33668

РЕГИСТРАЦИЯ ПОЛЬЗОВАТЕЛЕЙ. ПРАВА ПОЛЬЗОВАТЕЛЕЙ. ОБЪЕКТЫ ДОСТУПА. ПОЛУЧЕНИЕ ДОСТУПА

Доклад

Информатика, кибернетика и программирование

РЕГИСТРАЦИЯ ПОЛЬЗОВАТЕЛЕЙ. ПРАВА ПОЛЬЗОВАТЕЛЕЙ. Группы исп для объединения пользователей с одинаковой потребностью в доступе к определенным объектам системы. Права пользователей user rights.

Русский

2013-09-06

47.5 KB

0 чел.

37.  РЕГИСТРАЦИЯ ПОЛЬЗОВАТЕЛЕЙ. ПРАВА ПОЛЬЗОВАТЕЛЕЙ. ОБЪЕКТЫ ДОСТУПА. ПОЛУЧЕНИЕ ДОСТУПА.

При регистрации пользователя созд его учетная запись (user account). Она исп для идентификации пользователя в системе и всех его действий. Каждая учетная запись должна быть уникальной в пределах того домена, в котором она определена. Комбинация имени домена и имени учетной записи является уникальной в рамках всей корпорат сети и позв однозначно идентифицировать пользователя.

Учетная запись содержит:

Инфа, связанная с личностью владельца учетной записи (полное имя и краткое описание пользователя). Она позволяет администратору ориентироваться в большом количестве учетных записей.

Пароль (password). Знание пароля является единственным способом пользователя подтвердить свою личность в Windows.

Идентификатор безопасности (security ID). Система оперирует не именем учетной записи, а ассоциированным с ним идентификатором безопасности - многозначным числом. Идентификатор безопасности является уникальным и никогда не повторяется. Это позволяет гарантировать уникальность пользователя, независимо от имени его учетной записи.

Членство пользователя в группах (security groups). Группы исп для объединения пользователей, с одинаковой потребностью в доступе к определенным объектам системы. Пользователь может одновременно принадлежать к нескольким группам.

Права пользователей (user rights). Под правами пользователей в Windows понимается совокупность правил, регламентирующих привилегии пользователей (групп пользователей) на осуществление определенных действий. Некоторые права пользователь может получить косвенно, через членство в группах, но большая часть прав специфическая и может быть получена только явным указанием.

В отличие от прав доступа, которые присваиваются различным объектам системы, права пользователя присваиваются непосредственно учетным записям и служат для предоставления пользователю возможности выполнять специфические действия. Большинство прав пользователей имеет дело с процессами, непосредственно относящимися как к функционированию системы, так и к самой службе безопасности. Поэтому необходим механизм, регламентирующий, каким пользователям разрешено осуществление этих действий, а каким нет. Существуют два типа прав пользователя:

привилегии. Определяют возможность выполнения пользователем ряда специфических операций.

права на вход в систему. Регламентируют возможность пользователя входить в систему разл способами(из сети, локально, службой).

После аутентификации система создает для пользователя маркер доступа (access token). Любой процесс, инициируемый пользователем, наследует его маркер доступа. При этом считается, что процесс выполняется в контексте безопасности (security context) данного пользователя. Контекст безопасности определяет уровень доступа к объектам системы, установленный для пользователя.

Операционная система Windows Server 2003 позволяет управлять доступом к различным видам объектов: файлам и каталогам, принтерам, ключам реестра, системным службам.

Когда пользователь пытается получить доступ к любому объекту системы, Windows 2003 сравнивает данные маркера безопасности с информацией дескриптора безопасности. Каждый объект имеет свой дескриптор безопасности (Security Descriptor), определяющий атрибуты безопасности объекта, включая в себя  информацию:

идентификатор безопасности владельца объекта. Владелец объекта получает возможность определять уровень доступа к объекту. Любой объект Windows Server 2003 имеет своего владельца.

избирательный список контроля доступа (Discretionary Access Control List, DACL). Определяет категорию пользователей, которым предоставлен доступ к объектам, а также тип доступа, который предоставлен этим пользователям.

системный список контроля доступа (System Control Access List, SACL). Этот список управляет аудитом событий, связанных с системой безопасности. К таким событиям относятся попытки пользователей получить доступ к объектам системы

Пароли

Доступ с правами администратора — наиболее опасная атака уровня ОС, поэтому именно о защите административных полномочий должен в первую очередь заботиться тот, кто отвечает за безопасность. Однако, доступ с правами обычного пользователя также может многое дать злоумышленнику. Поэтому защищённость операционной системы во многом определяется политикой в отношении пользовательских паролей.

Алгоритм DES, так же как и алгоритм MD4, в том виде, в каком он используется в Windows, является односторонней функцией, которая не позволяет по зашифрованному тексту получить открытый текст. В то же время, существует подход, позволяющий при наличии зашифрованного пароля, в некоторых случаях получить его открытый текст перебором за обозримый промежуток времени.

Алгоритм, используемый Windows для получения LAN Manager password hash, предлагает несколько подходов к значительному сокращению перебора. Во-первых, поскольку пароли конвертируются в верхний регистр, это значительно сокращает пространство возможных паролей. Во-вторых, поскольку пароль разделяется на две 7-байтные части, каждая из которых шифруется отдельно, нет необходимости перебирать N в 14 степени комбинаций, а достаточно 2 раза по N в 7 степени. В частности, можно сразу же выделить пароли длиной до 7 символов, так как вторая половина LAN Manager password hash для них представляет собой известное постоянное значение. Как было указано выше, существуют общедоступные утилиты для взлома паролей, реализующие эти методы, например L0phtcrack.

Для предотвращения вышеописанной атаки можно использовать программу syskey, входящую в Service Pack 3. Эта программа позволяет наложить на базу данных SAM дополнительный уровень шифрования, с ключом, в скрытом виде, хранящемся в системе, хранящемся на дискете, или получаемом из пароля, заданного администратором. Эта методика позволяет значительно повысить защищенность базы данных SAM.

Права пользователей

Построение защищённой системы предполагает правильную настройку прав пользователей и ACL объектов. Это, главным образом:

  •  Права пользователей по отношению к службам
  •  Допуски к папкам и файлам
  •  Допуски к ключам реестра

Службы

Многие системные службы, например планировщик задач или сервер баз данных, предоставляют в распоряжение пользователей механизмы запуска команд, исполнять которые будет сама служба. Некоторые планировщики достаточно «умны» и умеют выполнять команды от имени учетной записи пользователя. Другие этого делать не умеют, и команда выполняется с привилегиями учетной записи самой службы. Например, в состав Microsoft SQL Server входит собственный планировщик задач и SQL-команд, что дает пользователям SQL Server возможность выполнять команды операционной системы. В этом случае существует два способа защиты. Во-первых, можно ограничить права пользователей на выполнение команд настройкой самой службы. Большинство служб, таких, как SQL Server и Microsoft Exchange Server, снабжены механизмами аутентификации и контроля доступа. Необходимо убедиться, что такие механизмы корректно сконфигурированы, и следить за их настройкой. Во-вторых, зачастую подобные службы запускаются от имени системной учетной записи Local System Account, которая даже мощнее, чем учетная запись администратора системы. Чтобы этого избежать, нужно создать отдельную учетную запись для службы и предоставить ей только те права и разрешения, которые необходимы для работы. В результате если кто-то и получит возможность работать с данной службой, то у него будут лишь те права доступа к системе, которые предоставлены учетной записи службы.

Такой подход особенно важен применительно к системной службе планировщика Scheduler. По умолчанию эта служба работает от имени системной учетной записи. Если это не имеет значения, ее можно запускать от имени непривилегированного пользователя.

Допуски к папкам и файлам

Файловая система NTFS позволяет настроить доступ пользователей к папкам и файлам компьютера.

Например, файлы операционной системы в каталоге \%systemroot% (чаще всего C:\Winnt) с назначенными по умолчанию разрешениями уязвимы для несанкционированных изменений. Непривилегированные пользователи могут заменить критически важные файлы операционной системы своими версиями, которые система будет исполнять в привилегированном режиме.

Доступ к ключам реестра

Windows позволяет настраивать допуски к отдельным ключам реестра. Например, с помощью раздела реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServer\winreg можно указать, кто имеет право удаленного доступа к реестру (независимо от разрешений для конкретных разделов).

Ошибки кода ОС

Предусмотрено четкое разделение прикладных и системных процессов, что предохраняет систему от приложений, которые пытаются найти лазейки в системе безопасности. Соответственно, имеется два режима работы программ. Приложения работают в пользовательском режиме, при котором запрещен доступ к произвольным областям памяти, аппаратуре и другим процессам. Операционная система работает в режиме ядра, и система ограничений здесь значительно слабее. Разделение режимов, в сочетании с другими характеристиками NT, должно было бы стать непреодолимой преградой на пути злоумышленника, но некоторые ошибки программного кода операционной системы все же дают о себе знать. Например, такие программы, как getadmin и sechole, могут предоставить непривилегированным пользователям полномочия администратора в любой системе, где есть возможность эти программы запустить. Другая ошибка в программном коде ОС приводит к тому, что пользователи могут повысить привилегии своей учетной записи посредством запуска специальной программы-заставки.

Например, следующая уязвимость приводит к возможности атаки, называемой GetAdmin. Уязвимым является системный сервис NtAddAtom, не проверяющий параметры, переданные ему, и устанавливающий бит 0 по адресу NtGlobalFlag + 2. Для этого необходимо открыть файл ntoskrnl.exe и найти точку входа в NtAddAtom. Установкой данного бита отключается проверка привилегий отладчика в NtOpenProcess и NtOpenThread. Таким образом, любой пользователь имеет право открыть любой процесс в системе. Атака открывает процесс Winlogon и встраивает dll к нему. Так как данный сервис имеет привилегии SYSTEM, он может добавить пользователя к группе Administrator или удалить его из данной группы.

