33668

РЕГИСТРАЦИЯ ПОЛЬЗОВАТЕЛЕЙ. ПРАВА ПОЛЬЗОВАТЕЛЕЙ. ОБЪЕКТЫ ДОСТУПА. ПОЛУЧЕНИЕ ДОСТУПА

Доклад

Информатика, кибернетика и программирование

РЕГИСТРАЦИЯ ПОЛЬЗОВАТЕЛЕЙ. ПРАВА ПОЛЬЗОВАТЕЛЕЙ. Группы исп для объединения пользователей с одинаковой потребностью в доступе к определенным объектам системы. Права пользователей user rights.

Русский

2013-09-06

47.5 KB

0 чел.

37.  РЕГИСТРАЦИЯ ПОЛЬЗОВАТЕЛЕЙ. ПРАВА ПОЛЬЗОВАТЕЛЕЙ. ОБЪЕКТЫ ДОСТУПА. ПОЛУЧЕНИЕ ДОСТУПА.

При регистрации пользователя созд его учетная запись (user account). Она исп для идентификации пользователя в системе и всех его действий. Каждая учетная запись должна быть уникальной в пределах того домена, в котором она определена. Комбинация имени домена и имени учетной записи является уникальной в рамках всей корпорат сети и позв однозначно идентифицировать пользователя.

Учетная запись содержит:

Инфа, связанная с личностью владельца учетной записи (полное имя и краткое описание пользователя). Она позволяет администратору ориентироваться в большом количестве учетных записей.

Пароль (password). Знание пароля является единственным способом пользователя подтвердить свою личность в Windows.

Идентификатор безопасности (security ID). Система оперирует не именем учетной записи, а ассоциированным с ним идентификатором безопасности - многозначным числом. Идентификатор безопасности является уникальным и никогда не повторяется. Это позволяет гарантировать уникальность пользователя, независимо от имени его учетной записи.

Членство пользователя в группах (security groups). Группы исп для объединения пользователей, с одинаковой потребностью в доступе к определенным объектам системы. Пользователь может одновременно принадлежать к нескольким группам.

Права пользователей (user rights). Под правами пользователей в Windows понимается совокупность правил, регламентирующих привилегии пользователей (групп пользователей) на осуществление определенных действий. Некоторые права пользователь может получить косвенно, через членство в группах, но большая часть прав специфическая и может быть получена только явным указанием.

В отличие от прав доступа, которые присваиваются различным объектам системы, права пользователя присваиваются непосредственно учетным записям и служат для предоставления пользователю возможности выполнять специфические действия. Большинство прав пользователей имеет дело с процессами, непосредственно относящимися как к функционированию системы, так и к самой службе безопасности. Поэтому необходим механизм, регламентирующий, каким пользователям разрешено осуществление этих действий, а каким нет. Существуют два типа прав пользователя:

привилегии. Определяют возможность выполнения пользователем ряда специфических операций.

права на вход в систему. Регламентируют возможность пользователя входить в систему разл способами(из сети, локально, службой).

После аутентификации система создает для пользователя маркер доступа (access token). Любой процесс, инициируемый пользователем, наследует его маркер доступа. При этом считается, что процесс выполняется в контексте безопасности (security context) данного пользователя. Контекст безопасности определяет уровень доступа к объектам системы, установленный для пользователя.

Операционная система Windows Server 2003 позволяет управлять доступом к различным видам объектов: файлам и каталогам, принтерам, ключам реестра, системным службам.

Когда пользователь пытается получить доступ к любому объекту системы, Windows 2003 сравнивает данные маркера безопасности с информацией дескриптора безопасности. Каждый объект имеет свой дескриптор безопасности (Security Descriptor), определяющий атрибуты безопасности объекта, включая в себя  информацию:

идентификатор безопасности владельца объекта. Владелец объекта получает возможность определять уровень доступа к объекту. Любой объект Windows Server 2003 имеет своего владельца.

избирательный список контроля доступа (Discretionary Access Control List, DACL). Определяет категорию пользователей, которым предоставлен доступ к объектам, а также тип доступа, который предоставлен этим пользователям.

системный список контроля доступа (System Control Access List, SACL). Этот список управляет аудитом событий, связанных с системой безопасности. К таким событиям относятся попытки пользователей получить доступ к объектам системы

Пароли

Доступ с правами администратора — наиболее опасная атака уровня ОС, поэтому именно о защите административных полномочий должен в первую очередь заботиться тот, кто отвечает за безопасность. Однако, доступ с правами обычного пользователя также может многое дать злоумышленнику. Поэтому защищённость операционной системы во многом определяется политикой в отношении пользовательских паролей.

