Учебное пособие 800434
.pdf
отыскать соответствующее событие номер 528 и выяснить все подробности о сеансе, в котором запускалось приложение. С помощью поля номера запустившего приложение процесса Creator Process ID можно найти соответствующее событие номер 592, из которого выяснить, какая программа инициировала запуск нового процесса.
Инструменты для управления аудитом.
Управление аудитом осуществляется с помощью программы User Manager. Для управления политикой аудита выбирается раздел Policies -- Audit , после чего открывается окно настройки - Audit Policy. Для настройки параметров журнала безопасности используется раздел Log -- Log Settings.
Для просмотра локального журнала безопасности требуется открыть программу Event Viewer и вы рать в меню Log пункт Security. К сожалению, Event Viewer не способен фильтровать события по значениям их параметров, так что использовать номера Logon ID, Process ID и Handle ID весьма трудно. Однако можно применить функцию поиска по значению параметра и вручную составить необходимые цепочки событий. Можно также воспользоваться другими программами обработки журнала безопасности Windows NT, которые позволяют отфильтровывать события по различным критериям.
Для просмотра списка управления аудитом следует запустить Windows Explorer, открыть контекстное меню объекта и выбрать Properties. Затем - открыть вкладку Security и выбрать Auditing. Для просмотра списка управления аудитом, соответствующего разделу реестра, требуется запустить regedt32.exe, указать нужный раздел, а затем выбрать в меню Security, Permissions or Security, Auditing.
Механизм управление аудитом в Windows 2000 .
Панель управления
Администрирование
Локальная политика безопасности
Параметры безопасности
207
Политика аудита: -доступа к объектам -входа в систему
-доступа к службе каталогов -изменения политики -использования привилегий -отслеживания процессов
системных событий -управления учетными
записями
Просмотр событий
Журнал приложений Журнал безопасности
Журнал системы Журнализируемые характеристики:
-Тип (уведомление, предупреждение, ошибка...) -дата, время -источник -категория -событие (код)
-пользователь, компьютер.
Поддержание работоспособности и восстановление после сбоев.
В ПСБ ОС Windows NT/2000 присутствуют следующие средства обеспечения данной функции:
Средства корректного управления ресурсами ПК и взаимодействием программ:
-подсистемы ядра и системные сервисы ОС.
Средства устранения ―зависаний‖ программ и других тупиковых ситуаций:
-менеджер задач (вызывается по Ctrl-Alt-Del и может в большинстве случаев закрыть ―зависшую‖ программу или корректно завершить работу ОС).
Встроенные утилиты обнаружения и исправления
208
ошибок:
-утилиты сканирование и дефрагментация дисков. Средства восстановления ОС после фатального сбоя:
-‖откат‖ к предыдущей успешной загрузке (Last Known
Good);
-загрузка в безопасном режиме работы (Safe Mode); -загрузка в консоли восстановления (Recovery Console).
Средства создания аварийного дампа памяти.
К числу наиболее вероятных причин, по которым Windows NT перестает загружаться, следует отнести работу драйверов устройств. Это может произойти или сразу после установки нового драйвера, или после того, как драйвер нормально отработал некоторое время. И в том, и в другом случае нормальная последовательность загрузки прерывается аварийным остановом системы.
Если такая ошибка обнаруживается вслед за установкой нового драйвера во время первой перезагрузки системы еще остается возможность "откатиться" к конфигурации Last Known Good, что приведет к восстановлению ключа реестра
HKLM\SYSTEM\CurrentControlSet1 в состояние,
предшествовавшее сбою, когда система загружалась без проблем.
Если конфигурация Last Known Good не помогает, можно загрузиться с помощью системной дискеты в DOS и просто удалить или переименовать файл подозрительного драйвера (если система располагается в разделе FAT). Если же система располагается в разделе NTFS, остается либо использовать утилиты восстановления производства независимых компаний или же рядом с вышедшей из строя версией NT установить новую, загрузиться в нее и обратиться
кдиску NTFS.
ВWindows 2000, которая также весьма чувствительна к поведению драйверов устройств, заимствована концепция Safe Mode из Windows 9x, в которой загрузочная конфигурация системы состоит из минимального набора необходимых драйверов и служб. Полагаясь только на необходимые для
209
загрузки драйверы и службы, Windows 2000 тем самым избегает активизации драйверов от независимых компаний и других драйверов, которые могли бы привести к ее "обвалу".
Во время загрузки Windows 2000 следует нажать F8 для входа в специальное меню, содержащее пункт Safe Mode, после чего выбрать один из режимов Safe Mode:
-стандартный (standard) - подключение в процессе загрузки минимального числа драйверов и служб;
-сетевой (networking-enabled) - к числу драйверов и служб стандартного режима добавляются новые для поддержания работы в сети;
-с командной строкой (safe mode with command prompt) -
идентичен стандартному режиму, но среда работы пользователя реализуется с помощью cmd.exe, а не Windows
Explorer;
-режим восстановления службы каталогов (DS Repair Mode) - используется при необходимости провести восстановление Active Directory (AD) на контроллере домена с архивной ленты.
Когда во время загрузки выбирается один из режимов Safe Mode, программа-загрузчик NT (NTLDR) передает в ядро системы (ntoskrnl.exe) соответствующий переключатель в виде параметра командной строки вместе с параметрами, заданными в файле boot.ini. При задании любого режима Safe Mode программа NTLDR передает в ядро переключатель /SAFEBOOT с параметрами конкретного режима.
Подсистема ядра I/O Manager начинает процесс загрузки драйверов на основании записей в реестре.
Компонент пользовательского режима SCM (services.exe) на этапе инициализации загружает только те службы, имена которых присутствуют в реестре в соответствующем выбранному типу Safe Mode ключе.
Как только начинает работать первый компонент пользовательского режима - Session Manager (smss.exe),
запускается программа проверки целостности дисков chkdsk, а затем функция NtInitializeRegistry выполняет инициализацию
210
системного реестра. Ядро создает в системном каталоге
Windows 2000 (\winnt) файл ntbtlog.txt.
Режим Safe Mode не помогает:
-если "проблемный" драйвер принадлежит конфигурации
Safe Mode;
-если драйвер относится к типу boot-start (драйверы этого типа грузятся независимо от того, выбран Safe Mode или нет);
-если системный модуль или файл драйвера, жизненно необходимые системе в конфигурации Safe Mode оказываются по какой-либо причине испорченными;
-если повреждена запись Master Boot Record (MBR) на системном диске.
Выйти из таких положений помогает новый инструмент
Windows 2000 - Recovery Console (RC). При этом загрузка выполняется или с компакт-диска Windows 2000, или с загрузочных дискет, а не с проблемной установки на жестком диске. Среда - командная строка с ограниченным набором команд. При загрузке с компакт-диска, процесс вскоре доходит до экрана, на котором предоставляется выбор - либо восстановить существующую установку, либо произвести новую. При выборе режима восстановления, система предлагает вставить компакт-диск, после чего необходимо выбрать один из трех вариантов восстановления: стартовать RC, инициировать процесс Emergency Repair или же воспользоваться свойством Advanced System Recovery для восстановления данной установки с ленты.
RC предоставляет список установок NT, обнаруженных во время сканирования дисков. После того, как выбор сделан, следует ввести пароль администратора для регистрации в системе с административными полномочиями. После успешной регистрации пользователь попадает в окружение, напоминающее среду DOS. Набор доступных в этом режиме команд достаточно гибок для того, чтобы выполнить простые операции ввода/вывода; с его помощью можно подключать и отключать службы и драйверы, а также восстанавливать загрузочный сектор и MBR. Вместе с тем, в среде RC
211
предоставляется доступ к ограниченному набору каталогов, а именно: корневому каталогу, системному каталогу той установки, в которую вы зарегистрировались, и каталогам на сменных носителях – компакт-дисках и 3,5-дюймовых дискетах. Это обеспечивает защиту информации, к которой администратор в обычных условиях может и не иметь доступа.
С компакт-диска должна быть загружена копия ядра Windows 2000, включая все необходимые для этого драйверы (NTFS или FAT, драйверы SCSI, видеодрайвер). Для систем x86 файл setuptxt.sif в каталоге i386 на компакт-диске Windows 2000 управляет процессом загрузки драйверов с компактдиска. Этот файл содержит директивы, которые предписывают, какие файлы следует загрузить, и где именно на компакт-диске они находятся. Первой компонентой режима пользователя, запускаемой ядром, является Session Manager (smss.exe). Подкаталог \system32 содержит Setup Session Manager и именно эта компонента предоставляется через меню на этапе установки/восстановления Windows 2000, а затем предлагается выбрать тип восстановления.
RC реализована с помощью двух драйверов: spcmdcon.sys и setupdd.sys. Когда в меню выбирается работа с RC, Session Manager загружает и запускает эти драйверы. Setupdd.sys - это вспомогательный драйвер, который позволяет spcmdcon.sys пользоваться функциями для работы с дисковыми разделами, загружать реестр, а также работать с видеодрайвером. Setupdd.sys взаимодействует с драйверами диска для обслуживания разделов и использует базовые функции видео, встроенные в ядро Windows 2000 для вывода сообщений на экран.
14.3. Подсистема безопасности ОС LINUX
Большинство Unix (и Linux не исключение) в основном используют односторонний алгоритм шифрования, называемый DES (стандарт шифрования данных /Data Encription Standard/), для шифрования ваших паролей. Эти
212
зашифрованные пароли затем сохраняются (обычно) в файле
/etc/passwd или (реже) в /etc/shadow. Когда вы пытаетесь зарегистрироваться, все, что вы набираете, снова шифруется и сравнивается с содержимым файла, в котором хранятся ваши пароли. Если они совпадают, должно быть это одинаковые пароли, и вам разрешают доступ. Хотя DES является двухсторонним (вы можете закодировать, а затем раскодировать сообщение, давая верный ключ), большинство Unix используют односторонний вариант. Это значит, что невозможно на основании содержания файла /etc/passwd (или /etc/shadow) провести расшифровку для получения паролей.
Система системного журналирования (syslog) является одной из самых восхитительных вещей в UNIX. В отличие от некоторых операционных систем, которые заставляют вас использовать лишь тот ограниченный диапазон журналов, которые они соизволят вам предоставить, UNIX позволяет вам регистрировать почти все что угодно с практически любым уровнем детализации. Так как стандартные системные средства журналирования предусмотрены для большинства средств системы UNIX, администратор может выбрать конфигурацию журналирования удовлетворяющую его требованиям. Моя сеть обычно имеет один журналирующий узел, который поддерживает журналирование не только для FreeBSD-узлов, но и для маршрутизаторов Cisco, коммутаторов и любых других систем поддерживающих syslog. Журналирующая система устроена достаточно просто. Программы шлют записи, предназначенные для журналирования к системному демону syslogd. Syslogd сравнивает каждую пришедшую запись с правилами, которые находятся в файле /etc/syslog.conf. Когда обнаруживается соответствие, syslogd обрабатывает запись описанным в syslog.conf способом. Файл /etc/syslog.conf состоит из двух столбцов. В первом указывается правило отбора записей для журнала. Во втором содержится описание действий, которые будут предприняты для обработки подошедшей записи. Большинство затруднений вызывает полное понимание того,
213
как точно указать правило отбора журналируемых записей. Источник журналируемых записей описывается
указанием категории (facility) и уровня (level). Категория это или источник записей, или программа, которая шлет сообщения демону syslogd. Существуют следующие категории:
auth - Все что связано с авторизацией пользователей, вроде login и su. authpriv - Тоже самое что и auth, однако пишет журнал в файл, который могут читать лишь некоторые пользователи (очевидно, автор имел в виду тот факт, что сообщения, собираемые в этой категории, могут содержать открытые пароли пользователей, которые не должны попадать на глаза посторонним людям, и, следовательно, файлы журналов должны иметь соответствующие права доступа).
-console - Сообщения, обычно печатаемые на системной консоли, могут быть записаны в журнал при помощи этой категории.