Настройка системы безопасности

Исходя из источников уязвимостей Windows настройка системы безопасности состоит из следующих моментов:

  •  политика по отношению к паролям;
  •  установка прав пользователей;
  •  установка исправлений;
  •  установка допусков к объектам (папкам, файлам, ключам реестра); настройка реестра (добавление, установка нужных ключей).

Система анализа защищенности System Scanner (S4) используется для анализа защищенности операционных систем.


 

А также другие работы, которые могут Вас заинтересовать

26671. Проблемы освоения и добычи углеводородов в НАО 16.34 KB
  Основные технологические проблемы освоения морских нефтегазовых месторождений связаны со спецификой технологических условий на этапах обустройства месторождения и добычи. Вместе с тем существенных усилий требуют подготовка и транспортировка углеводородов
26672. Состояние здоровья взрослого населения в Архангельской области 47.5 KB
  Для изучения состояния здоровья населения Архангельской области проведен ретроспективный анализ многолетней динамики первичной заболеваемости и оценена тенденция заболеваемости путем выравнивания динамического ряда по функции экспоненциальной кривой. Анализ состояния здоровья совокупного населения Архангельской области показал что высокий темп прироста ТПр частоты заболеваемости свыше 10 и выраженная тенденция к росту за 5летний период установлены только для класса Врожденные пороки развития 1237 и 089 соответственно. Динамика...
26673. ПРИРОДНЫЕ ПАРКИ 10.83 KB
  природоохранные рекреационные учреждения находящиеся в ведении субъектов Российской Федерации территории акватории которых включают в себя природные комплексы и объекты имеющие значительную экологическую и эстетическую ценность и предназначены для использования в природоохранных просветительских и рекреационных целях . принимают органы государственной власти субъектов РФ по представлению федеральных органов в области охраны природной среды по согласованию с органами местного самоуправления.
26674. ЗОЛОТОЕ КОЛЬЦО РОССИИ 98.88 KB
  МОСКВА Бывают городатруженики городакоммерсанты городаханжи городамузеи городавенценосцы . Так писал о городах К. В этих городах сочетаются уникальные памятники архитектуры скромная красота природы и гений человека его мастерство видение жизни и стремление украсить свой быт народные промыслы. Так что же входит в понятие Золотое Кольцо Это сама Москва и окружающие ее областные города: Ярославль Кострома Владимир Иваново и множество районных городов: Ростов Великий Суздаль ПереславльЗалесский Нерехта Плесс Палех...
26675. Концепция развития туризма в Архангельской области на 2011-2014 годы 25.12 KB
  Концепция разработана в рамках реализации Стратегии социальноэкономического развития Архангельской области до 2030 года.1999 № 14923ОЗ О туризме в Архангельской области; Стратегия социальноэкономического развития Архангельской области до 2030 года. Характеристика современной туристской индустрии Архангельской области 1.
26676. КОНЦЕПЦИЯ РАЗВИТИЯ МОЛОДЕЖНОГО ТУРИЗМА 34.24 KB
  Другой аспект туризма – туристский бизнес. Настоящий бум развития туризма в нашей стране был в 30е и 60е годы прошлого века. В настоящее время отсутствует комплексный подход к развитию туризма в стране в 90е годы руководство туризмом было разведено по 14 ведомствам и частному капиталу.
26677. Наследование при моно- и дигибридном скрещивании 14.38 KB
  Закон доминирования первый закон Менделя − это закон единообразия гибридов первого поколения. Это соотношение выражает второй закон Менделя или закон расщепления признаков у гибридов второго поколения в соотношении 3:1 по фенотипу. Закон чистоты гамет – гамета содержит 1 и только 1 аллель от каждого гена. 3й закон Менделя: закон независимого наследования.
26678. Полиплоидия. Автополиплоидия, её фенотипические эффекты и генетика. Амфидиплоидия как механизм получения плодовитых аллополиплоидов. Значение полиплоидии в эволюции и селекции растений 13.47 KB
  Геномные мутации это мутации затрагивающие число хромосом изменяющие геномгаплоидный набор хромосом с локализми в них генами. Полиплоидия это изменение числа хромосом кратное гаплоидному. Умножение одного и того же гаплоидного числа хромосом генома назся автополиплоидией. Различают полиплоидию сбалансую с чётным числом наборов хромосом и несбалансую с нечётным.
26679. Строение митотической хромосомы 11.76 KB
  Она связана с тонкими фибриллами и телом хромосомы в области перетяжки. Обычно хромосома имеет только 1 центромеру но может встречаться дицентрические и полицентрические. Те ке хромосомы имеют вторичную перетяжку кя обычно располагается вблизи дистального конца хромосомы и отделяет маленький участок – спутник.