На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Защита сетей Windows NT

В следующих трех главах вы познакомитесь с проблемами безопасности тых платформ сетевых серверов. Я начну с Windows NT - довольно новой, шт быстро развивающейся сетевой платформы. Несмотря на все свои достоинства, )та операционная система обладает массой недостатков. В данной главе мы юдробно поговорим о них и о том, как защитить систему Windows NT. Прочи­тав главу, вы узнаете следующее:
* Windows NT построена на объектной модели безопасности. Другими сло­вами, в этой операционной системе есть возможность обеспечения без­опасности каждого файла в отдельности.
» Модель безопасности Windows NT состоит из четырех компонентов: ло­кального ведомства безопасности, диспетчера учетных записей, монитора ссылок безопасности и пользовательского интерфейса.
» Для управления передачей данных в Windows NT используется SMB.
»   В операционную систему Windows NT встроен уровень интерфейса без­' опасности. С его помощью Windows NT поддерживает несколько интер­фейсов безопасности.
» Для создания безопасной сети требуется обеспечение физической безопас­ности сервера.
» Для обеспечения безопасности сети Windows NT прежде всего нужно вос­пользоваться элементарными средствами защиты от хакеров.
»  Многие атаки хакеров построены на использовании недоработок Windows NT.
Windows NT (NT - New Technology - новая технология) - это разработанная сомпанией Microsoft операционная система сервера. Причиной ее создания по­тужил необычайно высокий рост количества локальных сетей. С помощью Windows NT компания Microsoft рассчитывала работать с сетями, созданными га основе Windows 3.1 (а впоследствии и Windows 95). Кроме того, с помощью Windows NT можно присоединяться к серверам Novell NetWare или Unix.
известно, файловая система является основой безопасности любой опера-
дионной системы. Напомню, что в Windows 3.1, которая работает в качестве надстройки MS-DOS, используется 16-битная таблица размещения файлов (FAT -file allocation table), а в Windows 95 используется 32-битная FAT. В отличие от этих продуктов, Windows NT использует свою собственную файловую систему -NTFS. С ее помощью сервер может управлять доступом к своим файлам.
ПЕРВОЕ ЗНАКОМСТВО


NTFS и модель безопасности Windows NT предоставляют администратору серве­ра возможность ввести «мелкомодульный» доступ к его ресурсам. Другими сло­вами, сетевой администратор может управлять доступом пользователей, начи­ная с уровня жесткого диска и вплоть до уровня каталогов и отдельных файлов.
В этой главе подразумевается, что вы уже установили на сервере Windows NT файловую систему NTFS. Если же на вашей машине с Windows NT используется
другая файловая система (например, FAT), то вы должны немедленно перефор­матировать диски и установить NTFS. Чтобы определить, какая файловая систе­ма используется на вашей машине, проделайте следующие операции:
1. Откройте меню Пуск и выберите в нем пункт Программы. В новом окне выберите пункт Проводник. На экране появится окно этой программы.
2. Щелкните правой кнопкой мыши по значку системного диска (системным диском называется жесткий диск, с которого загружается операционная система). На экране должно появиться контекстное меню.
3. Выберите в нем пункт Свойства. Windows NT отобразит на экране диало­говое окно Свойства (1).
4. В этом окне отображена информация о файловой системе, используемой на выбранном жестком диске. Если это не NTFS (а, например,-файловая система DOS или OS/2), то вы должны создать резервные копии всех рас­положенных на диске файлов и переустановить операционную систему.
СОВМЕСТНО   ИСПОЛЬЗУЕМЫЕ РЕСУРСЫ
На протяжении всей этой главы вы будет встречаться с термином «совместно используемые ресурсы». Совместно используемыми ресурсами в Windows NT называются файлы и каталоги, с которыми с помощью сети могут работать не­сколько пользователей. При установке Windows NT она по умолчанию делает некоторые ресурсы совместно используемыми. Многие из них видимы только администраторам. Административные совместно используемые ресурсы — это неизменяемые учетные записи, чьи имена заканчиваются знаком доллара ($). Например, С$ — это административная учетная запись для раздела С:, a D$ -это административная учетная запись для раздела D:. WINNTS— это корневой каталог системных файлов.
НЕДОСТАТКИ NTFS
NTFS — это достаточно мощная файловая система. У нее практически нет уяз­вимых мест, но есть некоторые мелкие недостатки. Именно их используют хаке­ры для своих атак. Далее перечислены три наиболее существенных недостатка
файловой системы NTFS:
1. Если создать каталог (или файл) для пользователя, то этому пользователю предоставляются права полного доступа к данному каталогу (файлу). На­пример, если вы создадите каталог для пользователя Happy, то он сможет воспользоваться средствами администрирования системы и предоставить доступ к этому каталогу любому человеку, обладающему доступом к сер­веру. Это не так уж опасно, однако если хакер сможет зарегистрировать­ся на сервере под именем этого пользователя, то он сможет сделать ката­лог совместно используемым. При этом в журнале регистрации будет со­здана только одна запись. После этого хакер завершит сеанс работы на сервере и повторно зарегистрируется в системе под своим именем. Одна­ко теперь хакер будет обладать доступом к каталогу пользователя.
2. Если хакер получит физический доступ к серверу, то он может выключить машину и загрузить ее с помощью системной дискеты DOS. После этого
ему достаточно будет воспользоваться разработанной Microsoft утилитой
ntfsdos.exe, чтобы получить доступ к жесткому диску NT-сервера. Таким образом он сможет просмотреть все расположенные на сервере данные.
3. Если вы предоставите пользователю права полного доступа какому-либо каталогу (вместо прав на чтение, запись, удаление и создание), то ему будет предоставлено скрытое разрешение под названием File Delete Child. При этом вы не сможете удалить это разрешение. Теперь пользователь сможет удалить файл, предназначенный только для чтения. В зависимо­сти от содержимого каталога, пользователь может нанести различный вред системе.
ОСНОВНАЯ МОДЕЛЬ БЕЗОПАСНОСТИ WINDOWS NT
Большая часть этой главы посвящена недостаткам операционной системы Windows NT. Однако, прежде чем начать работать с ней, вам необходимо познакомиться с моделью безопасности Windows NT.
Когда компания Microsoft решила приступить к разработке сетевой операцион­ной системы сервера, то основной ее задачей было создание операционной си­стемы, обеспечивающей (как минимум) класс защиты С2. Как
уже говорилось, класс защиты определяет базовые правила доступа к объектам
операционной системы (файлам, каталогам и т. д.).
Отметим, однако, что сервер Windows NT (версии 3.51) удовлетворяет классу защиты С2 только для автономных машин без дисководов и соединения с сетью. Несмотря на это компания Microsoft разработала для своей операционной систе­мы модель безопасности, обеспечивающую достаточно надежную среду сетевого сервера. Используемая в Windows NT модель безопасности является расширяе­мой. Другими словами, эта модель может быть достаточно просто расширена
так, чтобы включать другие средства обеспечения безопасности. Основой для
этого послужил тот факт, что Windows NT специально разрабатывалась для обес­печения безопасности управления доступа к объектам по классу С2. Например, в отличие от Windows NT 5.0, Windows NT 4.0 не содержит поддержки протокола
Kerberos. Однако вместо того, чтобы полностью переделывать модель безопас­ности операционной системы, разработчики Windows NT просто добавили к ней
новые возможности, а именно поддержку протокола Kerberos. схематично показаны отличия моделей операционных систем Windows NT 5.0 и
Windows NT 4.0.
Каждый объект Windows NT обладает своими собственными атрибутами без­опасности — дескрипторами безопасности. С их помощью операционная система
управляет доступом отдельных пользователей к этому объекту. Дескриптор без­опасности состоит из двух компонентов: списка управления доступом (обяза­тельного для обеспечения безопасности класса С2) и информации о самом объекте.
Список управления доступом определяет тип и права доступа отдельных пользо­вателей и групп. Под группами понимаются объединения пользователей с одина­ковыми правами (например, администраторы) или принадлежащие к одной об­ласти деятельности или отделу компании (например, отдел продаж). По умолча­нию при установке Windows NT создается несколько групп, вроде Все, Опытные пользователи и Администраторы. Позже мы поговорим о каждой из этих групп.
Отметим также, что в Windows NT каждая группа может обладать своими, от­личными от других правами доступа. Например, группа Все может обладать только правами на чтение некоторого объекта, а группа Опытные пользователи может обладать правами на чтение, запись, копирование и удаление того же объекта. Как уже говорилось, операционная система управляет типом и правами доступа каждого пользователя или группы к каждому объекту.
Список управления доступом состоит из двух частей: дополнительного списка управления доступом и системного списка управления доступом. Каждый из этих компонентов отвечает за два различных типа ограничений безопасности объек­та. Дополнительный список управления доступом определяет тип и права досту­па к объекту отдельных пользователей. Именно этот список изменяется наибо­лее часто, так как основная информация хранится в системном списке управле­ния доступом.
Дополнительный список управления доступом содержит описания каждого из пользователей и групп, зарегистрированных в системе. Эти описания также на­зывают элементами управления доступом. Каждый из них содержит информацию об уровне доступа к объекту каждого пользователя или группы. Итак, мы выяс­нили, что дескриптор безопасности каждого объекта состоит из нескольких час­тей. показана упрощенная структура дескриптора безопасности.
дескриптор безопасности

 

 

 

 


информация объекта

список управления доступом (ACL)

