Biztonsági alrendszer a Windowsban
Download
Report
Transcript Biztonsági alrendszer a Windowsban
Operációs rendszerek (vimia219)
Biztonsági alrendszer a Windowsban
dr. Micskei Zoltán
http://mit.bme.hu/~micskeiz
Budapesti Műszaki és Gazdaságtudományi Egyetem
Méréstechnika és Információs Rendszerek Tanszék
Copyright Notice
These materials are part of the Windows Operating System
Internals Curriculum Development Kit, developed by David A.
Solomon and Mark E. Russinovich with Andreas Polze
Microsoft has licensed these materials from David Solomon Expert
Seminars, Inc. for distribution to academic organizations solely for
use in academic environments (and not for commercial use)
http://www.academicresourcecenter.net/curriculum/pfv.aspx?ID=6191
© 2000-2005 David A. Solomon and Mark Russinovich
2
Biztonsági feladatok a Windowsban
Hitelesítés (authentication)
o Birtok / tudás / biometria
o Pl. bejelentkezési képernyő, hitelesítő ablakok
Engedélyezés (authorization)
o Alapelv: mindig csoportnak osztunk jogot
o Pl. biztonsági házirend, fájl ACL
Auditálás
o Biztonsági naplózás
4
Biztonsági feladatok a Windowsban
Hitelesítés (authentication)
o Birtok / tudás / biometria
o Pl. bejelentkezési képernyő, hitelesítő ablakok
Engedélyezés (authorization)
o Alapelv: mindig csoportnak osztunk jogot
o Pl. biztonsági házirend, fájl ACL
Auditálás
o Biztonsági naplózás
5
Biztonsági entitások
6
Security Identifier (SID)
Felhasználó / számítógép azonosítója
Pl. gép SID-je:
S-1-5-21-2052111302-1677128483-839522115
Felhasználók, csoportok:
o <Gép SID>-<RID>
o RID: relative identifier
Jól ismert SID-ek
o Everyone: S-1-1-0
o Administrator: S-1-5-<domain>-500
Vista: szolgáltatások is kapnak SID-et
7
DEMO Security identifier (SID)
psgetsid.exe gepnev
psgetsid.exe rendszergazda
psgetsid.exe <felhasznalo>
8
Hitelesítés
Belépés
o Winlogon saját ablakán keresztül
o Secure Attention Sequence: Ctrl + Alt + Del
Jelszavak tárolása
o Hash a registry-ben
Hálózati azonosítás
o NTLM: NT LAN Manager
o Kerberos: Windows 2000 óta,
tartományi (domain) környezetben
9
Hitelesítés (Windows 8)
Microsoft account
o Felhőben tárolt beállítások
o Szinkronizáció
Picture password
o Adott képen elvégzett műveletsor
o Könnyebben megjegyezhető
o Biztonság?
10
Hitelesítés – Hozzáférési token
Megszemélyesítés (impersonation)
11
DEMO Felhasználói adatbázis
Felhasználói fiókok
o Felhasználók és csoportok tulajdonságai
Security Account Manager DB
o rendszerleíró adatbázis (registry)
o HKEY_LOCAL_MACHINE\SAM
12
Biztonsági feladatok a Windowsban
Hitelesítés (authentication)
o Birtok / tudás / biometria
o Pl. Bejelentkezési képernyő, hitelesítő ablakok
Engedélyezés (authorization)
o Alapelv: mindig csoportnak osztunk jogot
o Pl. Biztonsági házirend, fájl ACL
Auditálás
o Biztonsági naplózás
13
Engedélyezés fajtái (ism.)
Engedélyezés
csoportosítása
Kötelezőség
Szint
Típus
Kötelező
(Mandatory)
Rendszer
szintű
Címkézés
Belátás szerint
(Discretionary)
Erőforrás
szintű
Hozzáférési
listák
14
Engedélyezési lehetőségek a Windowsban
Rendszerszintű jogosultságok
Discretionary Access Control
Mandatory Integrity Control
15
Rendszerszintű engedélyezés
Jogosultság (privilege)
o operációs rendszer szintű jog
o Pl.: számítógép leállítása, eszközmeghajtó betöltése
o Név: SeShutdownPrivilege, SeLoadDriverPrivilege
Fiók jog (account right)
o ki hogyan léphet be / nem léphet be
o Pl.: interaktív, hálózaton keresztül…
16
DEMO Jogosultságok: Helyi biztonsági házirend
Jogosultságok
o whomai /priv
o Helyi házirend: Felhasználói jogok kiosztása
Helyi biztonsági házirend további elemei
o Jelszóházirend
o Fiókzárolás
o Biztonsági beállítások
17
Engedélyezési lehetőségek a Windowsban
Rendszerszintű jogosultságok
Discretionary Access Control
o belátás szerinti, erőforrás szintű, hozzáférési lista
Mandatory Integrity Control
18
Engedélyezés fajtái (ism.)
