Объекты и Разрешения

Объекты и Разрешения. Windows 2000 поддерживает безопасность для различных типов объектов, включая но не ограничиваясь ими каталоги, файлы, принтеры, процессы и сетевые общие папки. Каждый объект предоставляет функции, определяющие действия, которые могут быть выполнены для этого объекта, например открыть, закрыть, читать, записывать, удалять, запускать, останавливать, печатать и т. д. Информация безопасности для объекта содержится в дескрипторе безопасности security descriptor объекта.

Дескриптор безопасности состоит из четырех частей владелец, группа, Discretionary Access Control List список разграничительного контроля доступа, DASL и System Acess Control List системный список контроля доступа, SACL . Windows 2000 использует эти части дескриптора безопасности в следующих целях владелец - эта часть содержит SID учетной записи пользователя-владельца объекта.

Владелец объекта всегда может изменить настройки DACL разрешения объекта группа - эта часть используется подсистемой POSIX Windows 2000. Файлы и каталоги в операционных системах UNIX могут принадлежать групповой учетной записи, так же как и отдельной учетной записи пользователя.

Эта часть содержит SID группы этого объекта в целях совместимости с POSIX, а также для идентификации основной группы для учетных записей пользователя Discretionary Access Control List - DACL содержит список учетных записей пользователя и учетных записей групп, обладающих разрешением на доступ к службам объекта. В DACL существует столько записей контроля доступа, сколько существует учетных записей пользователей или групп, для которых доступ к объекту был задан специально System Acess Control List - SACL также содержит записи управления доступом АСЕ, access control entry, но эти записи АСЕ используются для аудита, а не для разрешения или запрещения доступа к функциям объекта.

SACL содержит столько записей АСЕ, сколько существует учетных записей пользователей или групп, для которых специально проводится аудит.

Каждая запись управления доступом в DACL или SACL состоит из идентификатора безопасности, сопровождаемого маской доступа.

Маска доступа access mask в DACL определяет те функции объекта, для доступа к которым у SID есть разрешение.

Специальный тип записи контроля доступа, называемый запрещающей записью АСЕ deny АСЕ , указывает, что весь доступ к объекту будет запрещен для учетной записи, определенной идентификатором SID. Запрещающая АСЕ перекрывает все остальные записи АСЕ. Разрешение No Access нет доступа в Windows 2000 реализовано при помощи запрещающей записи АСЕ. Доступ разрешен, если токен доступа содержит любой SID, совпадающий с разрешением в DACL. Например, если отдельной учетной записи разрешен доступ на чтение и учетная запись пользователя является членом групповой учетной записи, которой разрешен доступ на запись, тогда токен доступа для этого вошедшего в систему пользователя будет содержать оба SID, и DACL разрешит доступ к объекту и на чтение, и на запись.

Запрещающие записи управления доступом все равно перекрывают суммарное действие всех остальных разрешений. Записи управления доступом в SACL образуются тем же способом, что и записи в DACL они составляются из SID и маски доступа, но маска доступа в этом случае определяет те функции объекта, для которых будет проводиться аудит у этой учетной записи.

Не у каждого объекта есть списки DACL или SACL. Файловая система FAT, например, не записывает информацию безопасности, поэтому у объектов файлов и каталогов, хранимых на томе FAT, нет списков DACL и SACL. Когда DACL отсутствует, любая учетная запись пользователя обладает доступом ко всем функциям объекта. Это не равнозначно ситуации, когда список DACL объекта пуст. В этом случае ни одна учетная запись не будет иметь доступа к объекту.

Когда у объекта отсутствует SACL, аудит объекта невозможен. Процессы не обращаются напрямую к таким объектам, как файлы, каталоги или принтеры. Операционная система Windows 2000 а именно ее часть Win32 обращается к объектам от лица процессов. Основная цель этого - сделать программы проще. Программа не обязана знать, как непосредственно манипулировать каждым типом объекта, она просто просит об этом операционную систему.

Еще одним важным преимуществом, особенно с точки зрения безопасности, является то, что, поскольку операционная система выполняет все действия для процессов, она может принудительно отслеживать безопасность объектов. Когда процесс просит подсистему Win32 выполнить действие над объектом например, прочитать файл, подсистема Win32 сверяется с Security Reference Monitor монитор проверки безопасности, чтобы удостовериться, что процесс обладает разрешением на осуществление действия над объектом.

