3-1 Основи побудови та захисту сучасних операційних систем / Защита_операционных_систем_КНМЗ
.pdf
Механізми захисту в Windows використовують два елементи маркера, визначаючи, які об'єкти доступні і які операції можна виконувати:
•перший елемент - SID облікового запису користувача і полів SID груп
•другий елемент - список привілеїв, зіставлених з маркером
Основний
Impersonation
(primary token)
token
застосовується для
маркер |
тимчасового |
|
ідентифікує |
запозичення |
|
контекст захисту |
||
потоком іншого |
||
процесу |
||
контексту захисту |
||
|
Початковий маркер доступу створюється під час входу користувача в систему і присвоюється початковому процесу userinit.exe.
Довжина маркера не є постійною, і залежить від відомостей, які в ньому зберігаються
Якщо маркер доступу видається процесу і визначає ті права, якими володіє запущений процес, то дескриптор захисту видається об'єктам операційної системи (файли, каталоги) і визначає тих користувачів, які можуть отримати доступ до об'єкта, а також права, які ці користувачі мають
Атрибути дескриптору захисту
номер версії - Версія моделі захисту SRM, використаної для створення дескриптора.
Флаги - Необов'язкові модифікатори, що визначають поведінку або
характеристики дескриптора.
SID власника - Ідентифікатор захисту власника.
SID групи - Ідентифікатор захисту основної групи для даного об'єкта
Список управління вибірковим доступом (discretionary access-control list,
DACL) - Вказує, хто може отримувати доступ до об'єкта і які види доступу
Системний список управління доступом (system access-control list, SACL) -
Вказує, які операції і яких користувачів повинні реєструватися в журналі аудиту безпеки.
СПИСОК КОНТРОЛЮ ДОСТУПУ - ACL
Список управління вибірковим доступом
(discretionary access-control list, DACL)
DACL
кожен ACE містить SID і маску
доступу (а також набір флагів).
ACE можуть бути чотирьох типів:
"доступ дозволений" (access allowed);
«доступ відхилений »(access denied);
«дозволений об'єкт »(allowedobject;
«заборонений об'єкт »(deniedobject)
Системний список управління доступом
(system access-control list, SACL)
SACL
складається з ACE двох типів:
системного аудиту (system audit ACE);
об'єкта системного аудиту (system audit-object АСЕ).
Ці ACE визначають, які операції, що виконуються над об'єктами конкретними користувачами або групами, підлягають аудиту.
Об'єкт «файл»
Дескриптор захисту
Дозволити користувачеві USER доступ для читання і запису
Дозволити групі GROUP доступ для читання і запису
Дозволити всім доступ до файлу для виконання
DACL
Спрощена схема об'єкта «файл» і його DACL
Запит на відкриття файлу для запису
Користувач: user
группа1: Administrators
Группа2: Writers
відхилен
ий
|
версія |
|
флаги |
|
Группа2: Writers |
|
SID власника |
|
Основна група |
ОБ'ЄКТ |
покажчик DACL |
покажчик SACL відхилити Writers Читання і запис дозволити user
Читання і запис
ACE
ACE
Наприклад, заданий об'єкт з двома АСЕ, перший з яких вказує, що певному користувачеві дозволено повний доступ до об'єкта, а другий відмовляє в доступі.
Якщо ACE, що дозволяє, передує АСЕ, що забороняє, користувач отримає повний доступ до об'єкта. При іншому порядку цих ACE користувач взагалі не отримає доступу до об'єкта.
Ha рисунці показаний приклад перевірки прав доступу, що демонструє, наскільки важливий порядок АСЕ. B цьому прикладі користувачеві відмовлено в доступі до файлу, хоча ACE в DACL об'єкта надає таке право (в силу приналежності користувача до групи Writers). Це викликано тим, що ACE, що забороняє, передує АСЕ, що дозволяє.
Основи побудови та захисту сучасних операційних систем
2. ПРАВА ТА ПРИВІЛЕЇ ОБЛІКОВИХ ЗАПИСІВ КОРИСТУВАЧІВ
Обліковий запис користувача являє собою набір даних, які повідомляють Windows до яких папок і файлів користувач має доступ, які він може робити зміни в роботі комп'ютера, а також персональні настройки користувача, такі як фон робочого столу, кольорове оформлення та ін.
Облікові записи користувачів дозволяють здійснювати роботу декількох користувачів на комп'ютері, кожен з яких матиме свої власні файли і настройки
•Адміністратор - надає найбільш повний контроль над комп'ютером і її рекомендується застосовуватися тільки в необхідних випадках;
•Обмежений обліковий запис - призначений для доступу до комп'ютера з обмеженими правами і можливостями
Кожен користувач отримує доступ до свого облікового запису за допомогою
імені користувача та пароля.
Привілеї (privilege) - це право (right) облікового запису на виконання певної
операції, що зачіпає безпеку, наприклад на вимикання комп'ютера або зміну
системного часу.
Право облікового запису - дозволяє або забороняє конкретний тип входу в
систему, наприклад, локальний або інтерактивний.
Розрізняють такі види входу:
інтерактивний (локальний) вхід;
вхід з мережі;
вхід через службу віддалених робочих столів (раніше називалося - "через службу терміналів");
вхід в якості служби;
вхід в якості пакетного завдання.
Список всіх привілеїв в системі можна подивитися в оснащенні MMC "Локальна політика безпеки "(Local Security Policy), розділ "Локальні політики" - "Призначення прав користувачів" (Local Policies - User Rights Assignment).
Викликається оснащення через Панель управління - Адміністрування. (Control Panel - Administrative Tools).
Права облікового запису не вводяться в дію монітором стану захисту (Security Reference Monitor, SRM) і не зберігаються в маркерах.
За вхід відповідає функція LsaLogonUser
B відповідь на запити входу служба локальної безпеки (Local Security Authority, LSA) «витягує» призначені користувачеві права облікового запису зі своєї бази даних; ця операція виконується при спробі користувача увійти в систему - LSA звіряє тип входу з правами облікового запису і за результатами цієї перевірки відхиляє спробу входу, якщо у облікового запису немає права, що дозволяє даний тип входу, або, навпаки, є право, яке забороняє даний тип входу