Politechnika częstochowska



Pobieranie 165,95 Kb.
Strona1/3
Data24.10.2017
Rozmiar165,95 Kb.
  1   2   3

POLITECHNIKA CZĘSTOCHOWSKA



SEMINARIUM SYSTEMÓW OPERACYJNYCH



WINDOWS NT – PRAWA , ZABEZPIECZENIA


I SKRYPTY.

Sala Arkadiusz

Sokół Krzysztof

Wydział Inżynierii Mechanicznej

i Informatyki

rok II sem IV

grupa VII
WSTĘP
Windows NT w przeciwieństwie do innych systemów operacyjnych Microsoft , od początku projektowany był z myślą o wysokim poziomie bezpieczeństwa. Podejście takie spowodowało, że praktycznie każda czynność związana z projektowaniem i tworzeniem systemu sprawdzana była pod kątem zabezpieczeń. Efekt już na pierwszy rzut oka da się zauważyć. Sam fakt, że w systemie nic nie można zrobić bez podania identyfikatora i hasła. Czy też sposób w jaki system widoczny jest przez sieć nie pozwalają pomylić Windows NT z żadnym innym systemem operacyjnym. Zaimplementowane w systemie funkcje podzielić można na kilka kategorii, a ich dokładne rozumienie wymaga fachowej wiedzy o programowaniu. Nie mniej jednak dla „zwykłego” administratora niektóre z nich mogą być niezwykle cenne , ponieważ umożliwiają bezpieczną i stabilną pracę systemu oraz aplikacji.

W odróżnieniu od środowiska Windows 3.1 działającego jako nakładka na system operacyjny MS-DOS (i jego 16-bitowej tablicy alokacji plików – FAT) oraz systemu Windows 95 opartego na 32-bitowej tablicy alokacji plików, system Windows NT korzysta z własnego systemu plików, noszącego nazwę NTFS (NT File System). System plików NT jest ściśle zintegrowany z systemem zabezpieczeń Windows NT – jest kluczowym elementem używanym do kontrolowania poziomów dostępu do informacji zgromadzonych na serwerze.



PROCES LOGOWANIA



Poniżej przedstawiono elementy wykorzystywane w czasie procesu logowania do systemu:



1. Wszystkie procesy logowania inicjowane są sekwencją Ctrl+Alt+Del, która

prowadzi do procesu WinLogon , który jest składnikiem LSA (Local Security

Authority), wyświetla on okno powitania, gdzie użytkownik wprowadza informacje

dotyczące swojego konta.



2. Proces logowania, nazywany procesem lokalnej autoryzacji (LSA - Local Se­curity

Authority), uruchamia pakiet weryfikujący wprowadzone dane.



3. Sprawdzana jest nazwa użytkownika i hasło na podstawie danych związanych z

kontem. Dane te przechowywane są przez administratora ochrony kont (SAM -

Security Accounts Manager).

4. Jeśli informacje logowania nie są poprawne, to próba logowania jest odrzucana i

pojawia się okno dialogowe z informacją o zaistniałym błędzie.



5. Jeśli informacje logowania są poprawne, pakiet weryfikujący tworzy sesję logo-­

wania i przesyła dane dotyczące konta do LSA, co umożliwia stworzenie klucza

dostępu (SAT - Security Access Token).

6. Następnie proces logowania wywołuje podsystem Win32, który tworzy proces

użytkownika. Do tego procesu dołączany jest klucz dostępu (SAT). Podsystem

Win32 uruchamia pulpit Windows NT.



PROCES LOKALNEJ WERYFIKACJI (LSA - Local Security Authority)
Proces lokalnej weryfikacji nosi także nazwę podsystemu bezpieczeństwa. Jest centralnym elementem systemu zabezpieczeń NT. Jego główne funkcje to:

· Wywołanie odpowiedniego pakietu weryfikacyjnego.

· Wygenerowanie klucza dostępu (SAT).

· Rejestrowanie wiadomości kontrolnych generowanych przez monitor odwołań

(Security Reference Monitor SRM).

· Sprawdzanie polisy kontrolnej.


