33668

РЕГИСТРАЦИЯ ПОЛЬЗОВАТЕЛЕЙ. ПРАВА ПОЛЬЗОВАТЕЛЕЙ. ОБЪЕКТЫ ДОСТУПА. ПОЛУЧЕНИЕ ДОСТУПА

Доклад

Информатика, кибернетика и программирование

РЕГИСТРАЦИЯ ПОЛЬЗОВАТЕЛЕЙ. ПРАВА ПОЛЬЗОВАТЕЛЕЙ. Группы исп для объединения пользователей с одинаковой потребностью в доступе к определенным объектам системы. Права пользователей user rights.

Русский

2013-09-06

47.5 KB

0 чел.

37.  РЕГИСТРАЦИЯ ПОЛЬЗОВАТЕЛЕЙ. ПРАВА ПОЛЬЗОВАТЕЛЕЙ. ОБЪЕКТЫ ДОСТУПА. ПОЛУЧЕНИЕ ДОСТУПА.

При регистрации пользователя созд его учетная запись (user account). Она исп для идентификации пользователя в системе и всех его действий. Каждая учетная запись должна быть уникальной в пределах того домена, в котором она определена. Комбинация имени домена и имени учетной записи является уникальной в рамках всей корпорат сети и позв однозначно идентифицировать пользователя.

Учетная запись содержит:

Инфа, связанная с личностью владельца учетной записи (полное имя и краткое описание пользователя). Она позволяет администратору ориентироваться в большом количестве учетных записей.

Пароль (password). Знание пароля является единственным способом пользователя подтвердить свою личность в Windows.

Идентификатор безопасности (security ID). Система оперирует не именем учетной записи, а ассоциированным с ним идентификатором безопасности - многозначным числом. Идентификатор безопасности является уникальным и никогда не повторяется. Это позволяет гарантировать уникальность пользователя, независимо от имени его учетной записи.

Членство пользователя в группах (security groups). Группы исп для объединения пользователей, с одинаковой потребностью в доступе к определенным объектам системы. Пользователь может одновременно принадлежать к нескольким группам.

Права пользователей (user rights). Под правами пользователей в Windows понимается совокупность правил, регламентирующих привилегии пользователей (групп пользователей) на осуществление определенных действий. Некоторые права пользователь может получить косвенно, через членство в группах, но большая часть прав специфическая и может быть получена только явным указанием.

В отличие от прав доступа, которые присваиваются различным объектам системы, права пользователя присваиваются непосредственно учетным записям и служат для предоставления пользователю возможности выполнять специфические действия. Большинство прав пользователей имеет дело с процессами, непосредственно относящимися как к функционированию системы, так и к самой службе безопасности. Поэтому необходим механизм, регламентирующий, каким пользователям разрешено осуществление этих действий, а каким нет. Существуют два типа прав пользователя:

привилегии. Определяют возможность выполнения пользователем ряда специфических операций.

права на вход в систему. Регламентируют возможность пользователя входить в систему разл способами(из сети, локально, службой).

После аутентификации система создает для пользователя маркер доступа (access token). Любой процесс, инициируемый пользователем, наследует его маркер доступа. При этом считается, что процесс выполняется в контексте безопасности (security context) данного пользователя. Контекст безопасности определяет уровень доступа к объектам системы, установленный для пользователя.

Операционная система Windows Server 2003 позволяет управлять доступом к различным видам объектов: файлам и каталогам, принтерам, ключам реестра, системным службам.

Когда пользователь пытается получить доступ к любому объекту системы, Windows 2003 сравнивает данные маркера безопасности с информацией дескриптора безопасности. Каждый объект имеет свой дескриптор безопасности (Security Descriptor), определяющий атрибуты безопасности объекта, включая в себя  информацию:

идентификатор безопасности владельца объекта. Владелец объекта получает возможность определять уровень доступа к объекту. Любой объект Windows Server 2003 имеет своего владельца.

избирательный список контроля доступа (Discretionary Access Control List, DACL). Определяет категорию пользователей, которым предоставлен доступ к объектам, а также тип доступа, который предоставлен этим пользователям.

системный список контроля доступа (System Control Access List, SACL). Этот список управляет аудитом событий, связанных с системой безопасности. К таким событиям относятся попытки пользователей получить доступ к объектам системы

Пароли

Доступ с правами администратора — наиболее опасная атака уровня ОС, поэтому именно о защите административных полномочий должен в первую очередь заботиться тот, кто отвечает за безопасность. Однако, доступ с правами обычного пользователя также может многое дать злоумышленнику. Поэтому защищённость операционной системы во многом определяется политикой в отношении пользовательских паролей.

Алгоритм DES, так же как и алгоритм MD4, в том виде, в каком он используется в Windows, является односторонней функцией, которая не позволяет по зашифрованному тексту получить открытый текст. В то же время, существует подход, позволяющий при наличии зашифрованного пароля, в некоторых случаях получить его открытый текст перебором за обозримый промежуток времени.

