Bezpecnost operacn - PowerPoint PPT Presentation

About This Presentation
Title:

Bezpecnost operacn

Description:

Typick privil gi s : backup files and directories, generate secuirty audits, ... enable computer and user accounts to be trusted for delegation, ... – PowerPoint PPT presentation

Number of Views:42
Avg rating:3.0/5.0
Slides: 32
Provided by: lhu54
Category:

less

Transcript and Presenter's Notes

Title: Bezpecnost operacn


1
Bezpecnost operacného systému Windows
  • Doc. Ing. Ladislav Hudec, CSc.

1
2
Riadenie prístupu k objektom
  • Ochrana všeobecných objektov v pocítacovom
    systéme. Existuje niekolko komplementárnych
    cielov v ochrane objektov.
  • Kontrola každého prístupu ak subjekt mal
    prístup k objektu, neznamená to, že ho bude mat
    stále. Je potrebné zariadit, aby po zmene
    prístupových práv subjektu, sa táto zmena
    uplatnila okamžite.
  • Povolenie najnižších privilégií subjekt by mal
    mat prístup k najmenšiemu poctu objektov
    potrebných na vykonanie úlohy. Nepovolením
    prístupu k nepotrebným objektom sa chránime proti
    slabinám v bezpecnosti v prípade, že cast
    bezpecnostných mechanizmov by zlyhala.
  • Verifikácia akceptovatelného použitia schopnost
    pristúpit je rozhodnutie binárne áno-nie. Dalším
    záujmom môže byt kontrola, ci aktivita subjektu
    nad objektom je vhodná. Napríklad prístup procesu
    k údajovej štruktúre zásobník.

2
3
Bezpecnostné charakteristiky štandardných
operacných systémov
  • Základné úlohy operacného systému pocítaca
  • Správa prostriedkov pocítacového systému
    procesor, hlavná pamät, diskový priestor, vstupno
    výstupné zariadenia, atd.
  • Poskytovanie služieb používatelom súborový
    systém, ovládace vstupno výstupných zariadení,
    sietová komunikácia, editori, systémové hodiny,
    atd.
  • Bezpecnostné charakteristiky štandardných
    operacných systémov
  • Autentifikácia používatela OS musí
    identifikovat a autentifikovat každého
    používatela a až potom môže umožnit prístup k
    svojim zdrojom podla jeho autorizácie
  • Ochrana pamäti každý používatelský program sa
    musí vykonávat v casti pamäti chránenej proti
    neoprávneným prístupom
  • Riadenie prístupu k súborom a vstupno výstupným
    zariadeniam OS chráni systémové a používatelské
    súbory pred neoprávnenými prístupmi, tak isto
    chráni aj vstupno výstupné zariadenia
  • Alokácia a riadenie prístupu k všeobecným
    objektom pridelovanie procesora, hlavnej
    pamäti, synchronizacné mechanizmy, konštrukcie na
    podporu súbežného spracovania
  • Presadzovanie zdielania (spolocného používania)
    zdroje musia byt prístupné používatelovi podla
    potreby. Zdielanie prináša potrebu garantovania
    integrity a konzistencie.
  • Garancia férových služieb všetci používatelia
    ocakávajú využívanie procesora a ostatných
    služieb tak, že každý z nich bude obslúžený (bez
    starvácie). Zabezpecujú to systémové hodiny a
    plánovacie disciplíny.

3
4
Bezpecnostné charakteristiky štandardných
operacných systémov
  • Bezpecnostné charakteristiky štandardných
    operacných systémov
  • Medziprocesová komunikácia a synchronizácia
    vykonávajúce sa procesy potrebujú medzi sebou
    komunikovat alebo synchronizovat prístup k
    spolocným prostriedkom. Tieto služby zabezpecuje
    operacný systém a slúži ako most medzi procesmi.
  • Ochrana bezpecnostných údajov operacného systému
    operacný systém musí spravovat údaje,
    prostredníctvom ktorých presadzuje bezpecnost. Ak
    by tieto údaje neboli chránené proti
    neoprávnenému prístupu (cítanie, zápis,
    zrušenie), potom OS by nedokázal presadzovat
    bezpecnost.

4
5
Bezpecnostné charakteristiky dôveryhodných
operacných systémov
  • V com spocíva dôveryhodnost operacného systému?
    Jeho podstata je v rešpektovaní pravidiel
    špecifikácie, návrhu a implementácie
  • Bezpecnostná politika súbor bezpecnostných
    požiadaviek ako množina dobre definovaných,
    konzistentných a implementovatelných pravidiel.
    Pravidlá musia byt vyjadrené jasne a
    nedvojzmyselne.
  • Bezpecnostný model predtým ako návrhár zacne
    vytvárat dôveryhodný OS musí byt presvedcený, že
    navrhnutý systém bude splnovat jeho požiadavky.
    Vytvorí si model prostredia, ktoré bude chránené
    a študuje rôzne spôsoby na zaistenie bezpecnosti.
    Model je v skutocnosti reprezentácia
    bezpecnostnej politiky.
  • Návrh po vybratí bezpecnostného modelu si musí
    návrhár vybrat prostriedky na implementáciu
    modelu
  • Dôvera OS hrá centrálnu úlohu pri bezpecnosti.
    Návrhár musí mat nástroje, aby sa ubezpecil, že
    OS splnuje jeho požiadavky. Dôvera je založená na
    dvoch aspektoch
  • Vlastnostiach OS OS má všetky funkcionality
    potrebné na zaistenie ocakávanej bezpecnostnej
    politiky
  • Záruky že OS bol implementovaný takým spôsobom,
    že máme dôveru zaistenia bezpecnostnej politiky
  • Bolo vyvinutých viacero bezpecných (aj
    dôveryhodných?) OS, viacero sa stále ešte vyvíja.
    Niektoré bezpecné OS boli originálne navrhnuté
    pre bezpecnost, iným boli iba dorábané
    bezpecnostné charakteristiky dodatocne.