KLUCZ DOSTĘPU (SAT - Security Access Token)

Podczas logowania do Windows NT, system operacyjny tworzy klucz dostępu (SAT), który zawiera: identyfikator bezpieczeństwa (SID - Security ID) użytkownika starającego się o dostęp, identyfikator bezpieczeństwa każdej grupy, do której dany użytkownik należy, oraz wszystkie prawa użytkownika. Klucz dostępu jest generowany tylko w czasie logowania, a więc wszystkie zmiany do­tyczące praw samego użytkownika lub grup, do których należy zostaną wzięte pod uwa­gę dopiero przy kolejnym logowaniu. Inaczej mówiąc, jeśli aktualnie zalogowany użyt­kownik zostanie dodany do grupy administratorów (Administrators), jego członkostwo stanie się faktem dopiero wtedy, gdy wyloguje się, a następnie zaloguje ponownie. Po­przez porównywanie identyfikatora bezpieczeństwa (SID) zawartego w kluczu dostępu (SAT) i praw związanych z obiektem, Windows NT sprawdza, czy użytkownik ma pra­wa umożliwiające mu dostęp do obiektu. Każdy proces użytkownika otrzymuje kopię klucza dostępu (SAT), która jest używana podczas dostępu do poszczególnych obiektów.




MONITOR ODWOŁAŃ (Security Reference Monitor)
Monitor odniesień bezpieczeństwa przeprowadza kontrolę i rewizje dostępu na użytek systemu lokalnego nadzoru bezpieczeństwa. Komponent ten zezwala lub uniemożliwia użytkownikowi uzyskanie dostępu do poszczególnych plików, katalogów i innych obiektów w zależności od praw jakimi dysponują. Generuje też stosowne wiadomości rewizyjne. SRM ma dostęp do kopii kodu potwierdzenia dostępu pozwalającego mu na ochronę zasobów z poziomu systemu, bez względu na rodzaj zasobu.

PROCES PRZYZNAWANIA DOSTĘPU DO OBIEKTU
W
następstwie prawidłowego logowania podsystem zabezpieczeń rozpoczyna kontrolę wszystkich prób dostępu do obiektów- klucz dostępu użytkownika jest porównywany z listą kontroli dostępu obiektu.

Poniżej umieszczono etapy udzielania zezwolenia lub za­braniania dostępu do obiektu:



  1. Użytkownik żąda dostępu do określonego obiektu.

  2. Użytkownik jest autoryzowany za pomocą listy ACL danego obiektu. Poszukiwanie listy ACL następuje tylko przy pierwszym dostępie użytkownika do obiektu. W rezultacie uprawnienia są ważne tak długo, jak długo pozostaje otwarty wygenerowany uchwyt. Zmiany w ACL stają się aktywne dopiero po tym, jak użytkownik zamknie aktualny uchwyt i otworzy nowy. Np. jeśli administrator zmieni atrybut pliku na Read Only (tylko do odczytu) w chwili, gdy jest on otwarty przez jednego z użytkowników, to użytkownik ten może nadal zapisywać i modyfikować dany plik.

  3. Jeśli użytkownik posiada wymagane uprawnienia generowany jest uchwyt (hendle). Uchwyt to wewnętrzny identyfikator Windows NT identyfikujący konkretny dostęp do zasobu. Posługując się uchwytem system generuje listę nadanych praw dostępu opisującą uprawnienia użytkownika do danego obiektu. Lista ta jest przechowywana w tabeli procesu użytkownika.

  4. Po otwarciu obiektu dopuszczalne akcje są porównywane z listą nadanych praw dostępu, znajdującą się w tabeli procesu użytkownika.



KONTROLNA LISTA DOSTĘPU (ACL - Access Control List).
Kontrolna lista dostępu (ACL) zawiera elementy kontroli dostępu (ACE - access con­trol entries), a te z kolei zawierają maski, które są używane do określenia czy użytkow­nikowi (grupie) został przyznany lub odebrany dostęp do danego obiektu. Gdy wyma­gany jest dostęp do obiektu (na przykład plik, drukarka, folder), system zabezpieczeń przeszukuje kontrolną listę dostępu (ACL) i sprawdza, czy żądany dostęp jest możliwy. Wewnątrz kontrolnej listy dostępu (ACL) elementy kontroli dostępu (ACE) są uporząd­kowane w taki sposób, że na początku umieszczone są te, które dostępu nie mają. Jeśli dostęp do obiektu został zablokowany, to te elementy będą przeglądane przed przejściem do elementów z dostępem. Właśnie dlatego, gdy użytkownik próbuje skorzystać z pliku posiadającego element kontrolny umożliwiający dostęp, ale jednocześnie należy do gru­py, która posiada element kontrolny zabraniający dostępu, system zabezpieczeń nie ze­zwoli mu na dostęp do obiektu.