Алгоритм DES, так же как и алгоритм MD4, в том виде, в каком он используется в Windows, является односторонней функцией, которая не позволяет по зашифрованному тексту получить открытый текст. В то же время, существует подход, позволяющий при наличии зашифрованного пароля, в некоторых случаях получить его открытый текст перебором за обозримый промежуток времени.

Алгоритм, используемый Windows для получения LAN Manager password hash, предлагает несколько подходов к значительному сокращению перебора. Во-первых, поскольку пароли конвертируются в верхний регистр, это значительно сокращает пространство возможных паролей. Во-вторых, поскольку пароль разделяется на две 7-байтные части, каждая из которых шифруется отдельно, нет необходимости перебирать N в 14 степени комбинаций, а достаточно 2 раза по N в 7 степени. В частности, можно сразу же выделить пароли длиной до 7 символов, так как вторая половина LAN Manager password hash для них представляет собой известное постоянное значение. Как было указано выше, существуют общедоступные утилиты для взлома паролей, реализующие эти методы, например L0phtcrack.

Для предотвращения вышеописанной атаки можно использовать программу syskey, входящую в Service Pack 3. Эта программа позволяет наложить на базу данных SAM дополнительный уровень шифрования, с ключом, в скрытом виде, хранящемся в системе, хранящемся на дискете, или получаемом из пароля, заданного администратором. Эта методика позволяет значительно повысить защищенность базы данных SAM.

Права пользователей

Построение защищённой системы предполагает правильную настройку прав пользователей и ACL объектов. Это, главным образом:

  •  Права пользователей по отношению к службам
  •  Допуски к папкам и файлам
  •  Допуски к ключам реестра

Службы

Многие системные службы, например планировщик задач или сервер баз данных, предоставляют в распоряжение пользователей механизмы запуска команд, исполнять которые будет сама служба. Некоторые планировщики достаточно «умны» и умеют выполнять команды от имени учетной записи пользователя. Другие этого делать не умеют, и команда выполняется с привилегиями учетной записи самой службы. Например, в состав Microsoft SQL Server входит собственный планировщик задач и SQL-команд, что дает пользователям SQL Server возможность выполнять команды операционной системы. В этом случае существует два способа защиты. Во-первых, можно ограничить права пользователей на выполнение команд настройкой самой службы. Большинство служб, таких, как SQL Server и Microsoft Exchange Server, снабжены механизмами аутентификации и контроля доступа. Необходимо убедиться, что такие механизмы корректно сконфигурированы, и следить за их настройкой. Во-вторых, зачастую подобные службы запускаются от имени системной учетной записи Local System Account, которая даже мощнее, чем учетная запись администратора системы. Чтобы этого избежать, нужно создать отдельную учетную запись для службы и предоставить ей только те права и разрешения, которые необходимы для работы. В результате если кто-то и получит возможность работать с данной службой, то у него будут лишь те права доступа к системе, которые предоставлены учетной записи службы.

Такой подход особенно важен применительно к системной службе планировщика Scheduler. По умолчанию эта служба работает от имени системной учетной записи. Если это не имеет значения, ее можно запускать от имени непривилегированного пользователя.

Допуски к папкам и файлам

Файловая система NTFS позволяет настроить доступ пользователей к папкам и файлам компьютера.

Например, файлы операционной системы в каталоге \%systemroot% (чаще всего C:\Winnt) с назначенными по умолчанию разрешениями уязвимы для несанкционированных изменений. Непривилегированные пользователи могут заменить критически важные файлы операционной системы своими версиями, которые система будет исполнять в привилегированном режиме.

Доступ к ключам реестра

Windows позволяет настраивать допуски к отдельным ключам реестра. Например, с помощью раздела реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServer\winreg можно указать, кто имеет право удаленного доступа к реестру (независимо от разрешений для конкретных разделов).

Ошибки кода ОС

Предусмотрено четкое разделение прикладных и системных процессов, что предохраняет систему от приложений, которые пытаются найти лазейки в системе безопасности. Соответственно, имеется два режима работы программ. Приложения работают в пользовательском режиме, при котором запрещен доступ к произвольным областям памяти, аппаратуре и другим процессам. Операционная система работает в режиме ядра, и система ограничений здесь значительно слабее. Разделение режимов, в сочетании с другими характеристиками NT, должно было бы стать непреодолимой преградой на пути злоумышленника, но некоторые ошибки программного кода операционной системы все же дают о себе знать. Например, такие программы, как getadmin и sechole, могут предоставить непривилегированным пользователям полномочия администратора в любой системе, где есть возможность эти программы запустить. Другая ошибка в программном коде ОС приводит к тому, что пользователи могут повысить привилегии своей учетной записи посредством запуска специальной программы-заставки.

