Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék Micskei Zoltán Előadások:

Az előadások a következő témára: "Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék Micskei Zoltán Előadások:"— Előadás másolata:

1 Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék Micskei Zoltán Előadások: http://www.mit.bme.hu/~micskeizhttp://www.mit.bme.hu/~micskeiz Biztonsági alrendszer a Windowsban Operációs rendszerek (vimia219)

2 Copyright Notice  These materials are part of the Windows Operating System Internals Curriculum Development Kit, developed by David A. Solomon and Mark E. Russinovich with Andreas Polze  Microsoft has licensed these materials from David Solomon Expert Seminars, Inc. for distribution to academic organizations solely for use in academic environments (and not for commercial use)  http://www.academicresourcecenter.net/curriculum/pfv.aspx?ID=6191 http://www.academicresourcecenter.net/curriculum/pfv.aspx?ID=6191  © 2000-2005 David A. Solomon and Mark Russinovich 2

3 Kvíz SID HKLM 3 SACL

4 Biztonsági feladatok a Windowsban  Azonosítás (authentication) o Birtok / tudás / biometria o Pl. bejelentkezési képernyő, hitelesítő ablakok  Engedélyezés (authorization) o Alapelv: mindig csoportnak osztunk jogot o Pl. biztonsági házirend, fájl ACL  Auditálás o Biztonsági naplózás 4

5 Biztonsági feladatok a Windowsban  Azonosítás (authentication) o Birtok / tudás / biometria o Pl. bejelentkezési képernyő, hitelesítő ablakok  Engedélyezés (authorization) o Alapelv: mindig csoportnak osztunk jogot o Pl. biztonsági házirend, fájl ACL  Auditálás o Biztonsági naplózás 5

6 Biztonsági entitások 6

7 Security Identifier (SID)  Felhasználó / számítógép azonosítója  Pl. gép SID-je: S-1-5-21-2052111302-1677128483-839522115  Felhasználók, csoportok: o - o RID: relative identifier  Jól ismert SID-ek o Everyone: S-1-1-0 o Administrator: S-1-5-domain-500  Vista: szolgáltatások is kapnak SID-et 7

8 DEMO  psgetsid.exe gepnev  psgetsid.exe rendszergazda  psgetsid.exe Security identifier (SID) 8 Kiegészítő anyag

9 Azonosítás  Belépés o Winlogon saját ablakán keresztül o Secure Attention Sequence: Ctrl + Alt + Del  Jelszavak tárolása: o Hash a registry-ben  Hálózati azonosítás o NTLM: NT LAN Manager o Kerberos: Windows 2000 óta, tartományi (domain) környezetben 9

10 Azonosítás – Hozzáférési token  Megszemélyesítés (impersonation) 10

11 DEMO  rendszerleíró adatbázis (registry) o HKEY_LOCAL_MACHINE\SAM  megnézés: psexec -i -s regedit.exe Security Account Manager DB 11

12 Biztonsági feladatok a Windowsban  Azonosítás (authentication) o Birtok / tudás / biometria o Pl. Bejelentkezési képernyő, hitelesítő ablakok  Engedélyezés (authorization) o Alapelv: mindig csoportnak osztunk jogot o Pl. Biztonsági házirend, fájl ACL  Auditálás o Biztonsági naplózás 12

13 Engedélyezés fajtái (ism.) Engedélyezés csoportosítása Kötelezőség Kötelező (Mandatory) Belátás szerint (Discretionary) Szint Rendszer szintű Erőforrás szintű Típus Címkézés Hozzáférési listák 13

14 Engedélyezési lehetőségek a Windowsban  Rendszerszintű jogosultságok  Discretionary Access Control  Mandatory Integrity Control 14

15 Rendszerszintű felhatalmazás  Jogosultság (privilege) o operációs rendszer szintű jog o Pl.: számítógép leállítása, eszközmeghajtó betöltése o Név: SeShutdownPrivilege, SeLoadDriverPrivilege  Fiók jog (account right) o ki hogyan léphet be / nem léphet be o Pl.: interaktív, hálózaton keresztül… 15

16 DEMO  Jogosultságok o whomai /priv o Helyi házirend: Felhasználói jogok kiosztása  Helyi biztonsági házirend további elemei o Jelszóházirend o Fiókzárolás o Biztonsági beállítások Jogosultságok: Helyi biztonsági házirend 16

17 Engedélyezési lehetőségek a Windowsban  Rendszerszintű jogosultságok  Discretionary Access Control o belátás szerinti, erőforrás szintű, hozzáférési lista  Mandatory Integrity Control 17

18 Objektum szintű hozzáférési listák 18

19 Objektum szintű hozzáférési listák Windowsos objektum Pl. fájl, registry kulcs, pipe… Windowsos objektum Pl. fájl, registry kulcs, pipe… 19

20 Objektum szintű hozzáférési listák Biztonsági leíró Összefogja a többi elemet Biztonsági leíró Összefogja a többi elemet 20

21 Objektum szintű hozzáférési listák Tulajdonos Megváltoztathatja az objektum engedélyeit, akkor is ha nincs explicit joga Tulajdonos Megváltoztathatja az objektum engedélyeit, akkor is ha nincs explicit joga 21

22 Objektum szintű hozzáférési listák Discretionary Access Control List Hozzáférés szabályozása Discretionary Access Control List Hozzáférés szabályozása 22

23 Objektum szintű hozzáférési listák System Access Control List Biztonsági naplózás szabályozása System Access Control List Biztonsági naplózás szabályozása 23

24 Objektum szintű hozzáférési listák Típus megengedő, tiltó, audit Flag Pl. öröklődés SID kire vonatkozik Maszk végrehajtás | törlés | tulajdonos írása… Típus megengedő, tiltó, audit Flag Pl. öröklődés SID kire vonatkozik Maszk végrehajtás | törlés | tulajdonos írása… 24

25 Hozzáférési listák - példa Objektum: C:\temp Leíró Tulajdonos: Rendszergazda DACL ACE1: megengedő, öröklődik, Rendszergazdák, könyvtár listázása | fájlok létrehozása ACE2: megengedő, nem öröklődik, Felhasználók, könyvtár listázása | attribútumok olvasása SACL 25

26 Hozzáférési listák  Öröklődés flag o Konténer típusú objektumnál (pl. könyvtár) o Gyerek objektum megkapja azt az ACE-t  Kiértékelés menete o Egy SID-re több ACE is érvényes lehet o ACE-kból kapott engedélyek UNIÓJA számít o Kivéve a tiltást, az mindig magasabb prioritású 26

27 DEMO  Csoport, felhasználó – elemi engedélyek  Öröklődés o Öröklés korlátozása  Tulajdonba vétel  Eredő engedély o Unió (csoportokból és felhasználótól), kivéve o Tiltás mindig érvényesül  Hibaelhárítás: Process Monitor Engedélyezés – Fájl hozzáférési listák 27

28 Engedélyezési lehetőségek a Windowsban  Rendszerszintű jogosultságok  Discretionary Access Control  Mandatory Integrity Control o kötelező, erőforrás szintű, címkézés 28

29 DEMO  Vista funkció  Folyamatok megkülönböztetése: védelem az általunk indított, nem megbízható folyamatok ellen  Alapból minden fájlnak Medium címkéje van  Internet Explorer használja: o IE folyamata Low integritási szint (lásd Process Explorer, Integrity Level oszlop)  icacls /setintegritylevel H|M|L o „No write up” kipróbálása Mandatory Integrity Control 29

30 Biztonsági feladatok a Windowsban  Azonosítás (authentication) o Birtok / tudás / biometria o Pl. Bejelentkezési képernyő, hitelesítő ablakok  Engedélyezés (authorization) o Alapelv: mindig csoportnak osztunk jogot o Pl. Biztonsági házirend, fájl ACL  Auditálás o Biztonsági naplózás 30

31 Eseménynapló  Rendszer és alkalmazás üzenetek  Bejegyzés: o Típus, idő, forrás, ID, leírás  Napló felülírása: o Ciklikus, időnként, soha 31

32 DEMO  Naplózási házirend  Biztonsági eseménynapló tartalma  Jogok, pl. SeSecurityPrivilege használata Auditálás 32

33 DEMO  Adminisztrátor felhasználó veszélyei  Korlátozott felhasználóval dolgozni o Windows XP alatt kényelmetlen volt o Run as… és runas parancs o Ha nincs Run as..: bal SHIFT + jobb gomb  Vistaban tervezéskor figyeltek rá: UAC User Account Control, Runas 33

34 Összefoglalás  Hitelesítés o felhasználók tárolása, azonosítása, SID  Engedélyezés o Fajtái, jogosultságok, ACL-ek  Naplózás o Eseménynapló, házirendek 34

35 További információ  Mérés laboratórium 4. segédlet o http://www.mit.bme.hu/oktatas/targyak/vimia315/jegyzet/ Windows segédlet http://www.mit.bme.hu/oktatas/targyak/vimia315/jegyzet/ 35

36 DEMO  Számítógép beállítások o Biztonsági beállítások o Rendszer komponensek. Pl. Windows Update  Felhasználó o Alkalmazások o Windows felülete  Sablonok  Felügyeleti sablonok  ~2500 beállítás Csoportházirend (Group Policy) 36