5
6
Bezpecnostné charakteristiky dôveryhodných
operacných systémov
  • Bezpecnostné charakteristiky dôveryhodných
    operacných systémov
  • Identifikácia a autentifikácia používatela
    dôveryhodný OS vyžaduje IA všetkých používatelov
  • Špecifikovanie politiky riadenia prístupu
    dôveryhodný OS musí mat špecifikovanú politiku
    riadenia prístupu, napríklad MAC alebo DAC.
    Principiálne obe politiky môžu byt aplikované
    súcasne, MAC má potom prednost pred DAC (pre DAC
    sú oprávnené iba tie subjekty, ktoré vyhovujú
    MAC).
  • Ochrana opakovaného použitia prostriedku pred
    opakovaným použitím prostriedku je nevyhnutné z
    prostriedku odstránit všetky údaje, ktoré by
    mohol nový používatel (útocník) vycítat a
    zneužit. Napríklad pri alokácii diskového
    priestoru pre nový súbor môže tento alokovaný
    priestor obsahovat údaje zo starého nie bezpecne
    zrušeného súboru. Podobne je to s hlavnou
    pamätou, registrami procesora, cache, atd.
  • Úplné sprostredkovanie aby politika riadenia
    prístupu fungovala efektívne, je nevyhnutné, aby
    všetky prístupy boli riadené. Je nedostatocné
    riadit prístup iba k súborom, ked útocník získa
    prístup cez pamät alebo vonkajší port alebo siet
    alebo skrytý kanál.
  • Dôveryhodná cesta OS musí mat spôsob ako
    zaistit, že sa používajú nespochybnitelné zdroje.
    Napríklad skutocný prihlasovací modul a nie
    podvrhnutý Trójsky kôn na odchytávanie mena a
    hesla používatela.

6
7
Bezpecnostné charakteristiky dôveryhodných
operacných systémov
  • Bezpecnostné charakteristiky dôveryhodných
    operacných systémov
  • Úctovatelnost a audit bezpecnostne dôležité
    akcie môžu byt jednoduché (prístup k súboru) ale
    aj zložitejšie (zmena v centrálnej databáze
    riadenia prístupu). Úctovatelnost vyjadruje
    schopnost systému sledovat bezpecnostne dôležité
    udalosti, ktoré v systéme nastali a identifikovat
    subjekt, ktorý tieto udalosti spôsobil a je za ne
    zodpovedný. Záznamom týchto udalostí sa hovorí
    auditné záznamy. Auditné záznamy musia byt
    chránené.
  • Redukcia auditného záznamu centrálny problém
    auditných záznamov je jeho objem a analýza.
    Jedným extrémom je, že do auditného záznamu sa
    ukladajú informácie o všetkých elementárnych
    aktivitách subjektov, to však vedie k enormnému
    objemu záznamu. Vo väcšine dôveryhodných OS je
    auditované napríklad iba prvý prístup k súboru
    (otvorenie) a zatvorenie súboru alebo podobných
    objektov. Problém analýzy auditného záznamu je
    hladanie ihly v kope sena. Niektoré dôveryhodné
    OS vykonávajú redukciu auditných záznamov.
  • Detekcia prieniku je založená na sledovaní
    abnormálnych vzorov vo využívaní objektov.
    Problém je stanovit co je abnormálny vzor?.

7
8
Architektúra systému Windows
  • OS Windows 2000 so Service Pack 3 je
    certifikovaný na bezpecnostnú úroven EAL4
    (Evaluation Assurance Level, podla ISO/IEC 15408)
  • OS pracuje v dvoch režimoch (podobne ako UNIX)
  • Používatelský režim (user mode) typicky v
    chránenom okruhu 3 (najnižšom)
  • Režim kernel (kernel mode) typicky v chránenom
    okruhu 0 (najvyššom).
  • Vrstva Hardware Abstraction Layer (HAL) poskytuje
    interfejs OS na hardvér.
  • Hlavné služby OS vrátane Windows executive sa
    vykonávajú v režime kernel. Executive tiež
    zahrnuje Bezpecnostný referencný monitor
    (Security Reference Monitor - SRM), ktorý je
    zodpovedný za riadenie prístupu.
  • Používatelský program prostredníctvom API
    (Application Program Interface) vykonáva volania
    služieb OS. Prepínanie kontextu a prechod z
    okruhu 3 do okruhu 0 je zabezpecený procedúrou
    Local procedure Call facilities.
  • Ovládace zariadení (casto ovládace tretej strany)
    sa vykonávajú v režime kernel. Ovládace tretích
    strán môžu mat bezpecnostné problémy (napr.
    pretecenie vyrovnávacej pamäti), co môže využit
    útocník napr. na získanie plnej kontroly OS.

8
9
Architektúra systému Windows
  • V používatelskom režime sa vykonávajú tieto
    komponenty bezpecnostného subsystému
  • Proces log-on (winlogon) proces autentifikujúci
    používatela pri prihlasovaní sa
  • Lokálna bezpecnostná autorita (LSA - Local
    Security Authority) je zahrnutý do
    prihlasovania sa pri kontrole používatelovho
    konta a vytvára access token (prístupový token),
    je zodpovedný tiež za funkcie auditovania
  • Bezpecnostný manažér kont (SAM - Security Account
    Manager) udržuje databázu používatelských kont,
    ktorú používa LSA pri autentifikácii používatela
    pri lokálnom prihlásení
  • V SAM sú uložené hašované hodnoty hesiel, navyše
    databáza hašovaných hesiel je zašifrovaná.