Например, следующая уязвимость приводит к возможности атаки, называемой GetAdmin. Уязвимым является системный сервис NtAddAtom, не проверяющий параметры, переданные ему, и устанавливающий бит 0 по адресу NtGlobalFlag + 2. Для этого необходимо открыть файл ntoskrnl.exe и найти точку входа в NtAddAtom. Установкой данного бита отключается проверка привилегий отладчика в NtOpenProcess и NtOpenThread. Таким образом, любой пользователь имеет право открыть любой процесс в системе. Атака открывает процесс Winlogon и встраивает dll к нему. Так как данный сервис имеет привилегии SYSTEM, он может добавить пользователя к группе Administrator или удалить его из данной группы.

Настройка системы безопасности

Исходя из источников уязвимостей Windows настройка системы безопасности состоит из следующих моментов:

  •  политика по отношению к паролям;
  •  установка прав пользователей;
  •  установка исправлений;
  •  установка допусков к объектам (папкам, файлам, ключам реестра); настройка реестра (добавление, установка нужных ключей).

Система анализа защищенности System Scanner (S4) используется для анализа защищенности операционных систем.


 

А также другие работы, которые могут Вас заинтересовать

82115. Хай вогонь в серцях палає, а пожеж хай не буває 51.5 KB
  Вогонь потрібен всюди: в житлових будинках навчальних закладах для обігрівання приміщень приготування страв Вогонь є символом Олімпійських спортивних ігор перед вогнем біля могили Невідомого солдата люди схиляють голови віддаючи шану загиблим за Батьківщину.
82116. Правила безпечного поводження з газом та газовими приладами 201 KB
  Правила безпечного поводження з газом та газовими приладами. Ознайомити учнів з правилами безпечного користування побутовими газовими приладами. Вчити дітей діяти у разі виявлення запаху газу. Що зараз майже в кожнім домі Є необхідним безперечно Бо варить їжу всім без втоми Хоч він – отруйний небезпечний...
82117. Поведінка учня. Вплив поведінки на здоров’я 110 KB
  Мета: Формувати уявлення про ввічливого учня, про вплив поведінки на власне здоров’я та здоров’я оточуючих людей. Формувати вміння встановлювати причинно-наслідкові зв’язки (між настроєм і суперечкою; добрим вчинком і доброзичливим ставленням); узагальнювати сприйняття, використовувати знання...
82118. Эмоции. Умение контролировать эмоции. Положительные и отрицательные эмоции. Практическая работа: моделирование ситуации преодоления отрицательных эмоций 1.41 MB
  Цель: сформировать представление о положительных и отрицательных эмоциях, развивать умения находить связь между характером человека и его здоровьем, воспитывать желание изменять свой характер в лучшую сторону.
82119. Цінуй життя і здоров’я 48.5 KB
  Мета уроку: учити дітей свідомо ставитися до свого здоров’я; вчити дотримуватися здорового способу життя: режиму дня раціонального правильного харчування правил гігієни; розвивати зацікавленість дітей до проведення фізичних вправ і загартовувальних процедур; розвивати мовлення вміння висловлювати свою думку...
82120. Ми – за здоровий спосіб життя 44 KB
  Мета: формувати відповідальну внутрішню позицію щодо свого здоров’я на основі позитивних перспективних мотивів; поглиблювати усвідомлення поняття «здоров’я», його багатогранності, необхідності турботи про нього; розширювати знання про негативний вплив шкідливих звичок...
82121. О здоровом образе жизни 75.5 KB
  Баба готовит колобок имитируя движениями рук процесс замешивания теста. Ведущий: По сусекам помела Горсти две муки нашла Соль добавила песок Славный вышел колобок Пышный да румяный Баба: Погоди ка дед чуток Пусть остынет колобок Ведущий: Непоседе Колобку Стыть бы на окошке Но решил он: Убегу Разомнусь немножко.
82122. Здоровий спосіб життя – це модно 70.5 KB
  Мета: Здійснювати пропаганду здорового способу життя; розширити та закріпити знання про пагубний вплив наркотиків тютюнопаління алкоголю на організм людини. Виховувати у учнів негативне відношення до застосування алкогольних напоїв наркотиків та та тютюнопаління, бажання і вміння вести здоровий спосіб життя...