имя
расположение размер

дополнительный список
управления доступом

системный список управления доступом

|                      ALLOWED READ

|                  ALLOWED WRITE

ALLOWED WRITE

|ERenehan...ACE ALLOWED WRITE |

|                       ALLOWED WRITE |

Структура дескриптора безопасности.
Когда пользователь или служба Windows NT создает новый объект, то вместе с
ним автоматически создается дескриптор безопасности. Если пользователь (или
служба) не определит атрибуты безопасности нового объекта, то операционная
система присвоит ему пустой дополнительный список управления доступом. То
есть Windows NT не присвоит объекту атрибутов доступа.
Основные требования класса защиты С2 можно выразить так: «запрещено все, что не разрешено». Поэтому доступ к новому объекту будет запрещен всем. Более того, после присвоения объекту специальных атрибутов доступом к нему будут обладать только те пользователи и группы, которые определены в допол­нительном списке управления доступом.
Для того чтобы вы могли лучше представить модель безопасности Windows NT, в таблице 15.1 приводится описание всех четырех ее компонентов.
425


Компонент
Описание
Локальное ведомство безопасности
Диспетчер безопасности учетных записей Монитор ссылок
безопасности
Пользовательский интерфейс
Этот компонент также называют подсистемой безопасности. Как уже говорилось, локальное ведомство безопасности является центральным компонентом безопасности Windows NT. Оно обслуживает политику безопасности и идентификацию
пользователей. Кроме того, ведомство ответственно
за создание и регистрацию сообщений аудита. Этот компонент обслуживает учетные записи пользо­вателей и групп, а также предоставляет службу иден­тификации для локального ведомства безопасности.
Этот компонент ответственен за проверку прав доступа и аудит локального ведомства безопасности. При каждой попытке пользователя получить доступ к некоторому объекту он проверяет его учетную запись. Только после этого пользователь может получить доступ к запрашиваемому объекту, либо сообщение об игнорировании запроса. Монитор
ссылок безопасности генерирует сообщения аудита
о каждой попытке доступа. Кроме того, этот компо­нент содержит копию кода проверки доступа. Это сделано, чтобы обеспечить равную степень защиты ресурсов, не зависящую от типа ресурса. Достаточно важная часть модели безопасности. Этот компонент ответственен за то, что может увидеть пользователь и с помощью чего он может проводить .администрирование системы._
Компоненты модели безопасности Windows NT.
Очевидно, что локальное ведомство безопасности выполняет львиную долю ра­боты по обеспечению безопасности системы. По мере необходимости оно вызы­вает службы диспетчера безопасности учетных записей и монитор ссылок без­опасности. Полученные результаты предоставляются пользователю через пользо­вательский интерфейс. показано взаимодействие всех четырех
компонентов безопасности Windows NT.
пользовательский интерфейс
диспетчер безопасности учетных записей
локальное ведомство безопасности
монитор ссылок безопасности
Взаимодействие четырех компонентов безопасности Windows NT.
Таким образом, чтобы получить доступ к какому-либо объекту, пользователь должен обладать соответствующими правами. Без них никто не может работать с объектом. В идеале модель безопасности Windows NT не может быть взломана хакерами. Однако в мире нет ничего идеального. И у этой операционной систе­мы есть свои уязвимые места.
И УРОВНЯ. ЗАЩИТЫ
Как уже отмечалось в главе 3, Orange Book Министерства обороны США основана на наборе требований к устойчиво­сти сетевой операционной системы. Системы класса защиты С2 обладают достаточно хорошими средствами управления се­тевыми объектами. На каждого пользователя подобной систе­мы налагается ответственность за свои действия в сети. Для этого в системах класса защиты С2 используются процедуры регистрации, аудит связанных с безопасностью событий и локализация ресурсов (серверы печати и файлов ' должны располагаться на отдельных машинах). Системы класса защиты С2 удовлетворяют всем требованиям класса защиты С1, а также должны обладать
следующим свойствами:
• Определенный и контролируемый доступ между именованными пользо­вателями и именованными объектами.
• Система идентификации и паролей, которые должны быть пройдены пользователями, прежде чем они получат доступ к информации в сети.
Элементы управления доступом как целых групп, так и отдельных пользо­вателей.
• Элементы управления доступом должны ограничивать копирование прав доступа.
Механизм дискреционного контроля доступа по явнозаданным
пользователем параметрам или по умолчанию, обеспечивать защиту от незарегистрированного доступа.
ЯН •   Элементы управления доступом могут разрешать или ограничивать > ступ определенных пользователей к определенным объектам,
• Система идентификации уникальнымобразом определяет каждого пользо­вателя, связанного с системой.
Операционная система ассоциирует каждое действие, произведенное определенным пользователем, с уникальным идентификатором этого пользователя.
• Сеть может создавать и поддерживать функции аудита всех попыток до­ступа к сетевым объектам (например, к файлам).

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика