33668

РЕГИСТРАЦИЯ ПОЛЬЗОВАТЕЛЕЙ. ПРАВА ПОЛЬЗОВАТЕЛЕЙ. ОБЪЕКТЫ ДОСТУПА. ПОЛУЧЕНИЕ ДОСТУПА

Доклад

Информатика, кибернетика и программирование

РЕГИСТРАЦИЯ ПОЛЬЗОВАТЕЛЕЙ. ПРАВА ПОЛЬЗОВАТЕЛЕЙ. Группы исп для объединения пользователей с одинаковой потребностью в доступе к определенным объектам системы. Права пользователей user rights.

Русский

2013-09-06

47.5 KB

0 чел.

37.  РЕГИСТРАЦИЯ ПОЛЬЗОВАТЕЛЕЙ. ПРАВА ПОЛЬЗОВАТЕЛЕЙ. ОБЪЕКТЫ ДОСТУПА. ПОЛУЧЕНИЕ ДОСТУПА.

При регистрации пользователя созд его учетная запись (user account). Она исп для идентификации пользователя в системе и всех его действий. Каждая учетная запись должна быть уникальной в пределах того домена, в котором она определена. Комбинация имени домена и имени учетной записи является уникальной в рамках всей корпорат сети и позв однозначно идентифицировать пользователя.

Учетная запись содержит:

Инфа, связанная с личностью владельца учетной записи (полное имя и краткое описание пользователя). Она позволяет администратору ориентироваться в большом количестве учетных записей.

Пароль (password). Знание пароля является единственным способом пользователя подтвердить свою личность в Windows.

Идентификатор безопасности (security ID). Система оперирует не именем учетной записи, а ассоциированным с ним идентификатором безопасности - многозначным числом. Идентификатор безопасности является уникальным и никогда не повторяется. Это позволяет гарантировать уникальность пользователя, независимо от имени его учетной записи.

Членство пользователя в группах (security groups). Группы исп для объединения пользователей, с одинаковой потребностью в доступе к определенным объектам системы. Пользователь может одновременно принадлежать к нескольким группам.

Права пользователей (user rights). Под правами пользователей в Windows понимается совокупность правил, регламентирующих привилегии пользователей (групп пользователей) на осуществление определенных действий. Некоторые права пользователь может получить косвенно, через членство в группах, но большая часть прав специфическая и может быть получена только явным указанием.

В отличие от прав доступа, которые присваиваются различным объектам системы, права пользователя присваиваются непосредственно учетным записям и служат для предоставления пользователю возможности выполнять специфические действия. Большинство прав пользователей имеет дело с процессами, непосредственно относящимися как к функционированию системы, так и к самой службе безопасности. Поэтому необходим механизм, регламентирующий, каким пользователям разрешено осуществление этих действий, а каким нет. Существуют два типа прав пользователя:

привилегии. Определяют возможность выполнения пользователем ряда специфических операций.

права на вход в систему. Регламентируют возможность пользователя входить в систему разл способами(из сети, локально, службой).

После аутентификации система создает для пользователя маркер доступа (access token). Любой процесс, инициируемый пользователем, наследует его маркер доступа. При этом считается, что процесс выполняется в контексте безопасности (security context) данного пользователя. Контекст безопасности определяет уровень доступа к объектам системы, установленный для пользователя.

Операционная система Windows Server 2003 позволяет управлять доступом к различным видам объектов: файлам и каталогам, принтерам, ключам реестра, системным службам.

Когда пользователь пытается получить доступ к любому объекту системы, Windows 2003 сравнивает данные маркера безопасности с информацией дескриптора безопасности. Каждый объект имеет свой дескриптор безопасности (Security Descriptor), определяющий атрибуты безопасности объекта, включая в себя  информацию:

идентификатор безопасности владельца объекта. Владелец объекта получает возможность определять уровень доступа к объекту. Любой объект Windows Server 2003 имеет своего владельца.

избирательный список контроля доступа (Discretionary Access Control List, DACL). Определяет категорию пользователей, которым предоставлен доступ к объектам, а также тип доступа, который предоставлен этим пользователям.

системный список контроля доступа (System Control Access List, SACL). Этот список управляет аудитом событий, связанных с системой безопасности. К таким событиям относятся попытки пользователей получить доступ к объектам системы

Пароли

Доступ с правами администратора — наиболее опасная атака уровня ОС, поэтому именно о защите административных полномочий должен в первую очередь заботиться тот, кто отвечает за безопасность. Однако, доступ с правами обычного пользователя также может многое дать злоумышленнику. Поэтому защищённость операционной системы во многом определяется политикой в отношении пользовательских паролей.

Алгоритм DES, так же как и алгоритм MD4, в том виде, в каком он используется в Windows, является односторонней функцией, которая не позволяет по зашифрованному тексту получить открытый текст. В то же время, существует подход, позволяющий при наличии зашифрованного пароля, в некоторых случаях получить его открытый текст перебором за обозримый промежуток времени.

Алгоритм, используемый Windows для получения LAN Manager password hash, предлагает несколько подходов к значительному сокращению перебора. Во-первых, поскольку пароли конвертируются в верхний регистр, это значительно сокращает пространство возможных паролей. Во-вторых, поскольку пароль разделяется на две 7-байтные части, каждая из которых шифруется отдельно, нет необходимости перебирать N в 14 степени комбинаций, а достаточно 2 раза по N в 7 степени. В частности, можно сразу же выделить пароли длиной до 7 символов, так как вторая половина LAN Manager password hash для них представляет собой известное постоянное значение. Как было указано выше, существуют общедоступные утилиты для взлома паролей, реализующие эти методы, например L0phtcrack.

Для предотвращения вышеописанной атаки можно использовать программу syskey, входящую в Service Pack 3. Эта программа позволяет наложить на базу данных SAM дополнительный уровень шифрования, с ключом, в скрытом виде, хранящемся в системе, хранящемся на дискете, или получаемом из пароля, заданного администратором. Эта методика позволяет значительно повысить защищенность базы данных SAM.

Права пользователей

Построение защищённой системы предполагает правильную настройку прав пользователей и ACL объектов. Это, главным образом:

  •  Права пользователей по отношению к службам
  •  Допуски к папкам и файлам
  •  Допуски к ключам реестра

Службы

Многие системные службы, например планировщик задач или сервер баз данных, предоставляют в распоряжение пользователей механизмы запуска команд, исполнять которые будет сама служба. Некоторые планировщики достаточно «умны» и умеют выполнять команды от имени учетной записи пользователя. Другие этого делать не умеют, и команда выполняется с привилегиями учетной записи самой службы. Например, в состав Microsoft SQL Server входит собственный планировщик задач и SQL-команд, что дает пользователям SQL Server возможность выполнять команды операционной системы. В этом случае существует два способа защиты. Во-первых, можно ограничить права пользователей на выполнение команд настройкой самой службы. Большинство служб, таких, как SQL Server и Microsoft Exchange Server, снабжены механизмами аутентификации и контроля доступа. Необходимо убедиться, что такие механизмы корректно сконфигурированы, и следить за их настройкой. Во-вторых, зачастую подобные службы запускаются от имени системной учетной записи Local System Account, которая даже мощнее, чем учетная запись администратора системы. Чтобы этого избежать, нужно создать отдельную учетную запись для службы и предоставить ей только те права и разрешения, которые необходимы для работы. В результате если кто-то и получит возможность работать с данной службой, то у него будут лишь те права доступа к системе, которые предоставлены учетной записи службы.

Такой подход особенно важен применительно к системной службе планировщика Scheduler. По умолчанию эта служба работает от имени системной учетной записи. Если это не имеет значения, ее можно запускать от имени непривилегированного пользователя.

Допуски к папкам и файлам

Файловая система NTFS позволяет настроить доступ пользователей к папкам и файлам компьютера.

Например, файлы операционной системы в каталоге \%systemroot% (чаще всего C:\Winnt) с назначенными по умолчанию разрешениями уязвимы для несанкционированных изменений. Непривилегированные пользователи могут заменить критически важные файлы операционной системы своими версиями, которые система будет исполнять в привилегированном режиме.

Доступ к ключам реестра

Windows позволяет настраивать допуски к отдельным ключам реестра. Например, с помощью раздела реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServer\winreg можно указать, кто имеет право удаленного доступа к реестру (независимо от разрешений для конкретных разделов).

Ошибки кода ОС

Предусмотрено четкое разделение прикладных и системных процессов, что предохраняет систему от приложений, которые пытаются найти лазейки в системе безопасности. Соответственно, имеется два режима работы программ. Приложения работают в пользовательском режиме, при котором запрещен доступ к произвольным областям памяти, аппаратуре и другим процессам. Операционная система работает в режиме ядра, и система ограничений здесь значительно слабее. Разделение режимов, в сочетании с другими характеристиками NT, должно было бы стать непреодолимой преградой на пути злоумышленника, но некоторые ошибки программного кода операционной системы все же дают о себе знать. Например, такие программы, как getadmin и sechole, могут предоставить непривилегированным пользователям полномочия администратора в любой системе, где есть возможность эти программы запустить. Другая ошибка в программном коде ОС приводит к тому, что пользователи могут повысить привилегии своей учетной записи посредством запуска специальной программы-заставки.

Например, следующая уязвимость приводит к возможности атаки, называемой GetAdmin. Уязвимым является системный сервис NtAddAtom, не проверяющий параметры, переданные ему, и устанавливающий бит 0 по адресу NtGlobalFlag + 2. Для этого необходимо открыть файл ntoskrnl.exe и найти точку входа в NtAddAtom. Установкой данного бита отключается проверка привилегий отладчика в NtOpenProcess и NtOpenThread. Таким образом, любой пользователь имеет право открыть любой процесс в системе. Атака открывает процесс Winlogon и встраивает dll к нему. Так как данный сервис имеет привилегии SYSTEM, он может добавить пользователя к группе Administrator или удалить его из данной группы.