Security Reference Monitor сравнивает токен доступа процесса со списком DACL объектов, сверяя каждый SID в токене доступа с идентификаторами SID в списке DACL Если существует запись управления доступом АСЕ с совпадающим SID, которая содержит маску доступа, разрешающую действие, и нет АСЕ с совпадающим SID, содержащей запрещающую маску для действия над объектом, то Security Reference Monitor разрешает подсистеме Win32 выполнить действие.

Security Reference Monitor также проверяет, осуществляется ли аудит доступа к объекту и требуется ли запись в журнал событий Security Log Безопасность Windows 2000. Аудит проверяется точно так же, как и проверка разрешений путем сравнения каждого SID в токене доступа с SID каждой записи управления доступом. При обнаружении совпадения монитор проверяет, принадлежит ли выполняемое действие или функция к перечисленным в маске доступа. Если да и если результат проверки безопасности по списку SACL совпадает с проводимым аудитом произошел отказ в доступе и проводится аудит отказа в доступе, или доступ был успешен и проводится аудит успешного доступа, или произошли оба этих события, то в этом случае событие аудита записывается в журнал событий.

Некоторые действия применяются не к конкретному объекту, а к группе объектов или ко всей операционной системе. Завершение работы с операционной системой, например, повлияет на все объекты в системе. Пользователь должен обладать правами пользователя user rights для осуществления таких действий. Средства Local Security Authority включают локально уникальный идентификатор LUID при создании токена доступа.

LUID описывает, какое из прав пользователя имеет конкретная учетная запись. Local Security Authority создают LUID на основе информации о безопасности в базе данных диспетчера безопасности учетных записей для учетной записи локального компьютера или Active Directory для учетной записи домена. LUID является объединением прав этой конкретной учетной записи пользователя и прав всех групп, в которые входит эта учетная запись.

Права имеют больший приоритет, чем разрешения permissions. Вот почему учетная запись администратора может стать владельцем файла, чей владелец удалил все разрешения на доступ Administrator Администратор обладает правом Take Ownership of Files or Other Objects смена владельца файлов или других объектов. Операционная система Windows 2000 вначале проверяет права пользователя и затем если нет права пользователя, специально разрешающего действие сверяет записи АСЕ, хранимые в DACL, с идентификаторами SID в токене доступа.

Учетные записи пользователя обладают правом на чтение и запись для объекта, для которого они являются владельцем, даже в случае наличия у того запрещающей записи АСЕ. Учетная запись пользователя может также изменять разрешения для принадлежащего ей объекта. 5.Файловая система NTFSФайловая система NTFS - главный бастион безопасности Windows 2000. Безопасный компьютер под управлением Windows 2000 работает на платформе NTFS, образующей основу для постоянной безопасности.

LSA дает гарантию, что выполняющиеся программы не могут нарушить адресное пространство памяти друг друга и что все обращения к ядру должным образом авторизованы. Но что может помешать программе заменить программные файлы LSA эквивалентной службой, которая будет работать неверно? Ответом на этот вопрос является NTFS, и этот пример подчеркивает, почему безопасная файловая система - обязательное требование для безопасной операционной системы.

Не имея возможности доверять файловой системе, хранящей системные файлы, нельзя доверять системе, работа которой реализуется посредством исполнения этих файлов. Рассмотрим случай проникновения вируса на компьютер с Windows 95. Пользователь выполняет программу, содержащую вирус. Вирус определяет, какая программа запустила текущую программу, и заражает ее, таким образом распространяя себя далее на один уровень. При следующем запуске этой программы вирус сделает то же самое, а также заразит каждую программу, порожденную этой программой.

Через несколько циклов вирус распространится до ключевых программ операционной системы, таким образом заражая каждый выполняемый в ней файл. Рассмотрим теперь случай, когда пользователь выполняет зараженную вирусом программу в Windows 2000. Эта программа пытается записать свой вирусный заголовок в explorer.exe, но блокируется средствами безопасности файловой системы NTFS, потому что у пользователя нет разрешений на запись в explorer.exe. Благодаря NTFS этот тип вирусов моментально останавливается Windows 2000. При попадании в систему некоторым вирусам удается выжить в пользовательском режиме например, макровирусам Word или червям Outlook, но эти вирусы все равно не могут заразить саму операционную систему - если только вирус не был запущен с учетной записью, обладающей административным доступом к компьютеру.

