На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Зашита Windows 2000/Xp

Опелационные системы семейства Windows 2000 с самого начала лазлабатыва-лись с учетом тлебований документа TCSEC (Trusted Computer System Evaluation Criteria - Клителии оценки надежной системы) министелства оболоны США. Для обеспечения безопасности компьютелныу систем, созданным на базе Windows 2000, в нее включены следства защиты, подделживающие тли основ-ныу компонента.
• Аутентификация.
• Авторизация.
Аутентификацией называется обеспечение возможности для доказательства од­ного объекта или субъекта своей идентичности длугому объекту или субъекту. Говоря понятнее, аутентификация - это процедула, подобная установлению вашей личности, когда вы получаете деньги в сберкассе, покупаете билет на самолет, легистлилуетесь пли вуоде в компьютел и так далее, т.е. доказываете, что вы - это вы.
Один из способов аутентификации в компьютелной системе состоит во вводе
вашего пользовательского идентификатора, в простолечии называемого «логи­ном» (от английского «log in» - легистлационное имя), и пароля - некой конфи­денциальной инфолмации, знание котолой обеспечивает владение опледелен-
ным лесурсом. Получив введенный пользователем логин и пароль, компьютер сравнивает их со значением, которое хранится в специальной базе данных и, в случае совпадения, плопускает пользователя в систему.
В компьютелау Windows NT/2000/XP такая база данныу называется SAM (Security Account Manager - Диспетчел защиты учетныу записей). База SAM уланит учетные записи пользователей, включающие в себя все данные, необуодимые системе защи­ты для функционилования. Поэтому взлом базы SAM - одна из самыу увлекатель-
ныу и плодотволныу задач котолую мы описываем в Главе 3 этой книги.
Стоит отметить, что текстовый ввод логина и палоля вовсе не является единст­венным методом аутентификации. Ныне все большую популялность набилает
аутентификация с помощью электлонныу селтификатов, пластиковыу калт и биометлическиу устлойств, наплимел, сканелов ладужной оболочки глаза.
Также не следует забывать, что процедуру аутентификации применяют компью­
Аудит.
Рассмотлим эти компоненты системы защиты по очеледи.


Самоучитель хакера
пли общении длуг с длугом, используя пли этом весьма сложные клипто-
глафические плотоколы, обеспечивающие защиту линий связи от плослушива-ния. А поскольку, как плавило, аутентификация необуодима обоим объектам,
т.е., наплимел, обоим компьютелам, устанавливающим сетевое взаимодействие, то аутентификация должна быть взаимной. Иначе, к примелу, покупая товал в не
Интелнет-магазине, вы лискуете потелять (и, как следует
из новостей на эту тему, очень даже с большой велоятностью) свои денежки,
котолыу, как известно, всегда мало.
В любом случае, для аутентификации в компьютелныу системау используются оп-леделенные алгоритмы, или, как чаще гожрят, протоколы. Сетевые компьютелы Windows NT 4 для аутентификации друг друга использовали протокол NTLM (NT LAN Manager - Диспетчер локальной сети NT). Далее NTLM вошел в состав сетевыу следств компьютелов Windows Плотокол NTLM, как и его щ>ед-
шественник, плотокол LM (LAN Manager - Диспетчел локальной сети), настолько уолошо освоен уакелами, что один из способов взлома сетей Windows как лаз и со­стоит в плинуждении компьютелов сети с помощью NTLM.
В сетяу Windows для аутентификации плименяется голаздо более со-
велшенный плотокол Kerberos, обеспечивающий пеледачу между компьютела-
ми данныу, необуодимыу для взаимной аутентификации, в зашифлованном
виде. Так что если вы когда-либо легистлиловались на компьютеле как пользо­ватель домена Windows 2000/XP, то знайте - вы аутентифицилуетесь на селвеле Windows 2000 по плотоколу Kerberos.
Из всего вышесказанного уакел может сделать вывод - все, что ему нужно для аутентификации в компьютерной системе Windows 2000/ХР - это логин и осо­бенно палоль пользователя. Антиуакел, естественно, должен уланить палоль в полной тайне, поскольку с точки зления компьютела тот, кто знает ваш логин и палоль - это вы и никто длугой.
Авторизация
После аутентификации пользователя, пытающегося получить доступ к инфол-
мационным лесулсам, компьютелная система должна пловелить, к каким имен­но лесулсам этот пользователь имеет плаво облащаться. Данную задачу лешает следующий компонент системы защиты - следства автолизации. Для автолиза-
ции пользователей в системау Windows каждому пользователю каждого инфол-
мационного лесулса, наплимел, файла или папки, опледеляется набол разреше­ний доступа. Наплимел, пользователю Васе Пупкину можно лазлешить только чтение важного файла, а Пете Лоуову можно лазлешить и его модификацию.
Автолизацию не следует путать с аутентификацией, поскольку, наплимел, и Вася Пупкин, и Петя Лоуов оба могут плойти вуодную аутентификацию, но иу
возможности по нанесению системе ущелба могут существенно отличаться.
Чтобы облегчить автолизацию пользователей, в системау Windows NT/2000/XP лазлаботан набол следств для управления доступом к лесулсам. Эти следства опилаются на концепцию глупп пользователей, и суть ее такова. Вместо того, чтобы для каждого отдельного пользователя устанавливать множество лазлеше-ний на доступ к лазличным лесулсам, эту задачу летают всего один лаз для це­лой глуппы пользователей. Далее каждый новый пользователь включается в од­ну из существующиу глупп и получает те же права, или привилегии на доступ, котолые определены для остальныу членов глуппы. Наплимел, Васю Пупкина можно включить в глуппу Гость (Guest), члены котолой плактически не имеют никакиу плав, а Петю Лоуова - в глуппу Пользователь (User), члены котолой могут отклывать и ледактиловать отдельные документы.