9
10
Architektúra systému Windows
10
11
Registry
  • Registry je centrálna databáza pre konfiguracné
    údaje OS.
  • Položky databázy sa nazývajú keys (klúce, pozor
    nie šifrovacie!)
  • Pomocou Registry Editor (regedit.exe,
    regedt32.exe) je možné modifikovat databázu a
    zobrazovat položky
  • Na najvyššej úrovni má registry pät dôležitých
    preddefinovaných klúcov
  • HKEY_CLASSES_ROOT obsahuje asociáciu na názov
    rozšírenia súboru, je možné špecifikovat, že .doc
    súbory budú spracovávané MS Wordom
  • HKEY_CURRENT_USER obsahuje konfiguracné údaje
    práve prihláseného používatela
  • HKEY_LOCAL_MACHINE obsahuje konfiguracné údaje
    o lokálnom stroji
  • HKEY_USERS obsahuje všetky aktívne zavedené
    používatelské profily na systéme
  • HKEY_CURRENT_CONFIG obsahuje informácie o
    hardvérovom profile používanom na lokálnom stroji
    pri štartovaní systému
  • Registry hniezdo (Registry hive) - je skupina
    klúcov, subklúcov a hodnôt v registry.
    Bezpecnostne relevantné hniezda sú
  • HKEY_LOCAL_MACHINE\SAM
  • HKEY_LOCAL_MACHINE\Security
  • HKEY_LOCAL_MACHINE\Software
  • HKEY_CURRENT_CONFIG
  • HKEY_USERS \DEFAULT

11
12
Registry
  • Pomocou registry môže byt systém ušitý na mieru
    používatelovým požiadavkám a môžu byt nastavené
    preddefinované ochrany.
  • Modifikovaním klúcov registry môže útocník
    modifikovat správanie OS
  • Klúc z registry môže ukazovat na lokáciu (path
    cesta), kde OS automaticky hladá urcité
    vykonatelné súbory
  • Ak nastavené prístupové práva k tomuto klúcu sú
    slabé (prístup zápisu pre Everyone), potom
    útocník môže modifikovaním klúca vložit škodlivý
    kód
  • Je absolútna nevyhnutnost chránit integritu
    údajov registry
  • Odstránenie editora registry zo všetkých strojov,
    ktoré nie sú používané na manažment systému, je
    dobrá bezpecnostná prax.
  • Niektoré bezpecnostne relevantné klúce dokonca
    nie je možné zmenit editorom registri, ale iba
    špecifickou utilitou.

12
13
Doména
  • Samostojacie pocítace s OS Windows sú zvycajne
    administrované lokálne svojimi používatelmi. Vo
    väcšej organizácii je dôležité používanie
    štruktúrovanejšieho prístup manažmentu systémov a
    manažmentu bezpecnosti.
  • OS Windows 2000 používa doménu na podporu single
    sign-on a na centrálnu administráciu bezpecnosti.
  • Doména je súbor strojov zdielajúcich spolocnú
    databázu používatelských kont a bezpecnostnú
    politiku
  • Domény môžu vytvárat hierarchiu
  • Používatelia nepotrebujú kontá na individuálnych
    strojoch v rámci domény
  • V doméne jeden server je v úlohe doménového
    kontroléra (DC - Domain Controller)
  • Ostatné pocítace sú potom pripojené k doméne
  • Doménový administrátori vytvárajú a spravujú
    doménových používatelov a skupiny na DC
  • DC autorita má informáciu o používatelských
    heslách a môže fungovat ako dôveryhodná tretia
    strana v prípade, že sa používatel autentifikuje
    pri prístupe do inej entity.
  • Doména môže mat viac než jeden DC. Aktualizácie
    sa môžu vykonat na lubovolnom DC a sú prenášané
    na všetky DC v doméne (je aplikovaná koncepcia
    decentralizácia služieb pri spravovaní a
    prevádzke domény z dôvodov dosiahnutia vyššej
    výkonnosti).

13
14
Active Directory
  • Adresárová služba OS Windows 2000 organizuje
    objekty v rámci Active Directory
  • Active Directory môže byt zobrazený ako strom
    typových objektov
  • Kontajnery (containers) sú objekty, ktoré môžu
    obsahovat dalšie objekty
  • Active Directory môže byt dynamicky rozširovaný
    pridaním nových objektov alebo pridaním nových
    vlastností existujúcim objektovým typom
    (objektové typy môžu byt ušité na mieru
    konkrétnym požiadavkám používatela)
  • Každý objektový typ má špecifické vlastnosti a
    jedinecné GUID (Globally Unique IDentifier). To
    znamená, že každá vlastnost má svoje vlastné
    GUID.
  • Nižšie je objekt zamestnanec s vlastnostami Name,
    Email, Address, Room a objekt tlaciaren s
    vlastnostami Mode a Room
  • Logicky príbuzné objekty odlišných typov môžu byt
    umiestnené v tom istom kontajneri, co je výhodné
    z hladiska spravovania zdrojov organizácie,
    pretože nie je potrebná odlišná štruktúra pre
    odlišné typy objektov a pretože je možné použit
    adresárovú štruktúru na definovanie všeobecných
    prístupových politík pre kontajnery a ponechat
    objektom v kontajneri zdedit politiku.

14
15
Riadenie prístupu - komponenty
  • Riadenie prístupu v OS Windows je komplexnejšie
    než je riadenie prístupu v typickom súborovom
    systéme (objekty sú súbory, klúce registry,
    objekty Active Directory, atd).
  • Nástroje na štruktúrovanie politík riadenia
    prístupu vo Windows 2000 sú skupiny, role a
    dedenie.
  • Principals (pomenované subjekty) v OS sú lokálny
    používatel, alias, doménový používatel, skupina
    alebo stroj.
  • Subjekty (principals) majú cloveku zrozumitelné
    meno (username) a stroju zrozumitelné meno SID
    (Security IDentifier)
  • Používatel vytvorený LSA je lokálny používatel
  • Lokálne subjekty sú administrované lokálne a sú
    viditelné iba lokálnemu stroju (operacnému
    systému stroja a lokálnym používatelom). Lokálne
    subjekty a aliasy môžu byt zobrazené z
    príkazového riadku príkazmi net user respektíve
    net localgroup
  • Doménoví používatelia sú administrovaní
    doménovými administrátormi (domain admins -
    alias) na doménovom kontroléry a sú viditelní
    všetkým strojmi v doméne
  • Existuje tiež univerzálny subjekt (principal),
    napríklad Everyone alias
  • Informácie o subjektoch sú uložené v profiloch
    kont a používatelských profiloch. Lokálne kontá
    sú v Registry (HKEY_USERS). Doménové kontá sú na
    DC, ale sú lokálne cachované. Používatelský
    profil je uložený v súborovom systéme \Documents
    and Settings\

15
16
Riadenie prístupu - komponenty
  • SID je individuálny subjekt (principal). Globálna
    skupina je súbor SIDov spravovaných DC. Skupina
    má tiež svoje vlastné skupinové SID skupiny
    môžu byt vnorené. Clen skupiny môže využívat
    privilégiá alebo oprávnenia dané skupine.
    (Skupina vytvára medzilahlú - prechodnú vrstvu
    riadenia.)
  • Oprávnenia objektu sú pridelené skupine
  • Používatelia dostanú prístup k objektom tým, že
    sa stanú clenovia tejto skupiny
  • Alias (lokálna skupina) je súbor používatelských
    a skupinových SID spravovaných DC alebo lokálne
    LSA.
  • Aliasy nemôžu byt vnorené
  • Aliasy sú použité na implementáciu logických rolí
  • Vývojár aplikácie môže referovat alias Student. V
    case vytvorenia je tomuto aliasu pridelené
    odpovedajúce SID.
  • Bezpecnostný identifikátor (SID) je konštruovaný
    pri vytváraní používatelského úctu a je nemenný
    pocas celého trvania konta.
  • Formát SID je S-R-I-SA-SA-SA-N, kde S písmeno
    S, R císlo revízie (teraz 1), I identifikátor
    autority (48 bitov), SA subautorita (32 bitov),
    N relatívny identifikátor, jedinecný v mennom
    priestore autority.

16
17
Riadenie prístupu - komponenty
  • Príklady SID
  • Everyone (World) S-1-1-0
  • SYSTEM S-1-5-18, operacný systém na stroji beží
    lokálne ako S-1-5-18, ostatným strojom v doméne
    je stroj známy pod iným doménovo špecifickým SID
  • Administrator S-1-5-21-ltlocal authoritygt-500,
    používatelské konto vytvorené pocas inštalácie
    operacného systému
  • Administrators S-1-5-32-544, vstavaná skupina s
    privilégiami administrátora, iniciálne obsahuje
    iba konto Administrator
  • Domain Admins S-1-5-21-ltdomain authoritygt-512,
    globálna skupina, ktorá je clenom aliasu
    Administrator na všetkých strojoch v doméne
  • Guest S-1-5-21-ltauthoritygt-501, pole ltauthoritygt
    je 96 bitový jedinecný identifikátor domény alebo
    stroja, ktorý sa vytvorí pri inštalácii
    operacného systému alebo domény.
  • Charakteristika SID
  • Ak sa konto zruší a vytvorí sa konto s tými
    istými parametrami vytvorí sa iné nové SID
    (novému kontu nezostanú prístupové oprávnenia
    starého konta)
  • Ked sa vytvorí doména, vytvorí sa aj jedinecné
    SID pre túto doménu
  • Ked sa pracovná stanica alebo server pripojí k
    doméne, obdrží SID, ktoré zahrnuje doménové SID.
  • Stroje používajú svoje SID na kontrolu, ci sú v
    tej istej doméne.
  • Vzhladom k tomu, že SID sa nedá zmenit,
    prenesenie DC stroja medzi doménami nie je
    triviálny administratívny proces. Stroj musí byt
    kompletne preinštalovaný a musí sa stat logicky
    novým strojom a obdržat nové SID a stat sa DC v
    novej doméne.

17
18
Riadenie prístupu - komponenty
  • Subjekty sú aktívne entity (nie principals) v
    operacnom systéme. V OS Windows 2000 subjekty sú
    Procesy a Vlákna.
  • Bezpecnostné doklady (credentials) procesu alebo
    vlákna sú uložené v prístupovom tokene (access
    token). Štruktúra prístupového tokenu obsahuje
  • User SID, Group and Alias SID slúži ako
    identifikacné a autorizacné atribúty
  • Privilégiá riadi prístup k systémovým zdrojom,
    obsahuje zjednotenie všetkých privilégií
    pridelené uvedeným SID
  • Prednastavenia pre nové objekty nový objekt
    získa prednastavenia podla rodicovského tokenu,
    token nezmení clenstvo a privilégia
  • Rôzne obsahuje logon session ID a ID tokenu.
  • Niektoré polia v tokene sú iba na cítanie, iné
    môžu byt modifikované. Nový proces získa kópiu
    rodicovského tokenu s prípadnými obmedzeniami.
    Token sa nezmení ani v prípade, že sa zruší
    clenstvo alebo privilégiá. Je to z dôvodu lepšej
    výkonnosti a spolahlivosti, pretože proces môže
    dopredu rozhodnút, ci má dostatocné prístupové
    práva pre danú úlohu.
  • Privilégiá riadia prístup k systémovým zdrojom.
  • Privilégium je jednoznacne identifikované jeho
    programovým menom
  • Privilégiá sú pridelené používatelom, skupinám a
    aliasom podla strojov
  • Privilégiá sú cachované v tokenoch (access tokeny
    pre procesy a vlákna) ako LUID (Locally Unique
    Identifiers)
  • Privilégiá sú iné ako prístupové práva. Typické
    privilégiá sú backup files and directories,
    generate secuirty audits, manage and audit
    security log, take ownership or files and other
    objects, bypass traverse checking, enable
    computer and user accounts to be trusted for
    delegation, shut down the system

18
19
Riadenie prístupu - komponenty
  • Autentizácia používatela interaktívny logon.
    Pužívatelia Windows sa môžu identifikovat a
    autentizovat prostredníctvom mena a hesla,
    prípadne iným podporovaným spôsobom, napríklad
    cipovou kartou.
  • Pred procesom prihlásenie (logon) používatel
    inicializuje stlacením CTRLALTDEL bezpecnú
    aktivacnú postupnost, ktorá vyvolá prihlasovaciu
    obrazovku operacného systému a zabezpecí
    dôveryhodnú cestu (trusted path) z klávesnice do
    procesu prihlasovania (winlogon.exe).
  • Dialóg login je generovaný GINA.DLL (Graphical
    Identification and Authentication Dynamic Link
    Library). Proces logon permenentne beží pod
    subjektom (principal) SYSTEM.
  • Windows ponúka možnost zobrazenia výstrahy s
    pripomenutím právnych následkov (legal notice)
    zneužitia systému. Používatel pred pokracovaním v
    prihlasovacej procedúre musí potvrdit akceptáciu
    tejto výstrahy.
  • Procedúra logon prevezme meno používatela a jeho
    heslo a odovzdá ich LSA (lsass.exe). Pri lokálnom
    logon procese LSA zavolá autentizacný balík,
    ktorý porovná meno používatela a jeho heslo
    oproti hodnotám uloženým v databáze kont. Ak
    príde k zhode, SAM vráti LSA používatelovo SID a
    SIDy skupín, do ktorých používatel patrí. Pri
    doménovom logon procese sa použije Kerberos a
    používatel je autentizovaný LSA na doménovom
    kontroléry (DC). Potom LSA vytvorí prístupový
    token, ktorý obsahuje používatelovo SID a jeho
    privilégiá a odovzdá token procesu logon.
  • Vytváranie subjektov a sietový logon.
  • V nasledujúcom kroku proces logon odštartuje
    shell (explorer.exe) v novej logon session pod
    identitou autentizovaného používatela (principal)
    a k tomuto procesu pripojí prístupový token. K
    danej logon session vytvorí shell procesy (vid
    nasledujúci obrázok). Tieto procesy sú subjekty
    pre úcely riadenia prístupu. Odhlásenie
    používatela zruší logon session a všetky procesy
    v tejto session.
  • Proces môže vytvorit nový lokálny proces
    (subjekt) volaním služby CreateProcess. Nový
    proces dostane kópiu rodicovského tokenu. Každý
    proces má svoj vlastný token. Rôzne procesy v
    rámci logon session môžu mat rôzne credentials
    (bezpecnostné doklady). Vláknam môžu byt dané
    rôzne tokeny.

19
20
Riadenie prístupu - komponenty
  • Vytváranie subjektov a sietový logon.
  • Používatelove sietové credentials (heslo) sú
    cachované v interaktívnej logon session. Procesy
    potom môžu vytvorit pre tohto používatela na
    ostatných strojoch sietový logon session. Sietový
    logon session zvycajne neponecháva credentials v
    cache. Vo Windows 2000 sú stroje subjekty
    (principals) a môžu mat strojové konto s heslom v
    doméne. To znamená, že DC môže tiež autentizovat
    stroje.

20
21
Riadenie prístupu - komponenty
  • Objekty sú pasívne entity v prístupových
    operáciách. OS Windows 2000 pozná
  • Vykonatelné objekty ako procesy a vlákna
  • Objekty súborového systému ako súbory alebo
    adresáre
  • Dalšími objektami sú klúce registry a zariadenia
    ako tlaciaren
  • Zaistitelné objekty majú bezpecnostný deskriptor
    (security descriptor). Pre vstavané objekty sú
    bezpecnostné deskriptory spravované OS. Pre
    privátne objekty musia byt bezpecnostné
    deskriptory spravované aplikacným softvérom.
  • Vytvorenie zaistitelného objektu je obtažná
    úloha, ale umožnuje vysoko granulované riadenie
    prístupu.
  • Bezpecnostný deskriptor má tieto položky
  • Owner SID indikuje vlastníka objektu. Objekty
    dostávajú vlastníka pri vytváraní. Vlastník je
    subjekt (principal), ktorý má vždy oprávnenia
    READ_CONTROL a WRITE_DAC. Vlastníctvo môže byt
    získané tiež prostredníctvom privilégií (Take
    ownership of files and other objects).
  • Primary group je zahrnutá k vôli kompatibilite
    so štandardom POSIX.
  • DACL Discretionary Access Control List urcuje
    komu je pridelený a komu je zamietnutý prístup k
    objektu.(Toto pole môže byt prázdne alebo nie je
    zriadené.)
  • SACL System Access Control List urcuje
    auditnú politiku pre objekt.
  • Oprávnenie je autorizácia na vykonanie urcitej
    operácie nad objektom.
  • Oprávnenia sú kódované v 32 bitovej maske.
  • Zobrazit oprávnenia pre súbor je možné kliknutím
    na File, potom na Properties a nakoniec na
    Security.

21
22
Riadenie prístupu - komponenty
  • Prístupové práva odpovedajú operáciam, ktoré môžu
    byt vykonané nad objektom. Štandardné prístupové
    práva, ktoré sú aplikovatelné na väcšinu objektov
  • DELETE zrušenie objektu
  • READ_CONTROL prístup cítania (bezpecnostného
    deskriptora) pre vlastníka, skupinu, DACL
  • WRITE_DAC prístup zápisu do DACL
  • WRITE_OWNER prístup zápisu vlastníkovi
  • SYNCHRONIZE umožnuje procesu cakat na objekt
    vstúpením do stavu signalizovaný.
  • V OS môžu byt ušité špecifické práva každej
    triede objektov.
  • Týmto spôsobom prístupové práva môžu byt
    adaptované na požiadavky aplikácie.
  • Návrhári by však mali vziat do úvahy aj mnoho
    špecifických práv (generické) poskytovaných
    systémom.
  • Generické prístupové práva sa používajú ako
    prechodná opisná úroven.
  • Každá trieda objektov má mapovanie z generických
    prístupových práv na reálne práva.
  • To znamená, že nie je potrebné si pamätat
    špecifické oprávnenia pre triedu.
  • Generické prístupové práva sú
  • GENERIC_READ
  • GENERIC_WRITE
  • GENERIC_EXECUTE
  • GENERIC_ALL

22
23
Riadenie prístupu - komponenty
  • Mapovanie generických prístupových práv pre
    súbory a adresáre
  • GENERIC_EXECUTE sa mapuje do
  • FILE_READ_ATTRIBUTES
  • STANDARD_RIGHTS_EXECUTE
  • SYNCHRONIZE
  • GENERIC_READ sa mapuje do
  • FILE_READ_ATTRIBUTES
  • FILE_READ_DATA
  • FILE_READ_EA
  • STANDARD_RIGHTS_READ
  • SYNCHRONIZE
  • GENERIC_WRITE sa mapuje do
  • FILE_APPEND_DATA
  • FILE_WRITE_ATTRIBUTES
  • FILE_ WRITE _DATA
  • FILE_ WRITE _EA
  • STANDARD_RIGHTS_ WRITE
  • SYNCHRONIZE

23
24
Rozhodnutie o prístupe
  • Každý objektový typ má manažéra objektu, ktorý
    rieši vytvorenie objektu a verifikuje ci proces
    má právo použit objekt.
  • Napríklad Active Directory je manažér objektu pre
    adresárové objekty.
  • Na riadenie prístupu zavolá objektový manažér
    funkciu rozhodnutia o prístupe, ktorá je
    implementovaná v SRM. Bod presadzovania politiky
    (policy enforcement point) a bod rozhodnutia o
    prístupe (policy decision point) ako súcasti SRM,
    vráti objektovému manažérovi odpoved áno/nie.
  • Rozhodnutie o riadení prístupu vo všeobecnosti
    berie do úvahy prístupové práva subjektu
    žiadajúceho prístup, pristupovaného objektu a
    požadované prístupové práva.
  • Nie vo všetkých prípadoch musia byt uvažované
    všetky tri skupiny parametrov.
  • Credentials subjektu vrátane používatela
    (principal) sú uložené v tokene. Bezpecnostné
    atribúty objektu sú uložené v jeho bezpecnostnom
    deskriptore. Požadovaná prístupová operácia je
    daná ako prístupová maska (32 bitová hodnota).
  • Riadenie prístupu vo Windows môže byt využité
    viacerými spôsobmi s rôznou úrovnou granularity a
    komplexnosti.
  • Riadenie prístupu založené na prístupe
    žiadajúceho používatela (principal) je známe ako
    impersonifikácia, pretože proces impersonifikuje
    používatelovo SID z jeho tokena. Toto je hrubá
    metóda, ale lahko implementovatelná.
    Impersonifikácia je typický koncept používaný
    operacnými systémami, ale nie je dostatocne dobrý
    na úrovni aplikácií.
  • Riadenie prístupu viazaného na roly (role-centric
    access) poskytuje procesom vhodné prístupové
    práva pre ich úlohy prostredníctvom používania
    skupín alebo aliasov. V riadení prístupu
    viazaného na objekty (object-centric access)
    objekty na úrovni aplikácií dostávajú
    bezpecnostný deskriptor. Táto metóda dovoluje
    riadenie prístupu jemnej granularity, ale súcasne
    umožnuje aj komplexnost.

24
25
Rozhodnutie o prístupe
  • DACL (Discretionary Access Control List) v
    bezpecnostnom deskriptore je zoznam položiek
    riadenia prístupu ACE (Access Control Entries).
    Formát ACE je takýto
  • Type pozitívny (udelenie) alebo negatívny
    (odmietnutie)
  • Flags
  • ObjectType
  • InheritedObjectType
  • Access rights
  • Principal SID principal the ACE applies to
  • Význam niektorých polí formátu
  • Pole Type urcuje ako by malo byt ACE použité
    mechanizmom riadenia prístupu. Type môže
    nadobúdat hodnoty ACCESS_ALLOWED_ACE,
    ACCESS_DENIED_ACE, ACCESS_ALLOWED_OBJECT_ACE
    (dovoluje prístup k objektu, vlastnosti, množine
    vlastností alebo rozšírenému právu) a
    ACCESS_DENIED_OBJECT_ACE (odmieta prístup k
    objektu, vlastnosti, množine vlastností alebo
    rozšírenému právu).
  • ObjectType je GUID definujúce objektový typ.
    Aplikácie teraz môžu zahrnút ObjectType objektu
    do svojich žiadostí o prístup. Pre danú žiadost
    budú vyhodnocované iba ACE s odpovedajúcim
    ObjectType alebo bez ObjectType. Napríklad na
    riadenie prístupu cítanie/zápis objektovej
    vlastnosti sa vloží GUID vlastnosti do
    ObjectType. Na riadenie prístupu
    vytvorenie/vymazanie objektov sa dá GUID
    objektového typu do ObjectType.
  • Nasledujúci príklad je ACE pre webový adresár,
    ktorý udeluje používatelom povolenie nastavit
    svoju vlastnú domovskú stránku. Táto politika sa
    aplikuje na všetkých používatelov , t.j. použije
    sa SID PRINCIPAL_SELF. Aplikácia vytvárajúca
    domovskú stránku pri zadávaní žiadosti o prístup
    použije aktuálne SID používatela.

25
26
Rozhodnutie o prístupe
ACE1 Type ACCESS_ALLOWED_OBJECT_ACE Access
rights write Principal SID PRINCIPAL_SELF Inhe
ritedObectType GUID for User Account
objects ObjectType GUID for web homepage
  • V dalšom príklade ACE dovoluje aplikácii Server
    Application vytvorit koncový bod RPC v lubovolnom
    kontajneri typu RPC Services. Toto ACE bude
    dedené každým kontajnerom typu RPC Services.

ACE2 Type ACCESS_ALLOWED_OBJECT_ACE Access
rights create child Principal SID Server
Applications InheritedObectType GUID for RPC
Services ObjectType GUID for RPC Endpoint
26
27
Rozhodnutie o prístupe
  • Množiny vlastností (Property sets)
  • Na zjednodušenie administrácie je možné pozbierat
    vlastnosti objektového typu do množín vlastností.
    Namiesto ACE pre všetky vlastnosti objektového
    typu potrebujeme iba jednu položku ACE, ktorá
    odpovedá množine vlastností.
  • Množina vlastností je identifikovaná svojim GUID.
  • V prípade žiadosti o prístup je referencnému
    monitoru postúpený zoznam vlastností (v jednom
    ACE) a jedna kontrola množiny vlastností vráti
    výsledok pre každú vlastnost.
  • Dalšou výhodou je, že zmeny vlastností
    objektového typu nevyvolajú zmenu ACL.
  • Rozhodovací algoritmus. V prípade, že subjekt
    žiada o prístup k objektu modul SRM na urcenie ci
    požadovaný prístup môže byt udelený zoberie token
    subjektu a ACL objektu a masku požadovaného
    prístupu.
  • SRM ako prvé kontroluje, ci existuje DACL. Ak
    DACL neexistuje (situácia sa nazýva NULL DACL)
    dalšia kontrola sa nevykonáva a prístup je
    udelený.
  • V opacnom prípade (DACL nie je NULL DACL)
    algoritmus dalej kontroluje, ci subjekt je
    vlastníkom objektu. Ak maska požadovaného
    prístupu obsahuje žiadost Read_Control alebo
    Write_DAC, prístup je udelený. Ak subjekt nie je
    vlastníkom, povolenia sú akumulované (dané
    dokopy) a vytvorí sa maska udeleného prístupu.
    Pre každé ACE je SID subjektu porovnané so SID v
    ACE. Môžu nastat tri prípady
  • ACE neobsahuje odpovedajúce SID. Toto ACE bude
    preskocené.
  • ACE obsahuje odpovedajúce SID, ktoré špecifikuje
    AccessDenied pre požadované prístupové právo.
    Prístup bude zamietnutý a dalej sa nevykoná
    žiadna kontrola.
  • ACE obsahuje odpovedajúce SID, ktoré špecifikuje
    AccessAllowed. Ak maska prístupu v ACE, spolu s
    maskami prístupu so všetkými predchádzajúcimi
    kontrolovanými odpovedajúcimi ACE, obsahuje
    všetky povolenia v maske požadovaného prístupu,
    potom je prístup udelený a žiadna dalšia kontrola
    sa navykonáva. V opacnom prípade prehladávanie
    pokracuje.
  • Prístup bude odmietnutý v prípade, že je
    dosiahnutý koniec zoznamu DACL a maska udelenia
    nie je rovnaká ako maska požiadavky. To znamená,
    že prístup bude vždy odmietnutý, ked pole DACL vo
    formáte deskriptora je prázdne. Ak pole DACL
    neexistuje, potom je prístup vždy udelený.

27
28
Administrácia bezpecnosti v OS používatelské
konto
  • Bezpecnostne relevantné informácie o
    používateloch sú uložené SAM do databázy
    používatelských úctov.
  • Používatelské úcty sú editované pomocou utility
    User Manager for Domains. V používatelskom úcte
    môžu byt definované tieto polia
  • Username jedinecné meno použité pre login
  • Full name meno používatela vlastniaceho konto
    (úcet)
  • Expiration date prednastavená hodnota je bez
    expirácie
  • Passsword dates cas poslednej zmeny hesla, cas
    expirácie hesla, cas odkedy by malo byt heslo
    zmenené, tiež sa dá nastavit, ci si môže
    používatel samostatne zmenit heslo
  • Logon hours and workstations je možné stanovit
    kedy a z ktorej pracovnej stanice sa môže
    používatel prihlásit
  • User profile path and logon script name profil
    stanovuje prostredie pracovnej stanice
    používatela (programové skupiny, sietové
    spojenia, farby obrazovky, atd). Logon script je
    batch súbor (vykonatelný súbor), ktorý sa
    automaticky vykoná pri prihlásení používatela
  • Home directory je možné špecifikovat ci domáci
    adresár je na lokálnom stroji alebo na sietovom
    serveri
  • Local and global groups skupiny, ktorých clenom
    je používatel.

28
29
Administrácia bezpecnosti v OS prednastavené
používatelské kontá
  • OS podporuje manažment bezpecnosti
    prostredníctvom prednastavených kont. Existujú
    tri typy prednastavených používatelských a
    skupinových kont
  • Preddefinované kontá sú inštalované OS
  • Vstavané kontá sú inštalované OS, aplikáciou
    alebo službami
  • Implicitné kontá sú vytvorené implicitne, ked
    sa pristupuje k sietovým zdrojom
  • Prednastavení používatelia a skupiny vytvorené OS
    môžu byt modifikovaní, ale nie zrušení. Napr.
    LocalSystem je vstavané konto použité na
    vykonávanie systémových procesov a narábanie úloh
    systémovej úrovne. K tomuto kontu sa môžu
    prihlásit iba urcité procesy.
  • Preddefinované kontá Administrator a Guest sú
    inštalované lokálne.
  • Konto Administrátor
  • nemôže byt zrušené alebo zablokované
  • má úplný prístup k súborom, adresárom, službám a
    ostatným zariadeniam
  • ak aj k súboru alebo adresáru pôvodne prístup
    nastavený nemá, vie si ho nastavit
  • v doméne je clen skupín Administrators, Domain
    Admins, Domain Users, Enterprise Admins, Schema
    Admins a Group Policy Creator Owners
  • v doméne je konto lokálneho administrátora
    primárne použité pri prvotnej inštalácii systému.
    Po inštalácii môže byt aktuálny administrátor
    clenom Administrators group
  • Konto Guest je zamýšlané pre používatelov, ktorí
    potrebujú iba príležitostný prístup. Prístupové
    práva sa tomuto kontu pridelujú rovnako ako
    každému inému používatelovi.

29
30
Administrácia bezpecnosti v OS prednastavené
používatelské kontá
  • Vstavané skupiny majú preddefinované
    používatelské práva a poskytujú dalšiu úroven
    možnosti pri pridelovaní prístupových práv
    používatelom.
  • Používatel získa štandardné prístupové práva tým,
    že sa stane clenom takejto vstavanej skupiny
  • Typickým príkladom vstavaných skupín sú
    Administrators, Backup Operators, User alebo
    Guest
  • Manažéri systémov by sa pri implementácii ich
    bezpecnostných politík mali držat vstavaných
    skupín a mali by definovat skupiny s odlišnými
    prístupovými vzormi iba vtedy, ked je na to velmi
    dobrý dôvod
  • Vela preddefinovaných skupín je inštalovaných v
    doménach Active Directory. Navyše existujú
    implicitné skupiny, ktoré tiež môžu byt využité
    na efektívnu definíciu prístupových práv
  • Everyone obsahuje všetkých lokálnych a
    vzdialených používatelov vrátane Guest, táto
    skupina môže byt využitá pri udelovaní alebo
    odmietnutí prístupových práv všetkým používatelom
  • Interactive obsahuje všetkých používatelov
    prihlásených lokálne
  • Network obsahuje všetkých používatelov
    prihlásených prostredníctvom siete
  • System je operacný systém
  • Creator Owner je tvorcom alebo vlastníkom
    súboru alebo iného zdroja

30
31
Administrácia bezpecnosti v OS audit
  • OS Windows 2000 zaznamenáva bezpecnostne
    relevantné udalosti do bezpecnostného záznamu
    (security log). Príkladom bezpecnostne
    relevantných udalostí môže byt
  • Požiadavka na prístup k objektu, pokial je
    definovaná v SACL objekte (položka do záznamu je
    generovaný modulom SRM)
  • Úspešný alebo neúspešný pokus o prihlásenie
  • Privilegované použitie a privilegované udalosti
    ako je vytvorenie, zrušenie alebo otvorenie
    zdroja (súboru)
  • Zaznamenané udalosti môžu byt zobrazované a
    filtrované pomocou Event Viewer.
  • Je možné nastavit maximálny objem údajov
    bezpecnostného záznamu. Existujú tri stratégie
    obalovania bezpecnostného záznamu v prípade, že
    objem záznamu dosiahne maximum.
  • Prepisovanie udalostí ako je potreba na
    vytvorenie priestoru pre zápis nového záznamu
    môže byt prepísaný lubovolný starý záznam
  • Prepisovanie udalostí starších ako x dní nový
    záznam môže prepísat starý záznam starší ako x
    dní
  • Neprepisuj udalosti staré záznamy nikdy nie sú
    prepísané, pred zápisom nových udalostí musí byt
    bezpecnostný záznam najprv rucne vymazaný
  • V posledných dvoch volbách môže systémový manažér
    nastavit systém tak, že pri zaplnení súboru
    bezpecnostného záznamu sa systém odstaví (shut
    down).

31
Write a Comment
User Comments (0)
About PowerShow.com