NTFS работает, сравнивая токен доступа пользователя со списком контроля доступа ACL , связанным с каждым запрашиваемым файлом, перед тем, как разрешить пользователю доступ к этому файлу.

Этот простой механизм не дает несанкционированным пользователям изменять операционную систему или еще что-нибудь, к чему у них нет специального доступа. По умолчанию Windows 2000 находится в состоянии, предоставляющем полный доступ группе все everyone для корня всех дисков, вследствие чего все разрешения, наследуемые создаваемыми там файлами, также доступны для всех. Для получения какой-либо реальной пользы от безопасности файловой системы NTFS для приложений и хранимых пользователями файлов необходимо удалить разрешение, предоставляющее полный доступ для всех, и заменить его разрешениями с соответствующим уровнем безопасности для каждой папки на компьютере.

Управление разрешениями файловой системы NTFS осуществляется просто и работает аналогично тому как разрешения устанавливались в предыдущих версиях Windows NT. В Windows 2000 наследование обрабатывается по-другому, чем в Windows NT. В Windows NT унаследованные разрешения были просто такими же, как у родительских объектов, и могли быть немедленно изменены.

В Windows 2000, если объект наследует разрешения от содержащей объект папки, необходимо снять флажок Allow Inheritable Permissions Переносить наследуемые от родительского объекта разрешения на этот объект, для того чтобы создать копию наследуемых разрешений и затем изменить существующие разрешения. Можно создавать новые записи АСЕ, не перекрывая установку безопасности. 5.1. Шифрованная файловая системаШифрованная файловая система Encrypting File System - это драйвер файловой системы, обеспечивающий возможность зашифровывать и расшифровывать файлы на лету. Использовать службу очень легко пользователи устанавливают атрибут шифрования для файла или каталога.

Служба EFS генерирует сертификат шифрования в фоновом процессе и использует его для шифрования заданных файлов. Когда эти файлы запрашиваются драйвером файловой системы NTFS, служба EFS автоматически расшифровывает файл для предоставления его драйверу.

Шифрование файлов выглядит как действительно замечательная возможность, но текущая его реализация в Windows 2000 обладает такими дефектами, что EFS в большинстве случаев бесполезна, за исключением, может быть, портативных компьютеров. Основная проблема EFS в том, что она работает только для отдельных пользователей, что делает ее пригодной только для клиентских компьютеров.

Сертификаты шифрования для файлов создаются на основе личности пользователя, поэтому зашифрованные файлы могут быть использованы только той учетной записью, которая их создавала. Сертификаты шифрования не могут быть назначены групповым объектам, поэтому шифрование не может защитить общие файлы, хранимые на сервере. Эта архитектура потребует обмена закрытыми ключами по сети, поэтому для такого обмена должен быть установлен зашифрованный канал. EFS не позволит совместное использование зашифрованных файлов, потому что она расшифровывает их перед тем, как предоставить их по запросу.

Это также не предусмотрено. Если бы сертификаты шифрования принадлежали группе, зашифрованный файл мог бы быть предоставлен по сети клиенту в своем зашифрованном состоянии и клиентский компьютер смог бы воспользоваться своим участием в группе, обладая сертификатом для расшифровки файла. Kerberos может создавать ключи сеанса для шифрования сертификатов, чтобы сохранить их в безопасности во время передачи членам группы.

Общие файлы могут быть достаточно безопасными, чтобы использовать их через Интернет без закрытого туннеля. Более того, потеря сертификата шифрования - ахиллесова пята шифрования - не будет такой уж проблемой. До тех пор, пока сертификат все еще существует у какого-либо из членов группы, этот пользователь все еще будет обладать копией сертификата для расшифровки файлов. Так, как она реализована сегодня, EFS всегда создает ключ для агента восстановления по умолчанию это локальный администратор, независимо от того, хочет пользователь или нет, чтобы агент восстановления мог расшифровать файл. EFS так же, как репликация файлов - еще один пример службы, которая была бы по-настоящему замечательной, если бы Microsoft реализовала се надлежащим образом.