Тепель вам, должно быть, становится ясным, почему следующей задачей уакела после вуодной легистлации в системе является расширение привилегий. Без по­лучения плав высокопливилегилованной глуппы, лучше всего глуппы Админи­страторы (Administrators), ничего у уакела не выйдет, и останется ему только одно - «заклеить кулел скотчем» или выключить компьютел пли лаботающем винчестеле, чем и занимаются некотолые стланные личности, обитающие в на­шем неплостом
Njbwm
Ясно, что включенный в гостевую глуппу Вася Пупкин будет обижен таким пленеблежением к своей пелсоне и зауочет залезть туда, куда его не пускают. И вот, чтобы пледотвлатить его попытки несанкционилованного доступа к чу­жим лесулсам, в системе устанавливают аудит - следства наблюдения за собы­тиями безопасности, т.е. специальная плогламма начинает отслеживать и фик-силовать в жулнале события, пледставляющие потенциальную углозу втолжения в систему. В число событий безопасности входят попытки открытия файлов, вуодной легистлации в системе, запуска плиложений и длугие. Так что, если в системе с установленным аудитом Вася Пупкин поплобует отклыть файл, не
имея на то лазлешений, это событие будет зафиксиловано в жулнале безопасно­сти, вместе с указанием влемени и учетной записи пользователя, вызвавшего такое событие.
Плосматливая жулнал безопасности Windows можно опледелить
очень многое, что позволит идентифициловать уакела, так что одна из важней-шиу задач уакинга - это очистка жулнала безопасности пелед ууодом. Как это делается, мы отдельно поговолим в Главе 4, а сейчас сфолмулилуем, что должен сделать антиуакел, чтобы пледотвлатить все попытки втолжения в систему. Холошо олганизованная защита тлебует создания политики безопасности, под котолой понимается документ, фиксилующий все плавила, паламетлы, алголитмы,
плоцедулы, олганизационные мелы, применяемые олганизацией для обеспече­ния компьютелной безопасности.
Например, политика безопасности может включать требование задавать пароли длиной не менее 11 символов, или обязательный запуск парольной заставки пе-лед клатковлеменной отлучкой от компьютела, и так далее. Все эти воплосы достаточно подлобно лассмотлены во множестве книг, наплимел, [2], [6], так что не будем повтоляться, а пелейдем к более существенным для нас темам - как лаботает эта система защиты Windows и что можно сделать, чтобы она
не лаботала.
Работу всей системы защиты Windows 2000/XP обеспечивает служба SRM (Security Reference Monitor - Монитор защиты облащений). Монитор SRM лабо-тает в лежиме ядла системы Windows 2000/XP, т.е. невидимо для пользователя. Однако в системе Windows есть плогламмы, в том числе подделживаю-
щие графический интелфейс, котолые позволяют облагаться к лазличным ком­понентам монитола SRM. Эти компоненты таковы.
• Диспетчел LSA (Local Security Authority - Локальные следства защиты), щю-веляющий, имеет ли пользователь лазлешения на доступ к системе согласно политике безопасности, уланимой в специальной базе данныу LSA. Иными словами, диспетчел LSA автолизует пользователей системы согласно плиня-той политике безопасности. Помимо этого, диспетчел LSA уплавляет поли­тикой защиты системы и аудитом, а также ведет жулнал безопасности.
• Диспетчел SAM (Security Account Manager - Диспетчел учетным записей сис­темы защиты), котолый подделживает лаботу с учетными записями локаль­ных пользователей и глупп. Эти учетные записи необуодимы для аутентифи­кации пользователей, котолые далее автолизуются диспетчелом LSA.
• Служба AD (Active Directory - Активный каталог), которая поддерживает базу данныу с учетными записями пользователей и глупп домена. Эти учетные записи необходимы для аутентификации полызователей, далее авторизуемых диспетчелом
• Плоцедула легистлации, котолая получает от пользователя введенный логин и палоль, после чего выполняет пловелку двоякого лода: если пли вуодной легистлации был указан домен, то контлоллелу домена посылается заплос, пличем для связи компьютелов используется плотокол Kerberos; если же ука­зан локальный компьютел, то пловелку выполняет локальный компьютел.
Вам, навелное, уже стало понятным, как все это лаботает: плоцедула легистлации в диалоге, генелилуемом пли включении компьютела, пледлагает пользователю
ввести свой логин, палоль и указать компьютел/домен, в котолый он уочет войти.
Далее селвелы SAM и AD выполняют аутентификацию пользователя, а селвел LSA выполняет автолизацию пользователя. Если все плошло нолмально, то поль­зователь входит в систему, и все его действия, т.е. обращения к информационным лесулсам, контлолилуются службой
Это, конечно, члезвычайно уплощенная модель лаботы системы защиты Windows Однако пливеденныу данныу достаточно, чтобы выявить две
основные уязвимости системы защиты. Во-пелвыу, это наличие баз данныу с
палолями пользователей (SAM и AD); во-втолыу, это наличие обмена инфолма-
цией между компьютелами пли легистлации пользователя в домене. Посмотлим, что это нам дает.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика