Защита реестра в операционной системе Windows XP2000
..pdfМинистерство образования Российской Федерации
УФИМСКИЙ ГОСУДАРСТВЕННЫЙ АВИАЦИОННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ
Кафедра вычислительной техники и защиты информации
ЗАЩИТА РЕЕСТРА В ОПЕРАЦИОННОЙ СИСТЕМЕ
WINDOWS 2000/XP
МЕТОДИЧЕСКИЕ УКАЗАНИЯ
к лабораторной работе по курсам "Защита информационных процессов в компьютерных системах", «Методы и средства защиты компьютерной информации»
УФА 2003
Составитель: В.Е.Кладов
УДК 004.056.53
Защита реестра в операционной системе Windows XP/2000. Методические указания к лабораторной работе по курсам "Защита информационных процессов в компьютерных системах" , «Методы и средства защиты компьютерной информации» / Уфимск. гос. авиац. техн. ун-т.; Cост. В.Е.Кладов. – Уфа, 2003. - 23 с.
Рассматриваются структура реестра, редактор реестра, разрешения на доступ к разделам реестра, аудит реестра. Предназначены для студентов специальности 220600 - Организация и технологии защиты информации , 220100 – Вычислительные машины, комплексы и системы, 075400 – Комплексная защита объектов информатизации и направления 522800 – Информатика и вычислительная техника.
Библиогр.: 3 назв.
Рецензенты : Валеев С.С. Нугаев Р.Р
3 |
|
Содержание |
|
1 Цель работы............................................................................................. |
4 |
2 Теоретическая часть............................................................................... |
4 |
2.1 Структура реестра.............................................................................. |
4 |
2.2 Редактор реестра................................................................................ |
5 |
2.3 Разрешения на доступ к разделам реестра ..................................... |
6 |
2.4 Аудит реестра ..................................................................................... |
8 |
2.5 Дополнительные средства работы с реестром.............................. |
10 |
2.5.1 Registry Backup (Regback).......................................................... |
10 |
2.5.2 Registry Restoration (REGREST) ................................................ |
11 |
2.5.3 Regfind ........................................................................................ |
11 |
2.5.4 Regdmp ........................................................................................ |
11 |
2.5.5 Registry Change by Script (RegIni) ............................................. |
12 |
2.5.6 Regentry.chm ............................................................................... |
12 |
2.5.7.Compreg....................................................................................... |
12 |
2.5.8 ScanReg....................................................................................... |
12 |
2.6.9 DumpReg .................................................................................... |
12 |
2.6.8 RegAdmin..................................................................................... |
14 |
2.6.10 ERDisk....................................................................................... |
15 |
2.6.11 MultiReg ..................................................................................... |
19 |
3 Порядок выполнения работы................................................................ |
20 |
4 Требования к отчету.............................................................................. |
21 |
5 Контрольные вопросы........................................................................... |
21 |
Список литературы.................................................................................... |
22 |
4
ЛАБОРАТОРНАЯ РАБОТА
ЗАЩИТА РЕЕСТРА В ОПЕРАЦИОННЫХ СИСТЕМАХ
WINDOWS 2000/XP
1 Цель работы
Целью работы является знакомство с реестром сетевых опера-
ционных систем Windows 2000/XP.
2 Теоретическая часть
2.1 Структура реестра
Реестр имеет иерархическую древовидную структуру (рис.1). На ее верхнем уровне располагаются так называемые ветви (subtrees), основными из которых являются:
HKEY_LOCAL_MACHINE;
HKEY_USERS.
Остальные ветви представляют собой их подразделы и служат для более быстрого доступа к ним:
HKEY_CLASSES_ROOT;
HKEY_GURRENT_CONFIG;
HKEY_CURRENT_USER.
Рис.1
Реестр формируется в памяти компьютера при запуске Windows 2000/XP на основе нескольких файлов из папки \winnt\System32\Config (рис.2).
Разделы реестра, которым соответствуют эти файлы, называются кустами (hives). Основные кусты реестра находятся в ветви
HKEY_LOCAL MACHINE и называются SAM, SECURITY, S0FTWARE и SYSTEM. Раздел SAM — база данных диспетчера учетных записей, a SECURITY хранит информацию, используемую LSA. В кусте SOFTWARE хранятся настройки программного обеспечения, а в SYSTEM — конфигурационная информация (параметры драйверов и служб), необходимая для загрузки 2000/XP.
5
Рис.2
Раздел HARDWARE ветви HKEY_LOCAL MACHINE не является кустом, поскольку его информация не сохраняется в файлах, а формируется заново при каждом запуске операционной системы (ОС).
Целостность данных реестра в процессе их модификации обеспечивает механизм, основанный на применении журналов транзакций. Любое изменение, вносимое в реестр, вначале фиксируется в журнале (для этого у каждого из кустов существует свой отдельный файл с расширением LOG) и только затем переносится в файл соответствующего куста. Такой механизм позволяет предотвратить повреждение информации, если в момент ее модификации происходит аппаратный сбой. При следующем запуске ОС основе анализа журналов транзакций определяется, какие изменения на момент сбоя были завершены, а какие
— нет. Первые записываются в файл, соответствующий нужному кусту реестра, вторые – просто удаляются из журнала.
Кроме ветви HKEY_LOCAL_MACHINE, в которой находится информация, относящаяся ко всему компьютеру с Windows 2000/XP в целом, в реестре есть ветвь HKEY USERS, где хранятся профили пользователей.
2.2 Редактор реестра
Разделы и подразделы реестра защищаются аналогично папкам на дисках NTFS. Настройка параметров системы безопасности для разделов реестра в Windows 2000 осуществляется с помощью программы REGEDT32 через ее пункт «Разрешения» меню «Безопасность».
В Windows2000, как и Windows NT программа REGEDIT не имеет средств работы с информацией о безопасности, хотя имеет более развитые средства поиска.
6
В Windows XP осталась лишь общая программа редактора реестра regedit. Пункт «Разрешения» перенесен в меню «Правка».
2.3 Разрешения на доступ к разделам реестра
Для каждого раздела и подраздела создается отдельный объект со своим отдельным ACL (DACL и SACL). У каждого раздела реестра есть владелец (owner) – либо конкретный пользователь, либо группа
Administrators или операционная система (Owner - SYSTEM).
Возможны следующие стандартные разрешения на доступ к раз-
делу:
читать;
полный доступ;
ВWindows XP в списке стандартных разрешений в явной форме появились особые разрешения (рис. 3).
Рис.3 При нажатии в окне «Разрешения» кнопки дополнительно можно
просмотреть полный дискреционный список контроля доступа DACL (рис. 4).
7
Рис.4 Нажав кнопку «Добавить» или выбрав одну из записей списка и
нажав «Изменить» можно задать особые разрешения (рис. 5).
Рис.5
8
В этом окне могут быть выборочно установлены права доступа к соответствующему разделу, приведенные в таблице.1
|
Табл.1 |
Право доступа |
Возможности |
Запрос значения |
Чтение значения параметров раздела, времени |
|
последнего изменения параметров раздела |
Задание значения |
Запись в раздел новых параметров, изменение |
|
значения существующих |
Создание подраздела |
Создание подраздел в данном разделе |
Перебор подразделов |
Просмотр списка подразделов |
Уведомление |
Получение оповещения об изменениях в дан- |
|
ном разделе |
Создание связи |
Создание в разделе символической ссылки на |
|
другой раздел |
|
|
Удаление |
Удаление раздела целиком или отдельных его |
|
параметров |
Запись DAC |
Изменение список прав доступа к разделу |
Смена владельца |
Стать владельцем раздела |
Чтение разрешений |
Просмотр информации о разрешениях на дос- |
|
туп к разделу |
Разрешения на доступ к разделам реестра, установленные в системе Windows 2000/XP по умолчанию, не позволяют обычным пользователям модифицировать его части, наиболее важные для функционирования самой операционной системы, ее системы безопасности и большинства приложении. Некоторые разделы ветви HKEY LOCAL MACHINE, в частности SAМ и SECURITY, по умолчанию недоступны для просмотра и модификации даже администратору (хотя последний может просмотреть и изменить ACL к ним).
2.4 Аудит реестра
Вначале надо проверить, включен ли в политике безопасности аудит доступа к объектам.
Для регистрации событий, связанных с доступом к тому или иному разделу реестра, в частности HKEY_LOCAL MACHINE\SECURITY и \SAM, надо внести соответствующие записи в SACL к нужному разделу. Для этого в листе «Дополнительные параметры безопасности» (рис. 6) выбрать лист «Аудит» и нажать кнопку «Добавить» или «Изменить».
9
Рис.6
и в окне элемент аудита произвести настройку записи аудита (ACE) (рис.7)
Рис.7
10
Для указанных разделов рекомендуется установить аудит на успешное или неуспешное выполнение таких действий, как «Запрос зна-
чения (Query Value)», «Задание значения (Set Value)», «Запись DAC (Write DAC)» и «Чтение разрешений (Read Control)» для всех пользователей, обладающих административными полномочиями в системе. Можно это сделать и для группы Все (Everyone), но тогда количество записей аудита в журнале безопасности будет больше. Чтобы отслеживать только изменения, можно не следить за событиями типов «Запрос значения (Query Value)» и «Чтение разрешений (Read Control)».
В качестве стартового раздела при выполнении этой операции лучше выбрать SECURITY, поскольку он, кроме всего прочего, включает символическую ссылку на раздел SAM. Таким образом, администратор может проставить нужные параметры аудита для двух указанных разделов одновременно (обратите внимание на установленный флажок «Разрешение аудита для существующих подразделов (Audit Permissions оn Existing Subkeys) »).
Администратор Windows NT по умолчанию не имеет права просматривать и модифицировать информацию о безопасности системы, хранящуюся в реестре (разделы SAM и SECURITY) и не имеет возможности изменять и SACL к этим разделам, т. е. устанавливать для них режим аудита. Поэтому предварительно администратору необходимо изменить права доступа к разделам SAM и SECURITY.
После настройки аудита реестра информация о чтении и модификации параметров соответствующих разделов будет появляться в журнале безопасности Windows NT. При этом следует учитывать что количество записей о событиях категории Object Access может быть довольно велико. Системный администратор должен периодически просматривать и анализировать записи аудита, в том числе те, что относятся к событиям доступа к тому или иному разделу реестра.
2.5 Дополнительные средства работы с реестром
2.5.1 Registry Backup (Regback)
Утилита Regback входит в состав 2000 Resource Kit , обеспечивает резервное копирование кустов реестра Windows NT, используется в паре с программой REGREST.EXE. Утилита архивирует указанный раздел (по умолчанию все) реестра в указанный файл.
Для использования программы требуется привилегия архивирования файлов и каталогов.
Синтаксис команды:
regback [<имя файла>] [<имя ветви >] [<имя подраздела ветви>] [/?].