-cron - Сообщения от системного планировщика. -daemon - Ловушка для сообщений от всех остальных
системных демонов, которые не имеют явно описанных категорий.
-ftp - При помощи этой категории вы сможете сконфигурировать ваш FTP сервер, что бы он записывал свои действия. Смотрите /etc/inetd.conf.
-kern - Сообщения от ядра.
-lpr - Сообщения от системы печати. -mail - Сообщения от почтовой системы.
-mark - Эта категория используется для того, что бы помещать в журнал сообщение каждые 20 минут. Она может быть полезна в комбинации с некоторыми другими журналами (например вы сможете узнать с 20-ти минутной точностью, когда же завис ваш сервер - прим. переводчика).
-news - Сообщения от сервера новостей.
-ntp - Сообщения от сервера точного времени.
-security - Сообщения от различных служб безопасности, таких как ipfw или ipf.
214
-syslog - Система журналирования может журналировать сообщения от самой себя. Только не пишите в журнал сообщение о том, что вы пишете в журнал сообщение от системы журналирования, иначе у вас закружится голова
-user - Предназначена для сбора разнообразных сообщений. Если вы не укажете категорию журналирования для программ пользователя, то они будут использовать эту категорию (более чем спорное утверждение - прим. переводчика).
-uucp - Собирает сообщения от UNIX-to-UNIX Copy Protocol. Это часть истории UNIX и вероятнее всего она вам никогда не понадобится (хотя до сих пор определенная часть почтовых сообщений доставляется через UUCP - прим. переводчика).
-local0 - local7 - Зарезервированные категории для использования администратором системы. Многие программы дают возможность указать категорию журналирования, если ваша программа это позволяет, выбирайте одну из них.
Большинство систем записывают далеко не все, что сообщают их программы - зачастую незначительные сообщения отбрасываются, а записываются только важные события. Однако то, что кажется одному человеку незначительным, другому может показаться существенным. Здесь мы встречаемся с уровнями подробности сообщений.
FreeBSD предоставляет восемь уровней важности сообщений. С их помощью, вы можете сообщить syslog, что записывать в журнал, а что отбросить. Вот эти уровни, в порядке уменьшения важности:
-emerg - Система в панике. Сообщения немедленно выводятся на все активные терминалы. Система обычно накрывается медным тазом, или остается чрезвычайно, чрезвычайно нестабильной. Продолжение работы невозможно.
-alert - Это плохо, но не настолько плохо как уровень emerg. Система может продолжить работу, но эту ошибку следует устранить немедленно.
-crit - Это критические ошибки, такие как проблемы с
215
аппаратным обеспечением или серьезные нарушения работы программного обеспечения. Если ваш жесткий диск содержит плохие блоки, они проявятся в виде критических ошибок. Если вы очень смелый, попробуйте продолжить работу.
-err - Разнообразные ошибки. Это скверно, такие ошибки должны быть устранены, но они не разрушат вашу систему.
-warning - Разнообразные предупреждения.
-notice - Общая информация, которая должна быть записана, если она вам нужна, но вероятно она не потребует вашей реакции.
-info - Различная системная информация.
-debug - Этот уровень обычно используется программистами и иногда системными администраторами, которые пытаются понять - почему же эта программа так поступает? Отладочные сообщения могут содержать всю информацию, которую счел необходимым вывести ее разработчик для отладки кода; между прочим, она может содержать данные, нарушающие приватность ваших пользователей.
-none - Это специальный уровень означающий - 'ничего не записывать в данной категории'. Он обычно применяется для исключения информации из групповых записей.
Описание правила отбора источника информации включает в себя категорию и уровень детализации, разделенные точкой. Когда вы указываете уровень, по умолчанию в журнал записываются сообщения, уровень которых выше или равен указанному.
Права доступа к файлам Важно убедиться, что ваши системные файлы закрыты
для случайного редактирования пользователями и группами, которые не должны выполнять таких действий.
UNIX разделяет контроль доступа к файлам и каталогам по трем принадлежностям: владелец, группа, все остальные. Существует всегда один владелец, любое количество членов группы и еще все остальные.
Быстрое объяснение прав доступа в unix:
216