Лясин Д.Н., Саньков С.Г. Методы и средства защиты компьютерной информации

Подождите немного. Документ загружается.

100

6. Средства безопасности операционных систем

Современные операционные системы обладают мощными встроенными

средствами обеспечения безопасности, осуществляющими аутентификацию,

авторизацию, аудит действий пользователей в системе, защиту от сбоев,

криптографическую защиту объектов операционной системы, предотвращение

сетевых атак. Рассмотрим подробнее встроенные средства безопасности самых

популярных операционных систем.

6.1. ОС семейства Windows

Разговор о подсистемах безопасности ОС семейства Windows имеет смысл

вести начиная с версий NT/2000/XP, поскольку именно это поколение ОС фирмы

Microsoft включает в себя надежную подсистему безопасности как одну из

концептуальных основ системы. Более ранние версии (Windows 95,98) были

ориентированы на домашние компьютеры и не реализовывали большинства

функций безопасности платформы Win32.

ОС платформы Win32 для обеспечения безопасности позволяют:

идентифицировать пользователей сети и‘управлять их‘доступом к‘ресурсам,

кодировать информацию с использованием встроенных средств шифрования

CryptoAPI, поддерживать безопасную связь по‘общедоступным сетям

с‘использованием протоколов IPSec, аутентифицировать пользователей по

протоколу аутентификации Kerberos версии 5 и посредством смарт-карт,

разграничивать доступ к файлам и каталогам с помощью файловых систем NTFS и

EFS.

Система безопасности платформы Win32 основана на модели

безопасности для каждого пользователя или группы

пользователей. Каждый пользователь, зарегистрированный в

системе, имеет собственную учетную запись, которая содержит

персональную информацию о пользователе. Эти данные система

использует для проверки подлинности пользователя и для

101

авторизации его при доступе к ресурсам домена. После

прохождения процедуры аутентификации пользователю

присваивается маркер доступа, идентифицирующий пользователя,

его группу, а также определяющий доступные пользователю

привилегии в системе для доступа к ресурсам. При этом каждому

объекту системы, включая файлы, принтеры, сетевые службы,

контейнеры Active Directory и другие, присваивается дескриптор

безопасности. Дескриптор безопасности объекта определяет права

доступа к объекту и содержит список контроля доступа (ACL –

Access Control List), в котором явно определяется, каким

пользователям разрешено выполнять те или иные действия с этим

объектом. Дескриптор безопасности объекта также определяет,

для каких событий должен вестись аудит. Авторизация Win32

основана на сопоставлении маркера доступа субъекта с

дескриптором безопасности объекта. Управляя свойствами объекта,

администраторы могут устанавливать разрешения, назначать право

владения и отслеживать доступ пользователей. Каждый

дескриптор безопасности может содержать списки двух типов.

Системный список управления доступом (SACL – System Access

Control List) позволяет отслеживать права и ограничения,

установленные для объекта на системном уровне. В этот список

могут вносить изменения только те пользователи, которые

обладают правами доступа на уровне системы.

Пользовательский список управления доступом (DACL – Discretionary Access

Control List) позволяет отслеживать права и ограничения, установленные

владельцем данного объекта. DACL может быть изменен пользователем, который

указан как текущий владелец объекта.

Оба списка имеют одинаковую структуру. Они могут не содержать ни одной

записи либо содержать одну или несколько записей. Каждая запись (ACE – Access

Control Entry) состоит из трех частей: в первой указываются пользователи или

102

группы, к которым относится данная запись, во второй – права доступа, а третья

информирует о том, предоставляются эти права или отбираются.

Дескрипторы безопасности могут быть представлены либо в абсолютном, либо

в относительном формате. Абсолютный формат предусматривает запись

дескриптора безопасности в память в виде структуры указателей и, поэтому, он

более удобен для обновления содержимого дескриптора.

С другой стороны, поскольку указатели содержат ссылки на области памяти,

доступ к которым обычно обеспечивается только компьютером-владельцем,

абсолютный формат не слишком хорош для передачи дескрипторов по сети (или

записи на диск), так как при этом записываются не сами структуры, а только набор

указателей. Поэтому существует второй формат дескрипторов безопасности, в

соответствии с которым структура с текущим содержимым всех полей записывается

в едином непрерывном блоке памяти. Такой формат более удобен для передачи

дескриптора. Он называется относительным форматом (см. рис. 6.1).

103

Задавать список прав доступа можно непосредственно в

оконном диалоге Windows в окне свойств объекта (см. рис.6.2 с

определением прав на доступ к файлу), а можно программно,

используя специальные API-функции. В листинге 1 представлен

фрагмент программы, позволяющей программно изменить права

доступа к файлу для некоторого пользователя.

104

Дескрипторы безопасности

Абсолютный

Указатель

Идентификатор безопасности владельца (SID)

Идентификатор безопасности основной группы (SID)

Пользовательский список управления доступом (DACL)

Запись в списке управления доступом к объекту (ACE)

Запись в списке управления доступом к устройству (DACE)

.. и т.д. …(переменное число ACE и DACE)

Указатель

Указатель Системный список управления доступом (SACL)

Запись в списке управления доступом к объекту (ACE)

Запись в списке управления доступом к устройству (DACE)

.. и т.д. …(переменное число ACE и DACE)

Указатель

Идентификатор безопасности владельца (SID)

Идентификатор безопасности основной группы (SID)

Пользовательский список управления доступом (DACL)

Запись в списке управления доступом к объекту (ACE)

Запись в списке управления доступом к устройству (DACE)

.. и т.д. …(переменное число ACE и DACE)

Системный список управления доступом (SACL)

Запись в списке управления доступом к объекту (ACE)

Запись в списке управления доступом к устройству (DACE)

.. и т.д. …(переменное число ACE и DACE)

Относительный

Рисунок 6.1. Форматы дескрипторов безопасности

Рис.6.2. Определения прав доступа к файлу в Windows

Листинг 1. Программа управления правами доступа к объектам в Windows

SID_NAME_USE SIDType;

PSECURITY_DESCRIPTOR pNewFileSD;

PACL pNewFileDACL;

char *filename = “c:\\testfle.dat”; //имя файла

char *username =”guest” ; //имя пользователя

char szDomainName[250]=”VPI”; //название домена

char UserSID[2048]; //идентификатор безопасности пользователя

DWORD dwSIDLength = sizeof( UserSID );

DWORD dwDomainLength = sizeof( szDomainName );

DWORD dwNewACLSize;

// получить SID (идентификатор безопасности) пользователя (группы)

LookupAccountName((LPSTR) NULL, username, UserSID, &dwSIDLength,

szDomainName, &dwDomainLength, &SIDType );

// Инициализировать новый SD (дескриптор безопасности)

InitializeSecurityDescriptor( pNewFileSD, SECURITY_DESCRIPTOR_REVISION );

//получить размер ACL

105

dwNewACLSize = sizeof(ACL) + sizeof(ACCESS_ALLOWED_ACE) +

GetLengthSid(UserSID) - sizeof(DWORD) ;

//создать и проинициализировать новый ACL

InitializeAcl( pNewFileDACL, dwNewACLSize, ACL_REVISION2 );

//поместить новый ACE с разрешением на чтение файла для пользователя в конец DACL

AddAccessAllowedAce( pNewFileDACL, ACL_REVISION2, GENERIC_READ, &UserSID

);

// записать DACL в новый SD файла

SetSecurityDescriptorDacl( pNewFileSD, TRUE, pNewFileDACL, FALSE );

// установить новый SD для файла с именем в filename

SetFileSecurity( filename, DACL_SECURITY_INFORMATION, pNewFileSD );

Разграничение прав доступа пользователей к файлам и папкам

в Win32 возможно только при использовании файловой системы

NTFS. Эта файловая система обеспечивает поддержку

дескрипторов безопасности для элементов файловой системы и

позволяет определять следующие права на доступ: чтение, запись,

выполнение, удаление, изменение прав доступа, получение права

владельца, запись/чтение атрибутов (см. рис. 6.2). Необходимо,

однако, отметить, что файловая система NTFS не выполняет

шифрования информации на носителях, в связи с чем существует

возможность получить доступ к информации на физическом

уровне, например, загрузившись с другой операционной системы,

получить доступ к информации в файлах. Такую возможность

предоставляет утилита ntfsdos.exe, которую можно запустить,

предварительно загрузив на компьютер операционную систему MS

DOS c гибкого диска. Для того чтобы предотвратить доступ к

логическим NTFS – дискам необходимо запретить загрузку

компьютера с гибкого диска, запретить подключение других

носителей к компьютеру и отключение носителя от компьютера.

Альтернативой этому комплексу мер может стать использование

файловой системы EFS (Encrypting File System). Шифрующая

106

файловая система EFS - это тесно интегрированная с NTFS служба,

располагающаяся в ядре Windows. Ее назначение: защита данных,

хранящихся на диске, от несанкционированного доступа путем их

шифрования. EFS использует архитектуру Windows CryptoAPI. В ее

основе лежит технология шифрования с открытым ключом. Для

шифрования каждого файла случайным образом генерируется

ключ шифрования файла. В текущей реализации EFS использует

алгоритм - DESX, являющийся специальной модификацией

стандарта DES.

Локальные учетные записи пользователей в Win32 хранятся в

базе данных SAM (Security Account Manager). Она располагается в

каталоге \%Systemroot%\System32\ConfIg в отдельном файле,

который называется SAM. В учетных записях базы данных SAM

находится информация о пользовательских именах и паролях,

которая необходима для идентификации и аутентификации

пользователей при их интерактивном входе в систему. Учетные

записи создаются с использованием инструмента Local Users and

Groups (Локальные пользователи и группы) из программы Computer

Management (Управление компьютером). Информация в SAM

хранится в зашифрованном виде. Пароль пользователя сначала

хэшируется алгоритмом MD4, затем результат хэширования

кодируется алгоритмом DES, причем в качестве ключа шифрования

используется так называемый относительный идентификатор

пользователя (Relative Identiner, RID), который представляет собой

автоматически увеличивающийся порядковый номер учетной

записи данного пользователя в базе данных SAM. При входе

пользователя в систему его пароль подвергается аналогичным

преобразованиям, и если их результат совпадет с содержимым

SAM, пользователь проходит аутентификацию. Для

предотвращения доступа злоумышленника к базе данных SAM

107

доступ к ней заблокирован для всех без исключения ее

пользователей. Однако, существует возможность сохранить копию

этого файла с помощью утилиты резервного копирования

NTBACKUP. Доступ возможен также при загрузке альтернативной

ОС (уже упоминавшаяся утилита ntfsdos.exe из под MS DOS может

предоставить доступ к SAM). Необходимо также защищать от

несанкционированного доступа автоматически создаваемую

сжатую архивную копию SAM (файл SAM) в каталоге \%Systemroot

%\Repair.

При наличии файла SAM злоумышленник может получить

доступ к хранящимся в нем учетным записям, используя такие

программы, как LOphtCrack или Advanced NT Security Explorer. В

связи с этим необходимо защищать SAM от несанкционированного

доступа, запретив загрузку альтернативных ОС с других дисков в

BIOS, установив соответствующие права доступа к файлам SAM в

системе или используя специальную утилиту SYSKEY,

дополнительно шифрующую содержимое файла SAM.

ОС платформы Win32 активно используют возможности защищенного

режима процессора и позволяют эффективно защищать код и данные процессов от

взаимного влияния друг на друга. Каждый процесс работает в собственном

виртуальном адресном пространстве, доступ к которому других процессов

запрещен, если только сам процесс-владелец не разрешит его.

Платформа Win32 предоставляет программный интерфейс

CryptoAPI для кодирования информации по различным алгоритмам,

как симметричным, так и асимметричным. CryptoAPI – это

интерфейс прикладного программирования (API)– Application

Programming Interface) в)операционной системе Windows,

предоставляющий службы шифрования для операционной системы

и приложений, работающих под ее управлением. Он содержит ряд

функций, позволяющих приложениям шифровать данные и ставить

108

цифровую подпись различными способами, обеспечивая защиту

личных ключей. Однако, сами функции CryptoApi не выполняют

никаких криптографических действий, а служат лишь

посредниками между прикладной программой и CSP (Cryptographic

Service Provider – поставщик службы шифрования). Программная

часть криптопровайдера представляет собой dll-файл с функциями

поддержки шифрования. Криптопровайдеры отличаются друг от

друга составом функций, требованиями к оборудованию,

алгоритмами, осуществляющими базовые действия (создание

ключей, хеширование и пр.).

По составу функций и обеспечивающих их алгоритмов

криптопровайдеры подразделяются на типы. Например, любой CSP

типа PROV_RSA_FULL поддерживает как шифрование, так и

цифровые подписи, использует для обмена ключами и создания

подписей алгоритм RSA, для шифрования — алгоритмы RC2 и RC4,

а для хеширования - MD5 и SHA.

В зависимости от версии операционной системы состав

установленных криптопровайдеров может существенно

изменяться. Однако на любом компьютере с Windows можно найти

Microsoft Base Cryptographic Provider, относящийся к типу

PROV_RSA_FULL. Именно с этим провайдером по умолчанию будут

взаимодействовать все программы. Пользователь имеет

возможность приобрести CSP другого производителя, тогда

функции CryptoAPI будут работать с программами этого CSP.

Пример использования функций CryptoAPI для кодирования файла

симметричным алгоритмом RC4 приведен в листинге 2.

Листинг 2. Использование функций CryproAPI для кодирования файла

HCRYPTPROV hProv;

//Подключаемся к криптопровайдеру типа PROV_RSA_FULL

if(!CryptAcquireContext(&hProv,NULL,NULL,PROV_RSA_FULL,0))

{

109