Engedélyezés
csoportosítása
Kötelezőség
Szint
Típus
Kötelező
(Mandatory)
Rendszer
szintű
Címkézés
Belátás szerint
(Discretionary)
Erőforrás
szintű
Hozzáférési
listák
19
Hozzáférés-vezérlési listák (ismétlés)
1
*
*
Szereplő
*
*
*
Szerep
(Role)
+ mask
+inherit
Engedély
(Permission)
20
*
Védett objektum
Objektum szintű hozzáférési listák
21
Objektum szintű hozzáférési listák
Windowsos objektum
Pl. fájl, registry kulcs, pipe…
22
Objektum szintű hozzáférési listák
Biztonsági leíró
Összefogja a többi elemet
23
Objektum szintű hozzáférési listák
• Tulajdonos
• Megváltoztathatja az
objektum engedélyeit, akkor is
ha nincs explicit joga
24
Objektum szintű hozzáférési listák
• Discretionary Access Control List
• Hozzáférés szabályozása
25
Objektum szintű hozzáférési listák
• System Access Control List
• Biztonsági naplózás szabályozása
26
Objektum szintű hozzáférési listák
• Típus
• megengedő, tiltó, audit
• Flag
• Pl. öröklődés
• SID
• kire vonatkozik
• Maszk
• végrehajtás | törlés | tulajdonos írása…
27
Hozzáférés-vezérlési listák
Öröklődés flag
o Konténer típusú objektumnál (pl. könyvtár)
o Gyerek objektum megkapja azt az ACE-t
Kiértékelés menete
o Egy SID-re több ACE is érvényes lehet
o ACE-kból kapott engedélyek UNIÓJA számít
o Kivéve a tiltást, az mindig magasabb prioritású
28
Hozzáférés-vezérlési listák - példa
Objektum: C:\temp
Leíró
Tulajdonos: Rendszergazda
DACL
ACE1: tiltó, nem öröklődik, GipszJ, könyvtár listázása
ACE2: megengedő, öröklődik, Administrators,
könyvtár listázása | fájlok létrehozása
ACE3: megengedő, nem öröklődik, Power Users,
könyvtár listázása | attribútumok olvasása
SACL
29
DEMO Engedélyezés – Fájl hozzáférési listák
Csoport, felhasználó – elemi engedélyek
Öröklődés
o Öröklés korlátozása
Tulajdonba vétel
Eredő engedély
o Unió (csoportokból és felhasználótól), kivéve
o Tiltás mindig érvényesül
Hibaelhárítás: Process Monitor
30
Engedélyezési lehetőségek a Windowsban
Rendszerszintű jogosultságok
Discretionary Access Control
Mandatory Integrity Control
o kötelező, erőforrás szintű, címkézés
31
Engedélyezés fajtái (ism.)
Engedélyezés
csoportosítása
Kötelezőség
Szint
Típus
Kötelező
(Mandatory)
Rendszer
szintű
Címkézés
Belátás szerint
(Discretionary)
Erőforrás
szintű
Hozzáférési
listák
32
Mandatory Integraty Control
Probléma
o DACL nem véd az általunk indított programok esetén
o Folyamataink megkülönböztetése (pl. böngésző)
Megoldás
o Folyamatok és fájlok címkézése
o Címkék: System, High, Medium, Low
o Kiértékelés: „No write up”
Fő felhasználás
o Internet Explorer
33
DEMO Mandatory Integrity Control
Vista funkció
Alapból minden fájlnak Medium címkéje van
Internet Explorer használja:
o IE folyamata Low integritási szint (lásd Process
Explorer, Integrity Level oszlop)
icacls /setintegritylevel H|M|L
o „No write up” kipróbálása
34
Biztonsági feladatok a Windowsban
Hitelesítés (authentication)
o Birtok / tudás / biometria
o Pl. Bejelentkezési képernyő, hitelesítő ablakok
Engedélyezés (authorization)
o Alapelv: mindig csoportnak osztunk jogot
o Pl. Biztonsági házirend, fájl ACL
Auditálás
o Biztonsági naplózás
35
Eseménynapló
Rendszer és alkalmazás üzenetek
Bejegyzés:
o Típus, idő, forrás, ID, leírás
Napló felülírása:
o Ciklikus, időnként, soha
36
DEMO Auditálás
Naplózási házirend
Biztonsági eseménynapló tartalma
Jogok, pl. SeSecurityPrivilege használata
37
Egyéb biztonsági funkciók
Letöltött fájlok blokkolása (Properties / Unblock)
RunAs parancs
User Account Control (UAC)
38
User Account Control
Adminisztrátor felhasználó veszélyei
Megoldás:
o Belépéskor két token: normál és admin
o Admin használatához megerősítést kér
39
DEMO User Account Control, Runas
Korlátozott felhasználóval dolgozni
o Windows XP alatt kényelmetlen volt
o Run as… és runas parancs
o Ha nincs Run as..: bal SHIFT + jobb gomb
Vistaban tervezéskor figyeltek rá: UAC
40
DEMO Csoportházirend (Group Policy)
Számítógép beállítások
o Biztonsági beállítások
o Rendszer komponensek. Pl. Windows Update
Felhasználó
o Alkalmazások
o Windows felülete
Sablonok
Felügyeleti sablonok
~2500 beállítás
41
Összefoglalás
Hitelesítés
o felhasználók tárolása, azonosítása, SID
Engedélyezés
o Fajtái, jogosultságok, ACL-ek
Naplózás
o Eseménynapló, házirendek
42
További információ
Mérés laboratórium 4. segédlet
o http://www.mit.bme.hu/oktatas/targyak/vimia315/jegyzet/
Windows segédlet
43