Алгоритм, используемый Windows для получения LAN Manager password hash, предлагает несколько подходов к значительному сокращению перебора. Во-первых, поскольку пароли конвертируются в верхний регистр, это значительно сокращает пространство возможных паролей. Во-вторых, поскольку пароль разделяется на две 7-байтные части, каждая из которых шифруется отдельно, нет необходимости перебирать N в 14 степени комбинаций, а достаточно 2 раза по N в 7 степени. В частности, можно сразу же выделить пароли длиной до 7 символов, так как вторая половина LAN Manager password hash для них представляет собой известное постоянное значение. Как было указано выше, существуют общедоступные утилиты для взлома паролей, реализующие эти методы, например L0phtcrack.

Для предотвращения вышеописанной атаки можно использовать программу syskey, входящую в Service Pack 3. Эта программа позволяет наложить на базу данных SAM дополнительный уровень шифрования, с ключом, в скрытом виде, хранящемся в системе, хранящемся на дискете, или получаемом из пароля, заданного администратором. Эта методика позволяет значительно повысить защищенность базы данных SAM.

Права пользователей

Построение защищённой системы предполагает правильную настройку прав пользователей и ACL объектов. Это, главным образом:

  •  Права пользователей по отношению к службам
  •  Допуски к папкам и файлам
  •  Допуски к ключам реестра

Службы

Многие системные службы, например планировщик задач или сервер баз данных, предоставляют в распоряжение пользователей механизмы запуска команд, исполнять которые будет сама служба. Некоторые планировщики достаточно «умны» и умеют выполнять команды от имени учетной записи пользователя. Другие этого делать не умеют, и команда выполняется с привилегиями учетной записи самой службы. Например, в состав Microsoft SQL Server входит собственный планировщик задач и SQL-команд, что дает пользователям SQL Server возможность выполнять команды операционной системы. В этом случае существует два способа защиты. Во-первых, можно ограничить права пользователей на выполнение команд настройкой самой службы. Большинство служб, таких, как SQL Server и Microsoft Exchange Server, снабжены механизмами аутентификации и контроля доступа. Необходимо убедиться, что такие механизмы корректно сконфигурированы, и следить за их настройкой. Во-вторых, зачастую подобные службы запускаются от имени системной учетной записи Local System Account, которая даже мощнее, чем учетная запись администратора системы. Чтобы этого избежать, нужно создать отдельную учетную запись для службы и предоставить ей только те права и разрешения, которые необходимы для работы. В результате если кто-то и получит возможность работать с данной службой, то у него будут лишь те права доступа к системе, которые предоставлены учетной записи службы.

Такой подход особенно важен применительно к системной службе планировщика Scheduler. По умолчанию эта служба работает от имени системной учетной записи. Если это не имеет значения, ее можно запускать от имени непривилегированного пользователя.

Допуски к папкам и файлам

Файловая система NTFS позволяет настроить доступ пользователей к папкам и файлам компьютера.

Например, файлы операционной системы в каталоге \%systemroot% (чаще всего C:\Winnt) с назначенными по умолчанию разрешениями уязвимы для несанкционированных изменений. Непривилегированные пользователи могут заменить критически важные файлы операционной системы своими версиями, которые система будет исполнять в привилегированном режиме.

Доступ к ключам реестра

Windows позволяет настраивать допуски к отдельным ключам реестра. Например, с помощью раздела реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServer\winreg можно указать, кто имеет право удаленного доступа к реестру (независимо от разрешений для конкретных разделов).

Ошибки кода ОС

Предусмотрено четкое разделение прикладных и системных процессов, что предохраняет систему от приложений, которые пытаются найти лазейки в системе безопасности. Соответственно, имеется два режима работы программ. Приложения работают в пользовательском режиме, при котором запрещен доступ к произвольным областям памяти, аппаратуре и другим процессам. Операционная система работает в режиме ядра, и система ограничений здесь значительно слабее. Разделение режимов, в сочетании с другими характеристиками NT, должно было бы стать непреодолимой преградой на пути злоумышленника, но некоторые ошибки программного кода операционной системы все же дают о себе знать. Например, такие программы, как getadmin и sechole, могут предоставить непривилегированным пользователям полномочия администратора в любой системе, где есть возможность эти программы запустить. Другая ошибка в программном коде ОС приводит к тому, что пользователи могут повысить привилегии своей учетной записи посредством запуска специальной программы-заставки.

Например, следующая уязвимость приводит к возможности атаки, называемой GetAdmin. Уязвимым является системный сервис NtAddAtom, не проверяющий параметры, переданные ему, и устанавливающий бит 0 по адресу NtGlobalFlag + 2. Для этого необходимо открыть файл ntoskrnl.exe и найти точку входа в NtAddAtom. Установкой данного бита отключается проверка привилегий отладчика в NtOpenProcess и NtOpenThread. Таким образом, любой пользователь имеет право открыть любой процесс в системе. Атака открывает процесс Winlogon и встраивает dll к нему. Так как данный сервис имеет привилегии SYSTEM, он может добавить пользователя к группе Administrator или удалить его из данной группы.