Настройка системы безопасности

Исходя из источников уязвимостей Windows настройка системы безопасности состоит из следующих моментов:

  •  политика по отношению к паролям;
  •  установка прав пользователей;
  •  установка исправлений;
  •  установка допусков к объектам (папкам, файлам, ключам реестра); настройка реестра (добавление, установка нужных ключей).

Система анализа защищенности System Scanner (S4) используется для анализа защищенности операционных систем.


 

А также другие работы, которые могут Вас заинтересовать

32802. Философия Августина Аврелия (Блаженного). И Фомы Аквинского 14.95 KB
  Учение о Боге и мире. Бог рассматривается им как начало всего сущего как единственная причина возникновения вещей. Бог вечен и неизменен. Мир созданных богом вещей изменчив и пребывает во времени.
32803. Особенности философии Возрождения. Её связь с наукой и искусством. Учения о природе и познании 18.84 KB
  Особенности философии Возрождения. Эпоха Возрождения Ренессанса переходный период от Средних веков к Новому времени XV [в Италии с XIV] XVI вв. Возрождение художественноэстетическая эпоха провозгласившая что высшее призвание человека в мире быть творцом и созидателем Этапы развития и характерные черты философии Возрождения. В философии эпохи Возрождения можно выделить 3 этапа: гуманистический сер.
32804. Эмпиризм и сенсуализм в философии нового времени 16.32 KB
  Локк подчеркивает особую роль органов чувств в процессе познания.Бэкон сделал научное познание в центре его внимания вопросы о целях и методах научного познания.Однако он утверждает что на пути познания имеется множество заблуждений препятствующих получению достоверного знания. Бэкон выделяет 4 вида идолов познания: 1 идолы рода являются следствием ограниченности человеческого ума несовершенством органов чувств; 2 идолы пещеры обусловлены индивидуальными особенностями человека: каждый человек имеет свой внутренний субъективный мир...
32805. Рационализм в философии нового времени 17.35 KB
  Эти две субстанции пересекаются и активно взаимодействуют однако их взаимосвязь является лишь механической. В человеке материальная и духовная субстанции проявляются как тело и душа. В понятии единой субстанции т. Спиноза называет следующие свойства единой субстанции: независимое ни от чего существование; вечность; бесконечность; является внутренней причиной самой себя и всего сущего.
32806. Субъективный идеализм в философии Н.В. (Дж.Беркли, Д.Юм) 14.1 KB
  Джордж Беркли 1685 1753 гг. Беркли внес весомый вклад в теорию познания четко поставив вопрос о соотношении объективного и субъективного в ощущениях об объективности причинности и о видах существования. Беркли утверждал что мир не существует независимо от человека а представляет собой комплекс ощущений и восприятий. Философия Беркли основывается на следующих основных принципах: 1 существовать значит быть воспринимаемым; 2 я не в состоянии помыслить ощущаемые вещи или предмет независимо от их ощущения и восприятия; 3 мы никогда не...
32807. Философия французского Посвящения 17.75 KB
  Философия Просвещения опиралась на достижения наук: биологии физики медицины которые стали естественнонаучным основанием раскрытия сущности и природы человека. Просветители развивали материалистические взгляды на природу и человека. Дидро уподоблял человека инструменту наделенному чувствительностью и памятью а Ламетри проводил аналогию между человеком и машиной. Однако французские материалисты обращали внимание и на роль социальнокультурных факторов появления человека уделяли внимание роли языка как средства общения и познания мира.
32808. Особенности становления и основные черты немецкой классической философии 11.99 KB
  Немецкая философия конца ХVIII первой трети ХIХ веков представлена именами Канта Фихте Шеллинга Гегеля Фейербаха и представляет собой важный этап в развитии мировой философской мысли. Произведения Шиллера и Гете философские труды Канта и Гегеля отразили противоречивость эпохи. Маркс назвал философию Канта теорией буржуазной революции.
32809. Философия И. Канта: субъективный идеализм и агностицизм 14.27 KB
  Канта: субъективный идеализм и агностицизм. Основателем немецкой классической философии считается Иммануил Кант 1724 1804 гг. Основное содержание своей философии Кант изложил в виде следующих вопросов: Что я могу знатьЧто я должен делатьНа что я могу надеятьсяЧто есть человек. В творчестве Канта принято выделять 2 периода: 1 докритический до 70х гг.
32810. Философия Гегеля: абсолютный идеализм и диалектика 14.28 KB
  Диалектика в творчестве Гегеля это теория развития всего сущего и метод познания действительности. В ходе своего саморазвития Абсолютная идея проходит ряд ступеней развиваясь от простого к сложному от абстрактного к конкретному. Высшая ступень развития абсолютный дух. Причем философия означает завершение итог развития Абсолютной идеи: по определению Гегеля философия это духовная квинтэссенция эпохи самосознание эпохи.