Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék dr. Micskei Zoltán Biztonsági alrendszer a Windowsban Operációs rendszerek (vimia219)
Copyright Notice These materials are part of the Windows Operating System Internals Curriculum Development Kit, developed by David A. Solomon and Mark E. Russinovich with Andreas Polze Microsoft has licensed these materials from David Solomon Expert Seminars, Inc. for distribution to academic organizations solely for use in academic environments (and not for commercial use) © David A. Solomon and Mark Russinovich 2
Kvíz SID HKLM 3 SACL
Biztonsági feladatok a Windowsban Hitelesítés (authentication) o Birtok / tudás / biometria o Pl. bejelentkezési képernyő, hitelesítő ablakok Engedélyezés (authorization) o Alapelv: mindig csoportnak osztunk jogot o Pl. biztonsági házirend, fájl ACL Auditálás o Biztonsági naplózás 4
Biztonsági feladatok a Windowsban Hitelesítés (authentication) o Birtok / tudás / biometria o Pl. bejelentkezési képernyő, hitelesítő ablakok Engedélyezés (authorization) o Alapelv: mindig csoportnak osztunk jogot o Pl. biztonsági házirend, fájl ACL Auditálás o Biztonsági naplózás 5
Biztonsági entitások 6
Security Identifier (SID) Felhasználó / számítógép azonosítója Pl. gép SID-je: S Felhasználók, csoportok: o - o RID: relative identifier Jól ismert SID-ek o Everyone: S o Administrator: S Vista: szolgáltatások is kapnak SID-et 7
DEMO psgetsid.exe gepnev psgetsid.exe rendszergazda psgetsid.exe Security identifier (SID) 8
Hitelesítés Belépés o Winlogon saját ablakán keresztül o Secure Attention Sequence: Ctrl + Alt + Del Jelszavak tárolása o Hash a registry-ben Hálózati azonosítás o NTLM: NT LAN Manager o Kerberos: Windows 2000 óta, tartományi (domain) környezetben 9
Hitelesítés (Windows 8) Microsoft account o Felhőben tárolt beállítások o Szinkronizáció Picture password o Adott képen elvégzett műveletsor o Könnyebben megjegyezhető o Biztonság? 10
Hitelesítés – Hozzáférési token Megszemélyesítés (impersonation) 11
DEMO Felhasználói fiókok o Felhasználók és csoportok tulajdonságai Security Account Manager DB o rendszerleíró adatbázis (registry) o HKEY_LOCAL_MACHINE\SAM Felhasználói adatbázis 12
Biztonsági feladatok a Windowsban Hitelesítés (authentication) o Birtok / tudás / biometria o Pl. Bejelentkezési képernyő, hitelesítő ablakok Engedélyezés (authorization) o Alapelv: mindig csoportnak osztunk jogot o Pl. Biztonsági házirend, fájl ACL Auditálás o Biztonsági naplózás 13
Engedélyezés fajtái (ism.) Engedélyezés csoportosítása Kötelezőség Kötelező (Mandatory) Belátás szerint (Discretionary) Szint Rendszer szintű Erőforrás szintű Típus Címkézés Hozzáférési listák 14
Engedélyezési lehetőségek a Windowsban Rendszerszintű jogosultságok Discretionary Access Control Mandatory Integrity Control 15
Rendszerszintű engedélyezés Jogosultság (privilege) o operációs rendszer szintű jog o Pl.: számítógép leállítása, eszközmeghajtó betöltése o Név: SeShutdownPrivilege, SeLoadDriverPrivilege Fiók jog (account right) o ki hogyan léphet be / nem léphet be o Pl.: interaktív, hálózaton keresztül… 16
DEMO Jogosultságok o whomai /priv o Helyi házirend: Felhasználói jogok kiosztása Helyi biztonsági házirend további elemei o Jelszóházirend o Fiókzárolás o Biztonsági beállítások Jogosultságok: Helyi biztonsági házirend 17
Engedélyezési lehetőségek a Windowsban Rendszerszintű jogosultságok Discretionary Access Control o belátás szerinti, erőforrás szintű, hozzáférési lista Mandatory Integrity Control 18
Engedélyezés fajtái (ism.) Engedélyezés csoportosítása Kötelezőség Kötelező (Mandatory) Belátás szerint (Discretionary) Szint Rendszer szintű Erőforrás szintű Típus Címkézés Hozzáférési listák 19
Hozzáférés-vezérlési listák (ismétlés) SzereplőVédett objektumSzerep (Role) + mask +inherit + mask +inherit Engedély (Permission) * * *** * 1 20
Objektum szintű hozzáférési listák 21
Objektum szintű hozzáférési listák Windowsos objektum Pl. fájl, registry kulcs, pipe… Windowsos objektum Pl. fájl, registry kulcs, pipe… 22
Objektum szintű hozzáférési listák Biztonsági leíró Összefogja a többi elemet Biztonsági leíró Összefogja a többi elemet 23
Objektum szintű hozzáférési listák Tulajdonos Megváltoztathatja az objektum engedélyeit, akkor is ha nincs explicit joga Tulajdonos Megváltoztathatja az objektum engedélyeit, akkor is ha nincs explicit joga 24
Objektum szintű hozzáférési listák Discretionary Access Control List Hozzáférés szabályozása Discretionary Access Control List Hozzáférés szabályozása 25
Objektum szintű hozzáférési listák System Access Control List Biztonsági naplózás szabályozása System Access Control List Biztonsági naplózás szabályozása 26
Objektum szintű hozzáférési listák Típus megengedő, tiltó, audit Flag Pl. öröklődés SID kire vonatkozik Maszk végrehajtás | törlés | tulajdonos írása… Típus megengedő, tiltó, audit Flag Pl. öröklődés SID kire vonatkozik Maszk végrehajtás | törlés | tulajdonos írása… 27
Hozzáférés-vezérlési listák Öröklődés flag o Konténer típusú objektumnál (pl. könyvtár) o Gyerek objektum megkapja azt az ACE-t Kiértékelés menete o Egy SID-re több ACE is érvényes lehet o ACE-kból kapott engedélyek UNIÓJA számít o Kivéve a tiltást, az mindig magasabb prioritású 28
Hozzáférés-vezérlési listák - példa Objektum: C:\temp Leíró Tulajdonos: Rendszergazda DACL ACE2: megengedő, öröklődik, Administrators, könyvtár listázása | fájlok létrehozása ACE3: megengedő, nem öröklődik, Power Users, könyvtár listázása | attribútumok olvasása SACL 29 ACE1: tiltó, nem öröklődik, GipszJ, könyvtár listázása
DEMO Csoport, felhasználó – elemi engedélyek Öröklődés o Öröklés korlátozása Tulajdonba vétel Eredő engedély o Unió (csoportokból és felhasználótól), kivéve o Tiltás mindig érvényesül Hibaelhárítás: Process Monitor Engedélyezés – Fájl hozzáférési listák 30
Engedélyezési lehetőségek a Windowsban Rendszerszintű jogosultságok Discretionary Access Control Mandatory Integrity Control o kötelező, erőforrás szintű, címkézés 31
Engedélyezés fajtái (ism.) Engedélyezés csoportosítása Kötelezőség Kötelező (Mandatory) Belátás szerint (Discretionary) Szint Rendszer szintű Erőforrás szintű Típus Címkézés Hozzáférési listák 32
Mandatory Integraty Control Probléma o DACL nem véd az általunk indított programok esetén o Folyamataink megkülönböztetése (pl. böngésző) Megoldás o Folyamatok és fájlok címkézése o Címkék: System, High, Medium, Low o Kiértékelés: „No write up” Fő felhasználás o Internet Explorer 33
DEMO Vista funkció Alapból minden fájlnak Medium címkéje van Internet Explorer használja: o IE folyamata Low integritási szint (lásd Process Explorer, Integrity Level oszlop) icacls /setintegritylevel H|M|L o „No write up” kipróbálása Mandatory Integrity Control 34
Biztonsági feladatok a Windowsban Hitelesítés (authentication) o Birtok / tudás / biometria o Pl. Bejelentkezési képernyő, hitelesítő ablakok Engedélyezés (authorization) o Alapelv: mindig csoportnak osztunk jogot o Pl. Biztonsági házirend, fájl ACL Auditálás o Biztonsági naplózás 35
Eseménynapló Rendszer és alkalmazás üzenetek Bejegyzés: o Típus, idő, forrás, ID, leírás Napló felülírása: o Ciklikus, időnként, soha 36
DEMO Naplózási házirend Biztonsági eseménynapló tartalma Jogok, pl. SeSecurityPrivilege használata Auditálás 37
Egyéb biztonsági funkciók Letöltött fájlok blokkolása (Properties / Unblock) RunAs parancs User Account Control (UAC) 38
User Account Control Adminisztrátor felhasználó veszélyei Megoldás: o Belépéskor két token: normál és admin o Admin használatához megerősítést kér 39
DEMO Korlátozott felhasználóval dolgozni o Windows XP alatt kényelmetlen volt o Run as… és runas parancs o Ha nincs Run as..: bal SHIFT + jobb gomb Vistaban tervezéskor figyeltek rá: UAC User Account Control, Runas 40
DEMO Számítógép beállítások o Biztonsági beállítások o Rendszer komponensek. Pl. Windows Update Felhasználó o Alkalmazások o Windows felülete Sablonok Felügyeleti sablonok ~2500 beállítás Csoportházirend (Group Policy) 41
Összefoglalás Hitelesítés o felhasználók tárolása, azonosítása, SID Engedélyezés o Fajtái, jogosultságok, ACL-ek Naplózás o Eseménynapló, házirendek 42
További információ Mérés laboratórium 4. segédlet o Windows segédlet 43