WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

   Добро пожаловать!


Pages:     || 2 | 3 |
МИНИСТЕРСТВО ПО НАУКЕ И ОБРАЗОВАНИЮ РФ ВОЛЖСКИЙ ПОЛИТЕХНИЧЕСКИЙ ИНСТИТУТ (филиал) ГОУ ВПО ВОЛГОГРАДСКОГО ГОСУДАРСТВЕННОГО ТЕХНИЧЕСКОГО УНИВЕРСИТЕТА КАФЕДРА «ИНФОРМАТИКА И ТЕХНОЛОГИЯ ПРОГРАММИРОВАНИЯ» Модель безопасности ОС Windows Методические указания к лабораторным работам по курсу «Защита информации» Волгоград 2011 УДК 004.056 Рецензент: к.т.н., доцент каф. ВАЭ и ВТ ВПИ (филиал) ВолгГТУ Капля В.И.

МЕТОДИЧЕСКИЕ УКАЗАНИЯ К ЛАБОРАТОРНЫМ РАБОТАМ: Модель безопасности ОС Windows/ Сост. Лясин Д.Н., Саньков С.Г.; Волгоград. гос. техн. ун-т. - Волгоград, 2011, – 24 с.

Содержатся сведения, необходимые для изучения средств обеспечения информационной безопасности в одной из самых популярных на сегодняшний день операционных систем - Windows. Рассмотрены принципы построения архитектур подсистемы безопасности ОС Windows, приведено описание работы систем аутентификации, авторизации, аудита системы, шифрования данных с использованием EFS. Рассмотрены различные интерфейсы работы с подсистемой безопасности:

оконный графический, консольные команды, API-функции. Задания к лабораторной направлены на освоение обучающимися средств обеспечения безопасности ОС Windows на практических примерах.

Предназначены для студентов, обучающихся по направлению 230100 "Информатика и вычислительная техника" и направлению 231000 "Программная инженерия" всех форм обучения в рамках курса «Защита информации» Ил. 12. Библиогр.: - 6 назв.

Издается по решению редакционно-издательского совета Волгоградского государственного технического университета © Волгоградский государственный технический университет, 2011 © Волжский политехнический институт, 2011 2 Лабораторная работа №6 Средства обеспечения безопасности ОС Windows Цель: изучить модель безопасности операционной системы Windows, получить навыки практического использования ее средств обеспечения безопасности.

1. Основные сведения 1.1. Классификация защиты семейства ОС Windows Защита конфиденциальных данных от несанкционированного доступа является важнейшим фактором успешного функционирования любой многопользовательской системы. ОС Windows не является исключением и требования к защите объектов файловой системы, памяти, объектов ядра операционной системы внесли существенный вклад в процесс ее проектирования и реализации.

Так, например, версии Windows NT/2000 были сертифицированы по классу Скритериев TSSEC («Оранжевая книга»). Требования к операционной системе, защищенной по классу С2, включают:

- обязательную идентификацию и аутентификацию всех пользователей операционной системы. Под этим понимается способность операционной системы идентифицировать всех пользователей, которые получают санкционированный доступ к системе, и предоставление доступа к ресурсам только этим пользователям;

- разграничительный контроль доступа — предоставление пользователям возможности защиты принадлежащих им данных;

- системный аудит — способность системы вести подробный аудит всех действий, выполняемых пользователями и самой операционной системой;

- защита объектов от повторного использования — способность системы предотвратить доступ пользователя к информации ресурсов, с которыми до этого работал другой пользователь.

ОС Microsoft Windows XP Professional (SP2/SP3) имеет действующие сертификаты ФСТЭК России и может использоваться в составе автоматизированных систем до класса защищенности 1Г включительно в соответствии с требованиями руководящего документа "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации" (Гостехкомиссия России, 1992).

1.2. Идентификация пользователей Для защиты данных Windows использует следующие основные механизмы:

аутентификация и авторизация пользователей, аудит событий в системе, шифрование данных, поддержка инфраструктуры открытых ключей, встроенные средства сетевой защиты. Эти механизмы поддерживаются такими подсистемами Windows как LSASS (Local Security Authority Subsystem Service, подсистема локальной аутентификации), SAM (Security Account Manager, диспетчер локальных записей безопасности), SRM (Security reference Monitor, монитор состояния защиты), Active Directory (служба каталогов), EFS (Encrypting File System, шифрующая файловая система) и др.

Защита объектов и аудит действий с ними в ОС Windows организованы на основе избирательного (дискреционного) доступа, когда права доступа (чтение, запись, удаление, изменение атрибутов) субъекта к объекту задается явно в специальной матрице доступа. Для укрупнения матрицы пользователи могут объединяться в группы. При попытке субъекта (одного из потоков процесса, запущенного от его имени) получить доступ к объекту указываются, какие операции пользователь собирается выполнять с объектом. Если подобный тип доступа разрешен, поток получает описатель (дескриптор) объекта и все потоки процесса могут выполнять операции с ним. Подобная схема доступа, очевидно, требует аутентификации каждого пользователя, получающего доступ к ресурсам и его надежную идентификацию в системе, а также механизмов описания прав пользователей и групп пользователей в системе, описания и проверки дискреционных прав доступа пользователей к объектам. Рассмотрим, как в ОС Windows организована аутентификация и авторизация пользователей.

Все действующие в системе объекты (пользователи, группы, локальные компьютеры, домены) идентифицируются в Windows не по именам, уникальность которых не всегда удается достичь, а по идентификаторам защиты (Security Identifiers, SID). SID представляет собой числовое значение переменной длины:



S – R – I – S0 - S1 - … - Sn – RID S - неизменный идентификатор строкового представления SID;

R – уровень ревизии (версия). На сегодня 1.

I - (identifier-authority) идентификатор полномочий. Представляет собой 48битную строку, идентифицирующую компьютер или сеть, который(ая) выдал SID объекту. Возможные значения:

- 0 (SECURITY_NULL_SID_AUTHORITY) — используются для сравнений, когда неизвестны полномочия идентификатора;

- 1 (SECURITY_WORLD_SID_AUTHORITY) — применяются для конструирования идентификаторов SID, которые представляют всех пользователей. Например, идентификатор SID для группы Everyone (Все пользователи) — это S-1-1-0;

- 2 (SECURITY_LOCAL_SID_AUTHORITY) — используются для построения идентификаторов SID, представляющих пользователей, которые входят на локальный терминал;

- 5 (SECURITY_NT_AUTHORITY) — сама операционная система. То есть, данный идентификатор выпущен компьютером или доменом.

Sn – 32-битные коды (колчеством 0 и более) субагентов, которым было передано право выдать SID. Значение первых подчиненных полномочий общеизвестно.

Они могут иметь значение:

- 5 — идентификаторы SID присваиваются сеансам регистрации для выдачи прав любому приложению, запускаемому во время определенного сеанса регистрации. У таких идентификаторов SID первые подчиненные полномочия установлены как 5 и принимают форму S-1-5-5-x-y;

- 6 —когда процесс регистрируется как служба, он получает специальный идентификатор SID в свой маркер для обозначения данного действия. Этот идентификатор SID имеет подчиненные полномочия 6 и всегда будет S-15-6;

- 21 (SECURITY_NT_NON_UNIQUE) — обозначают идентификатор SID пользователя и идентификатор SID компьютера, которые не являются уникальными в глобальном масштабе;

- 32 (SECURITY_BUILTIN_DOMAIN_RID) — обозначают встроенные идентификаторы SID. Например, известный идентификатор SID для встроенной группы администраторов S-1-5-32-544;

- 80 (SECURITY_SERVICE_ID_BASE_RID) — обозначают идентификатор SID, который принадлежит службе.

Остальные подчиненные полномочия идентификатора совместно обозначают домен или компьютер, который издал идентификатор SID.

RID – 32-битный относительный идентификатор. Он является является идентификатором уникального объекта безопасности в области, для которой был определен SID. Например, 500 — обозначает встроенную учетную запись Administrator, 501 — обозначает встроенную учетную запись Guest, а 502 — RID для билета на получение билетов протокола Kerberos.

При генерации SID Windows использует генератор случайных чисел, чтобы обеспечить уникальность SID для каждого пользователя. Для некоторого произвольного пользователя SID может выглядеть так:

S-1-5-21-789336058-484763869-725345543-Предопределенным пользователям и группам Windows выдает характерные SID, состоящие из SID компьютера или домена и предопределенного RID. В таблице 1 приведен перечень некоторых общеизвестных SID.

Таблица 1. Общеизвестные SID Windows SID Название Описание S-1-1-0 Все Группа, в которую входят все пользователи S-1-5-2 Сеть Группа, в которую входят все пользовате ли, зарегистрировавшиеся в системе из сети S-1-5-7 Анонимный вход Группа, в которую входят все пользовате ли, вошедшие в систему анонимно S-1-5-домен-500 Администратор Учетная запись администратора системы.

По умолчанию только эта запись обеспечивает полный контроль системы S-1-5-домен-501 Гость Учетная запись пользователя-гостя Полный список общеизвестных SID можно посмотреть в документации Platform SDK. Узнать SID конкретного пользователя в системе, а также SID групп, в которые он включен, можно, используя консольную команду whoami:

whoami /user /sid Соответствие имени пользователя и его SID можно отследить также в ключе реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ ProfileList.

После аутентификации пользователя процессом Winlogon, все процессы, запущенные от имени этого пользователя будут идентифицироваться специальным объектом, называемым маркером доступа (access token). Если процесс пользователя запускает дочерний процесс, то его маркер наследуются, поэтому маркер доступа олицетворяет пользователя для системы в каждом запущенном от его имени процессе. Основные элементы маркера представлены на рис. 1.

SID пользо- SID1 … SIDn DACL по Привилегии Прочие павателя умолчанию раметры Идентификаторы групп пользователя Рисунок 1. Обобщенная структура маркера доступа.

Маркер доступа содержит идентификатор доступа самого пользователя и всех групп, в которые он включен. В маркер включен также DACL по умолчанию - первоначальный список прав доступа, который присоединяется к создаваемым пользователем объектам. Еще одна важная для определения прав пользователя в системе часть маркера – список его привилегий. Привилегии - это права доверенного объекта на совершение каких-либо действий по отношению ко всей системе.

В таблице 2 перечислены некоторые привилегии, которые могут быть предоставлены пользователю.

Таблица 2. Привилегии, которыми могут быть наделены пользователи Имя и идентифика- Описание привилегии тор привилегии Увеличение приоритета Пользователь, обладающий данной привилегией может изменять диспетчирования приоритет диспетчирования процесса с помощью интерфейса Диспетчера задач SeIncreaseBasePriorityPrivilege Закрепление страниц в Процесс получает возможность хранить данные в физической папамяти мяти, не прибегая к кэшированию данных в виртуальной памяти на SeLockMemoryPrivilege диске.





Управление аудитом и Пользователь получает возможность указывать параметры аудита журналом безопасности доступа к объекту для отдельных ресурсов, таких как файлы, объSeAuditPrivilege екты Active Directory и разделы реестра.

Овладение файлами или Пользователь получает возможность становиться владельцем люиными объектами бых объектов безопасности системы, включая объекты Active SeTakeOwnershipPrivilege Directory, файлы и папки NTFS, принтеры, разделы реестра, службы, процессы и потоки Завершение работы сис- Пользователь получает возможность завершать работу операционтемы ной системы на локальном компьютере SeShutdownPrivilege Обход перекрестной Используется для обхода проверки разрешений для промежуточпроверки ных каталогов при проходе многоуровневых каталогов SeChangeNotifyPrivilege Управление привилегиями пользователей осуществляется в оснастке «Групповая политика», раздел Конфигурация Windows/Локальные политики/Назначение прав пользователя.

