Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

„Semmi sem az, mint aminek látszik” Gál Tamás Microsoft Magyarország.

Hasonló előadás


Az előadások a következő témára: "„Semmi sem az, mint aminek látszik” Gál Tamás Microsoft Magyarország."— Előadás másolata:

1 „Semmi sem az, mint aminek látszik” Gál Tamás Microsoft Magyarország

2 Némi ismétlés A motorháztető alatt Virtualizáció UAC kompatibilitás – ACT 5.0 Csoportházirend opciók ÖsszegzésFüggelék

3 Az UAC feladata többrétű Az alkalmazások és az OS biztonságos kapcsolatának és kommunikációjának felügyelete A feleslegesen magas jogosultsági szint használatának korlátozása Adott esetben az emelt jogosultsági szint elfogadása és az alkalmazás ismételt futtatása > AAM Virtualizáció (lásd később)

4 UAC szkenáriók Maximálisan javasolt: a desktop gépeken mindenki standard felhasználó és nincs emelt jogosultság szint megadási lehetőség – nincs visszaélés, az alkalmazások telepítése pl. centralizált lehet ekkor Kevésbé javasolt: a desktop gépeken mindenki standard felhasználó, de van lehetőség interaktív módon emelt szintre lépni – a spéci alkalmazások vagy a laptopok, otthoni felhasználók esetén Nem javasolt: kikényszerített, megerősítés nélküli, emelt szintű használat pl. a helyi „Administrators” csoportnak

5 A fiókok harca Standard vs. Admin csoporttagság Admin csoport vs. Built-in Admin fiók A Standard fiók is „ér”vmit Vezeték néküli hálózat konfigurálás, Energia- ellátási opciók változtatása, VPN-kapcsolatok konfigurálása, Nyomtató- és egyéb eszközök hozzáadása (GP), Windows Update, Windows Defender, defragmentálás, időzóna-váltás, Eseménynapló (a Security naplót nem  ) A pajzs ikon mutatja, hogy mit nem lehet

6 Standard vs. Admin tagság Komoly különbség, pl. az alapvető OS komponensek legális elérésében Rendszerszolgáltatások, eszközmeghajtók, folyamatok, registry kezelése Alkalmazások, ActiveX kontrollok telepítése/eltávolítása OS rendszerfájlok cseréje Hálózati beállítások, tűzfal kezelése Eseménynapló/Feladatütemező használata Legális elérés > muszáj emelt jogosultságot kapnia

7 Admin csoporttagság vs. Built-in Admininistrator fiók Nem ugyanaz a szint! A Vistában az UAC hatóköre egyáltalán nem terjed ki az Administrator fiókra Mindig full token használat Nincs megerősítés, nincs prompt Viszont alapértelmezés szerint le van tiltva Automatizmus a különböző szkenáriókra, pl. OS frissítés, csökkentett mód, stb.

8 Nem interaktív belépésnél Ha helyi (nem domain) fiókkal történik akkor: Standard User Ha domain és admin illetve helyi System fiók akkor: az UAC nem érvényesül Különleges interaktív kapcsolatok (pl. RDP, TS, stb.): normál UAC szabályok

9 Administrator Approval Mode Administrator logon: RID tábla vizsgálat Full token Szűrt token Explorer.exe Szűrt token Split access token: darabolás és raktározás User logon: RID tábla vizsgálat

10 Standard / Filtered User Token Az Admin SID-ek "Deny Only"-ra váltanak Közepes integritási szint A legtöbb magas jogosultság „kilőve” Administrator / Full Token Az Admin SID-ek korlátozás megszűnik Magas integritási szint Magas jogosultságok elérhetőek

11 A kettős token megszerzésének feltétele a 18 db minősített csoporttagság......vagy a 9 db különleges jogosultság

12 Deny SID, IL, privilégiumok

13 UAC nélkül (pl. XPSP2) Az alkalmazás az indító felhasználó fiók jogosultsági szintjét örökli Minden negatív illetve pozítiv vonzatával Explorer.exe ShellExecute(Ex) Create Process USER

14 Hogyan ingerelhetjük az UAC-ot? A futtatható fájlokhoz mellékelt manifeszt fájl tartalma alapján Heurisztika, azaz a fájl neve is számít Az AppCompat adatbázis a fájlhoz tartalmaz egy „ElevateCreateProcess" shim-et (lásd később) „Run as administrator”

15 Vista (UAC) AppCompat lista Fusion: UAC-aware programok > manifeszt fájlok Installer Heuristics: ismert minták Explorer.exe ShellExecute(Ex) Create Process USER AppCompat Fusion Installer Heuristics Error_elevation_require d

16 Manifeszt fájlok - belső és külső Belső: az.exe-be fordítva Ez az erősebb Külső: gyakorlatilag egy szövegfájl Az.exe neve +.manifest Vista > új kulcs (requestedExecutionLevel), háromféle értékkel: asInvoker: jelenlegi user jogaival highestAvailable: Standard user nincs kérdés, Admin user: van kérdés (pl. mmc.exe, regedit.exe) RequireAdministrator: mindig kérdez Sigcheck.exe (Sysinternals)

17 + Sigcheck.exe

18 Heurisztika UAC megpróbálja detektálni a telepítőcsomagokat, pl. a fájlnév alapján Setup, update, install, stb. Bárhol lehet a névben Félrevezető is lehet (pl. UserCertInstall.bat) Csoportházirenddel viszont tiltható A spéci „telepítési” biteket is figyeli pl. egy.exe esetén.msi: mindig telepítőnek tekinti

19 Edit.com vs. Install.com

20 Explorer.exe ShellExecute(Ex) Create Process USER AppCompat Fusion Installer Heuristics Error_elevation_require d SYSTEM Create Process (AsUser) AppInfo (AIS) Belép az AIS Újabb 3 kör Újabb Create Process Majd: Secure Desktop App- Compat Fusion IH

21 Secure Desktop A’ la SAS (Secure Attention Sequence) Az AIS indítja szeparált ablakként Csak az UAC ablak aktív > „sötét képernyő” Miért nincs „printscreen? Komoly védelem szükséges, mivel ez egy igazán kényes szituáció Session 0 Közben indul a Consent.exe és...

22 1 2 Megerősítések 1. Aláírt OS alkalmazás 2. Aláírt 3rd party alkalmazás Blokkolás

23 1 2 3 Promptok 1. OS alkalmazás 2. Aláírt alkalmazás 3. Aláírás nélküli alkalmazás Max. 2 percig, majd default tiltás

24 Külső alkalmazások vs. Secure Desktop A manifeszt fáljnak tartalmaznia kell az UIAccess= „True” bejegyzést Microsoft által aláírt és engedélyezett kód „Biztonságos” helyről indulhat csak Windows\System32 és almappái Program Files és almappái Program Files (x86) és almappái a 64 bites rendszereken

25 Bizonyos alkalmazások… Nem UAC kompatibilisek Csak admin jogosultsággal futnak Viszont szükségünk van rájuk Virtuális „homokozó” – profilonként Teljesen automatikusan (házirend) Natív 64 bites alkalmazásoknál nem működik A manifeszt fájlokkal szintén nem

26 Fájlvirtualizáció A cél: %SystemRoot%, %windir%, %ProgramFiles%, %ProgramData% A homokozó: \Users\ \ Appdata \ Local \ VirtualStore A Task Managerből is engedélyezhető Saját naplófájl (UAC-FileVirtualization) Registry-virtualizáció Cél: „HKLM\Software”; a homokozó: HKey_Users\_Classes\VirtualStore A fájlrendszerben: Usrclass.dat

27 Nem virtualizálható Futtatható fájlok, pl..EXE,.BAT,.VBS és.SCR További kivételek: HKLM \ System \ CurrentControlSet \ Services \ Luafv \ Parameters \ ExcludedExtensionsAdd Az összes Vista komponens Folyamatok / alkalmazások admin jogokkal Kernel módú alkalmazások Nem interaktív bejelentkezésen keresztüli műveletek (pl.: fájlmegosztás) A „Dont_Virtualize” jelzéssel megjelöltek (registry)

28

29 A korábbi / renitens alkalmazásoknál szükség lehet rá, mert segíthet... Az UAC szituációkban A WRP problémákon Az IE7 védett módú használatánál A GINA, Session 0 gondokon Számos, a Vistában száműzött.dll,.exe, COM objektum és registry kulcs hiánya okozta helyzetben OS verzióproblémákkal kapcsolatban

30 Segítség az alkalmazásoknak A Vista integráltan tartalmaz egy listát De mi is tudunk kreálni ún. „shim"-eket az ACT 5.0-val > demó! A komponensei Standard User Analyzer: a vizsgálathoz Compatibility Administrator: a javítás elkészítéséhez Sdbinst.exe: parancssori eszköz a javítás telepítéséhez

31 Egyéb ACT 5.0 jellemzők Vista kompatibilis  De adminként kell futtatni SQL kiszolgáló is kell hozzá Működési szint belövése RunAsAdmin opció NoVirtualization opció... Letölthető:

32 Admin jogok hozzárendelése a renitens alkalmazáshoz

33

34 Emelt szintű belépés + UAC esetén… Token darabolás megtörténik A „Deny only SID"-ek alkalmazása is A kiemelt jogosultságok eltávolításra kerülnek Az „Integrity level" közepes szintre áll be Fájl- és registry virtualizáció elindul Az IE védett módba kapcsol (a legtöbb zónánál) Secure Desktop engedélyezésre kerül Jogosultság emelés elérhető / megjelenik

35 Az UAC nem vírus-, mal-, spyware irtó Nem állítja meg a kártevőket A „hatalomátvételt” nehezíti meg Az UAC nem működik Safe módban A beépített Administrator fiókkal A rendszerszolgáltatásokkal A nem interaktív belépések esetén Ha kikapcsoljuk

36 Az UAC kikapcsolható CP/User Accounts (IE védett mód is) Msconfig.exeCsoportházirend Nincs szelektív kikapcsolás Drasztikusan az admin se kapcsolja ki Problémák adódhatnak, pl. virtualizáció Ha utáljuk is, csak finoman > csoport- házirenddel „némítsuk el”

37 Az UAC csak egy az új biztonsági eszközök között a Vistában, merthogy: Service Security Hardening Address Space Layout Randomization Bitlocker Drive Encryption Windows Defender Windows Firewall IE7 védett mód IE7 phishing és CA szűrő

38

39

40

41 Split Access Token A klasszikus token feldarabolása, a minősített jogosultságok és engedélyek kiszűrése Standard User „Aki” a szűrt tokent használja, alapértelmezés szerint minden egyes fiók (a kivételről később) Administrator Approval Mode Alapértelmezés szerint az adminok is csökkentett jogosultsággal futattnak mindent, ám adott esetben - tipikusan interaktívan - a megfelelő hitelesítési infókkal képesek emelt szintre jutni Application Information Service (AIS) Rendszerszolgáltás, amely segít az emelt szintet kérő alkalmazok futtatásánál: pl. új processzt készít és indít, immár az admin user full tokenjével

42 Application manifest XML formátumú metadata a futtatható állományokhoz – az alkalmazás ezen keresztül „igazodhat” az UAC- hoz BlockedUI Dialógusdoboz a nem megbízható alkalmazásokhoz. Egy alkalmazás két módon juthat erre a sorsra: Ha a tanúsítványa explicit nem megbízható (Untrusted Publisher Machine Certificate store) Ha az UAC házirendben finomhangolást végzünk, a Trusted Root store-ral kapcsolatban Windows Integrity Control (régebben MIC) A különböző megbízhatósági szinten lévő folyamatok nem kommunikálhatnak egymással, ergo alapból „bizalmatlanok” egymáshoz

43 Interactive User A konzolról vagy egy terminál-kapcsolaton keresztül belépett felhasználó Az UAC csak az interaktív felhasználóknak nyújtja a speciális szolgáltatásait Network User Hálózati felhasznaló, kimarad az UAC előnyeiből, nincs token szűrés sem Secure Desktop Az az állapot, melyben az OS „kivár” a jogosultság emelés bekövetkeztéig

44 Consent.exe Hostolja a ConsentUI / CredUI dialogusdobozokat. Ezeknek a jogosultságemelés interaktív folyamata során van szerepe ConsentUI Az alkalmazás futtatásához szükséges „beleegyezés” interaktív, a desktopon megjelenő megoldása. Az AIS futattja, és erősen védett a külső hatásoktól, például a WIC (MIC) által CredUI Ugyanaz mint az előző, csak prompttal, azaz hitelesítési infókat kér, a szűrés nélküli token használatáért cserébe

45 Admin Approval Mode for the built-in administrator account UAC használat a beépített admin fióknak Allow UIAccess applications to prompt for elevation without using the secure desktop Secure Desktop „kihagyása” – kizárólag aláírt, védett helyekről indított UIAccess alkalmazásoknak Behavior of the elevation prompt for administrators in Admin Approval Mode Mi történjen, ha az Admin csoport tagjainál jogosultság-emelésre van szükség (3)?

46 Behavior of the elevation prompt for standard users Mi történjen, ha az Users csoport tagjainál jogosultságemelésre van szükség (2)? Detect application installations and prompt for elevation Legyen-e heurisztikus telepítés figyelés? Only elevate executables that are signed and validated Legyen-e aláírva minden alkalmazás, amelyhez emelt szintű jogosultság szükséges?

47 Only elevate UIAccess applications that are installed in secure locations Csak a védett helyről induló UIAccess alkalmazások kaphassanak emelt szintű jogosultságot Run all administrators in Admin Approval Mode Legyen-e UAC az admin csoport számára? Switch to the secure desktop when prompting for elevation Használjuk-e egyáltalán a Secure Desktop-ot? Virtualize file and registry write failures to per-user locations Virtualizáció (mindkét típus) letiltása


Letölteni ppt "„Semmi sem az, mint aminek látszik” Gál Tamás Microsoft Magyarország."

Hasonló előadás


Google Hirdetések