В том виде, в каком она существует сейчас, она сделана ровно настолько, чтобы Microsoft могла утверждать о наличии у нее шифрования файловой системы. Помимо того факта, что EFS работает только для отдельных пользователей, она обладает рядом других проблем сертификаты шифрования по умолчанию хранятся в реестре локального компьютера, где их можно восстановить и использовать для расшифровки файлов на компьютере.

Для того чтобы EFS функционировала корректно как безопасная служба шифрования, сертификаты должны быть удалены с локального компьютера на физически безопасный сервер сертификатов или экспортированы на съемный носитель, который не оставляется вместе с компьютером. Единственный способ обеспечить безопасность локальных сертификатов EFS - это использовать аутентификацию при помощи смарт-карты или -воспользоваться SysKey, хэш-значения, используемого для шифрования локальной базы данных учетных записей SAM, которая содержит сертификат расшифровки EFS, на гибкий диск или использовать его в качестве пароля во время начальной загрузки - и этот пароль или гибкий диск должны быть доступны для всех, кому требуется загружать компьютер операции перемещения путем перетаскивания мышью в шифрованную папку не приведут к автоматическому шифрованию файла, потому что операции перемещения не изменяют атрибутов файла.

Операции вырезать и вставить изменяют, потому что вы явно удаляете старый файл и создаете новый. зашифрованные файлы будут расшифрованы, если они будут перемещены на тома с отличной от NTFS файловой системой, не поддерживающей шифрование. зашифрованные файлы не могут быть сделаны общими путем помещения в общую папку.

Это ограничение предназначено для сохранения файлов в зашифрованном виде, общие файлы отправляются по сети в простом текстовом формате и кто угодно может их расшифровать, имея в наличии сетевой анализатор. многие программы большинство программ Microsoft Office во время редактирования файлов создают временные файлы либо в локальном, либо во временном каталоге.

Шифрование для временных файлов следует обычным правилам если файл создается в папке, у которой установлен флаг шифрования, временный файл будет зашифрован. В ином случае он не будет зашифрован и нарушит секретность шифрования печать образует еще одно направление случайной расшифровки когда печатается зашифрованный документ, файл расшифровывается исходным приложением и отправляется в виде простого текста диспетчеру очереди печати.

Если диспетчер печати сконфигурирован так, чтобы буферизовать документы как в большинстве случаев, печатаемые данные будут записываться в файл, который может быть после удаления восстановлен для доступа к вашим зашифрованным данным.

Не рекомендуется использовать EFS кроме как на однопользовательских компьютерах, которые нельзя по-другому физически защитить. Ее простота использования является лишь видимостью безопасности, а не настоящей безопасностьюEFS имеет смысл применять для компьютеров, подверженных кражам, таких как портативные компьютеры, которые сконфигурированы с шифрованием каталога буфера печати, временных папок и каталога My Documents Мои документы . 6. Сетевая безопасность Windows 2000 ServerСетевая безопасность Windows 2000 основана на нескольких основных службах Active Directory Group Policy Kerberos Share Security IPSec. Каждая из этих служб работает вместе с остальными, образуя единое целое IPSec определяется групповыми политиками, которые хранятся в Active Directory и могут быть сконфигурированы для использования Kerberos для автоматического обмена закрытыми ключами.

Share Security основывается на идентификационных данных пользователя, подтвержденных Kerberos на основе хэшированных паролей, хранимых в Active Directory.

Управление политикой безопасности через Active Directory позволяет администраторам создавать политики, которые могут быть автоматически применены ко всей организации. Active Directory не является службой безопасности, но практически все встроенные в Windows 2000 механизмы безопасности полагаются на Active Directory как на механизм хранения информации безопасности, такой как иерархия доменов, доверительные отношения, ключи криптографии, сертификаты, политики и основные учетные записи безопасности.

Все механизмы безопасности Windows 2000 интегрированы с Active Directory. Хотя Active Directory не является службой безопасности, ее можно сделать безопасной контейнеры и объекты Active Directory имеют списки контроля доступа ACL , так же как файлы NTFS. Разрешения в Active Directory можно применять во многом аналогично NTFS. В отличие от разрешений файловой системы NTFS, можно устанавливать разрешения для полей внутри конкретных объектов так, чтобы различные пользователи групп безопасности были ответственны за части данных объекта. 6.1.