Настройка системы безопасности

Исходя из источников уязвимостей Windows настройка системы безопасности состоит из следующих моментов:

  •  политика по отношению к паролям;
  •  установка прав пользователей;
  •  установка исправлений;
  •  установка допусков к объектам (папкам, файлам, ключам реестра); настройка реестра (добавление, установка нужных ключей).

Система анализа защищенности System Scanner (S4) используется для анализа защищенности операционных систем.


 

А также другие работы, которые могут Вас заинтересовать

24402. Профессиональная этика 33 KB
  Содержание любой профессиональной этики складывается из общего и частного. Общие принципы профессиональной этики базирующиеся на общечеловеческих нормах морали предполагают: а профессиональную солидарность иногда перерождающуюся в корпоративность; б особое понимание долга и чести; в особую форму ответственности обусловленную предметом и родом деятельности. Профессиональные этики как правило касаются лишь тех видов профессиональной деятельности в которых наличествует разного рода зависимость людей от действий профессионала т.
24403. Нормативная этика 29 KB
  Все моральные учения и этические теории выдвигавшиеся в истории в конечном итоге были посвящены решению практических нравственных проблем. И каждый теоретик посвоему обосновывал моральные представления того обва и класса духовным выразителем интересов крого он выступал хотя субъективно стремился к созданию беспристрастной теории возвышающейся над различными моральными позициями. края содержит моральные оценки и предписания но не может быть научной и метаэтику края является якобы строго научной теорией очищенной от моральных...
24404. Деловое общение 42 KB
  Дейл Карнеги еще в 30е годы заметил что успехи того или иного человека в его финансовых делах даже в технической сфере или инженерном деле процентов на пятнадцать зависят от его профессиональных знаний и процентов на восемьдесят пять от его умения общаться с людьми в этом контексте легко объяснимы попытки многих исследователей сформулировать и обосновать основные принципы этики делового общения или как их чаще называют на Западе заповеди personal public relation весьма приближенно можно перевести как деловой этикет. Только поведение...
24405. Системы этического знания: теоретическая и нормативная этика 102 KB
  Системы этического знания: теоретическая и нормативная этика. Этика наука изучающая феномен морали. Слово этика от греч. В целом же слова этика мораль нравственность продолжают употребляться как взаимозаменяемые.
24406. Система этического знания 30 KB
  Этика обычай нрав характер это совокупность принципов и норм поведения принятых в данной эпохе и в данной социальной среде. Этика зарождается в обществе как результат осознания роли и сущности моральных отношений и в развитом состоянии представляет собой науку о морали содержащую две составляющих: теоретические исследования теоретическая этика и нормативные разработки нормативная этика. Теоретическая этика исследует происхождение и сущность морали ее роль и место в обществе функции механизм действия ее...
24407. Профессиональная этика. Этика управления. Взаимоотношения руководителя и подчиненных 32.5 KB
  Профессиональная этика. Этика управления. Профессиональная этика это совокупность определенных обязанностей и норм поведения поддерживающих моральный престиж профессиональных групп в обществе. Профессиональная этика вырабатывает нормы стандарты требования характерные для определенных видов деятельности.
24408. Этика делового общения 34 KB
  Этика делового общения Умение вести себя с людьми надлежащим образом является одним из важнейших если не важнейшим фактором определяющим шансы добиться успеха в бизнесе служебной или предпринимательской деятельности. В этом контексте легко объяснимы попытки многих исследователей сформулировать и обосновать основные принципы этики делового общения Джен Ягер выделяет шесть следующих основных принципов: 1. Во втором случае оно проходит с помощью переписки или технических средств а первом при непосредственном контакте субъектов общения....
24409. Деловой этикет - это установленный порядок поведения в сфере бизнеса и деловых контактов 34.5 KB
  Деловой этикет это установленный порядок поведения в сфере бизнеса и деловых контактов. Деловой этикет включает в себя следующие разделы: Технологии невербального общения: жесты хорошего тона походка как правильно сидеть вход и выход из автомобиля рукопожатие и пр. Этикет если понимать его как установленный порядок поведения помогает избегать промахов или сгладить их доступными общепринятыми способами. Поэтому основную функцию или смысл этикета делового человека можно определить как формирование таких правил поведения в обществе...
24410. Имидж и его свойства 41 KB
  Имидж складывается в ходе личных контактов человека на основе мнений высказываемых о нем окружающими. Многие индивиды от природы обладают привлекательным имиджем наделены обаянием. Однако отсутствие внешней привлекательности не должно мешать созданию благоприятного имиджа.