом какой процесс может быть запущен.
Этот механизм совершенно новый, он не регламентируется Руководящими документами Гостехкомиссии России, но с его помощью можно эффективно бороться с атаками направленными на запуск нового пользовательского процесса от имени и с правами атакуемого процесса. Действительно, если ограничить права на запуск программ атакуемому процессу, злоумышленник, даже в случае успеха атаки не сможет заставить атакуемый процесс запустить другой процесс, не разрешенный ему.
Реализация данного подхода предоставляет широкие возможности разработчикам средств защиты информации, как в создании новых механизмов защиты, так и в корректности реализации механизмов защиты на уровне приложений. Основу предоставляемых возможностей составляет реализация запуска процесса (программы) только оригинальным приложением, выполняющим определенные функции защиты, либо каким-либо определенным общеиспользуемым приложением.
Модель рабочей станции с системой защиты
Атаки этого типа основываются на недоработках в ядре и системных утилитах ОС, позволяющих программными методами обходить установленные разграничения доступа к ресурсам вычислительной системы.
Кроме того к этой группе можно отнести также и атаки, использующие встроенные недокументированные возможности (закладки), т. к. принцип борьбы с последствиями таких атак с помощью механизма разграничения доступа к ресурсам ВС, абсолютно похож на принцип, рассматриваемый здесь для атак, позволяющих обойти установленные разграничения прав доступа.
В качестве типичного примера для данной группы можно привести известную программу "GetAdmin", реализующую получения администраторских прав используя некорректную работу функции NTAddAtom. Некорректность проявляется в том, что функция не проверяет второй аргумент (адрес куда следует положить результат), что позволяет, с помощью такой функции, записывать значения в любую область адресного пространства. В системе Windows NT, по адресу примерно 0x801 , есть некий глобальный флаг NtGlobalFlag. Изменением одного из битов этого флага мы можем превратить Windows NT в Windows NT Checked Build, и право "SeDebugPrivilege" не будет необходимо для внедрения в системные процессы. Обычно это право дается администраторам, или пользователям, имеющим право отладки программ и недоступно обычным пользователям. Далее внедряя свой исполняемый код (для чего нужна была привилегия "SeDebugPrivilege") в системный процесс, мы можем обойти любые ограничения связанные с политикой безопасности, например создать нового пользователя с правами администратора.
Первый заключается в запрете пользователю создавать собственные программы. Действительно, если пользователь не сможет написать свой исполняемый код, то и не сможет сознательно некорректно вызвать уязвимые функции ОС, и тем более внедрить этот код куда-либо. Выражаясь формально, пользователю должен быть запрещен запуск программ из каталогов, доступных ему по записи, и запрещена запись в каталоги, доступные ему для запуска программ.
Как уже говорилось, стандартными средствами РПД в рассматриваемых ОС, подобное разграничение сделать невозможно. Это обусловлено невозможностью запретить пользователю запуск программ из собственных (т. е. доступных ему для полного доступа) каталогов, при сохранении остальных прав доступа (чтение/-запись). В ОС фирмы Microsoft невозможно стандартными средствами РПД запретить запуск программ из каталога, сохранив разрешение читать его содержимое. В Unix-подобных ОС невозможно стандартными средствами РПД запретить пользователю менять режим доступа к собственным файлам, а следовательно и невозможно запретить запускать собственные программы. Существующие в настоящий момент комплексы добавочной защиты этих ОС, также не позволяют корректно реализовать подобное разграничение, т. е. эти комплексы либо используют стандартные реализации механизмов РПД, входящих в состав ОС, либо либо не позволяют ограничить доступ по записи в некоторые каталоги ФС.
Предлагаемый метод управления доступом к ресурсам ВС позволяет корректно произвести разграничение доступа к каталогам общего доступа (в основном это касается ОС семейства MS Windows). Обычно, запретить пользователю запись в эти каталоги, не используя стандартных механизмов РПД ОС нельзя, т. к. в таком случае доступ к этим каталогам по записи не получат также и системные службы, что зачастую приводит к краху ОС. Так как в предлагаемый метод позволяет задавать разграничения для процесса можно определить системные службы, которым необходим доступ по записи в каталоги общего доступа, и разрешить этот доступ только им, тем самым исключая возможность записи туда пользователю.
Второй способ заключается не в противодействии самой атаке, но в минимизации ее последствий и исключению возможности НСД к ресурсам ВС. Самыми наихудшими последствиями такой атаки следует считать получение злоумышленником администраторских прав. То есть не использование атакуемого системного (имеющего привилегии администратора) процесса, а возможность запуска разного рода программ с привилегиями администратора ВС. Для исключения возможности НСД необходимо сохранить разграничения прав доступа пользователя, от имени которого осуществлена атака.
Выполнить подобное с помощью стандартных механизмов РПД, входящих в ОС, или с помощью механизмов РПД входящих в состав существующих комплексов добавочной защиты невозможно, т. к. все эти механизмы опираются на встроенный в ОС механизм различения пользовательских и системных процессов, а следовательно не могут ограничить в доступе процесс запущенный пользователем с правами администратора.
Предлагаемый метод управления доступом к ресурсам ВС рассматривает права пользователя как права процесса "по умолчанию". Таким образом, даже при получении злоумышленником прав администратора системы (с точки зрения ОС), его права доступа к ресурсам останутся пользовательскими, что не даст, в свою очередь, получить доступ к ресурсам ВС, ранее недоступным. Таким образом, даже в случае успешной атаки, злоумышленник не сможет осуществить НСД к ресурсам ВС.