Чтобы посмотреть привилегии пользователя, можно также использовать команду whoami /all Остальные параметры маркера носят информационный характер и определяют, например, какая подсистема создала маркер, уникальный идентификатор маркера, время его действия. Необходимо также отметить возможность создания ограниченных маркеров (restricted token), которые отличаются от обычных тем, что из них удаляются некоторые привилегии и его SID-идетификаторы проверяются только на запрещающие правила. Создать ограниченный маркер можно программно, используя API-функцию CreateRestrictedToken, а можно запустить процесс с ограниченным маркером, используя пункт контекстного меню Windows “Запуск от имени…” и отметив пункт “Защитить компьютер от несанкционированных действий этой программы” (рис.2).

Рисунок 2. Запуск процесса с ограниченным маркером Ограниченные маркеры используются для процессов, подменяющих клиента и выполняющих небезопасный код.

Маркер доступа может быть создан не только при первоначальном входе пользователя в систему. Windows предоставляет возможность запуска процессов от имени других пользователей, создавая для этих процессов соответствующий маркер. Для этих целей можно использовать:

- API-функции CreateProcessAsUser, CreateProcessWithLogon;

- оконный интерфейс (рис.2), инициализирующийся при выборе пункта контекстного меню “Запуск от имени…”;

- консольную команду runas:

runas /user:имя_пользователя program, где имя_пользователя - имя учетной записи пользователя, которая будет использована для запуска программы в формате пользователь@домен или домен\пользователь;

program – команда или программа, которая будет запущена с помощью учетной записи, указанной в параметре /user.

В любом варианте запуска процесса от имени другой учетной записи необходимо задать ее пароль.

1.3. Защита объектов системы.

Маркер доступа идентифицирует субъектов-пользователей системы. С другой стороны, каждый объект системы, требующий защиты, содержит описание прав доступа к нему пользователей. Для этих целей используется дескриптор безопасности (Security Descriptor, SD). Каждому объекту системы, включая файлы, принтеры, сетевые службы, контейнеры Active Directory и другие, присваивается дескриптор безопасности, который определяет права доступа к объекту и содержит следующие основные атрибуты (рис.3):

- SID владельца, идентифицирующий учетную запись пользователя-владельца объекта;

- пользовательский список управления доступом (Discretionary Access Control List, DACL), который позволяет отслеживать права и ограничения, установленные владельцем данного объекта. DACL может быть изменен пользователем, который указан как текущий владелец объекта.

- системный список управления доступом (System Access Control List, SACL), определяющий перечень действий над объектом, подлежащих аудиту;

- флаги, задающие атрибуты объекта.

Авторизация Windows основана на сопоставлении маркера доступа субъекта с дескриптором безопасности объекта. Управляя свойствами объекта, администраторы могут устанавливать разрешения, назначать право владения и отслеживать доступ пользователей.

Версия SD ACL SID владельца размер редакция SID группы число записей ACE [1] DACL ACE […] SACL ACE [n] Объект Флаги ACE Идентификатор Права Тип Механизм безопасности доступа записи наследования Рисунок 3. Структура дескриптора безопасности объекта Windows Список управления доступом содержит набор элементов (Access Control Entries, ACE). В DACL каждый ACE состоит из четырех частей: в первой указываются пользователи или группы, к которым относится данная запись, во второй – права доступа, а третья информирует о том, предоставляются эти права или отбираются.

Четвертая часть представляет собой набор флагов, определяющих, как данная за пись будет наследоваться вложенными объектами (актуально, например, для папок файловой системы, разделов реестра).

Если список ACE в DACL пуст, к нему нет доступа ни у одного пользователя (только у владельца на изменение DACL). Если отсутствует сам DACL в SD объекта – полный доступ к нему имеют все пользователи.

Если какой-либо поток запросил доступ к объекту, подсистема SRM осуществляет проверку прав пользователя, запустившего поток, на данный объект, просматривая его список DACL. Проверка осуществляется до появления разрешающих прав на все запрошенные операции. Если встретится запрещающее правило хотя бы на одну запрошенную операцию, доступ не будет предоставлен.

Pages:     || 2 | 3 |










© 2011 www.dissers.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.