MASKA DOSTĘPU
Maska dostępu elementu kontrolnego (ACE) zawiera listę możliwych praw dostępu, opartą o typ obiektu. Prawa te są wykorzystywane do zezwolenia lub zabronienia do­stępu do obiektu. Wszystkie możliwe prawa dostępu są zdefiniowane jako trzy oddziel­ne grupy

Typy masek dostępu

1 specyficzny - zawiera informacje maski dostępu specyficzne dla danego typu obiektów. Każdy obiekt może mieć zdefiniowanych maksymalnie 16 specyficznych typów.

2 standardowy - zawiera informacje maski dostępu, które odnoszą się do wszystkich obiektów.

3 ogólny - zawiera mapowanie dla specyficznego i standardowego typu.


GRUPY UŻYTKOWNIKÓW
ADMINISTRATOR OCHRONY KONT (SAM - Security Account Manager)

Administrator ochrony kont to w rzeczywistości baza danych, w której przechowywane są informacje o zabezpieczeniach wszystkich użytkowników i grup. W grupie roboczej każda stacja robocza korzysta z własnej bazy danych SAM, tak więc dla tej stacji wszy­scy użytkownicy i grupy są traktowani jako lokalni. W konfiguracji domenowej używa się jednej, centralnej bazy danych SAM, która jest administrowana przy użyciu narzę­dzia o nazwie User Manager For Domains (administrator użytkowników dla domen). Baza danych SAM jest znana także jako baza usług katalogowych. Aktualne dane do­tyczące ochrony zawiera klucz rejestru o nazwie HKEY_LOCAL_MACHINE1SAM. Domyślnie wartość tego klucza nie może być przeglądana bezpośrednio. Preferowaną metodą zmiany wartości tego klucza (jak i wszystkich pozostałych kluczy rejestru) jest wykorzystanie odpowiedniego narzędzia do administrowania systemem - na przykład administrator użytkowników dla domen.


Administratons

Wbudowane konto Administrator posiada kilka specyficznych praw:

· Konto nie może być usunięte.

· Konto nie zostanie zablokowane przez nieprawidłowe próby logowania.

Każde konto użytkownika może otrzymać prawo Administrator, ale tylko to wbudowa­ne posiada te specjalne właściwości. Konto Administrator jest potencjal­nym miejscem załamania systemu bezpieczeństwa, ponieważ można w tym przypadku wprowadzić dowolną ilość haseł, a ono nadal nie będzie zablokowane. Zmiana nazwy konta Administrator redukuje ryzyko, gdyż potencjalny haker oprócz hasła będzie mu­siał dodatkowo odgadnąć nową nazwę użytkownika. Tak jak w innych systemach operacyjnych, konto Administrator powinno być wy­korzystywane tylko podczas realizacji zadań związanych z administracją syst2mu. W codziennej pracy należy posługiwać się normalnym kontem, co pozwoli uniknąć przypadkowych zmian w systemie operacyjnym.


Domyślnie konto Administrator jest członkiem następujących grup występujących w Windows NT Server: Administrators (administratorzy), Domain Admins (administra­torzy domen) i Domain Users (użytkownicy domen).
Guests

Generalnie, użytkownicy, którzy nie posiadają własnego konta, mogą zalogować się na wbudowane konto o nazwie Guest (gość). Domyślnie konto Guest jest zablokowane w systemie Windows NT Server i odblokowane w systemie Windows NT Workstation. Wykorzystywanie tego konta w środowisku korporacyjnym jest przeważnie zabronione ze względu na niezgodność, jaka powstaje w momencie, gdy kilku użytkowników po­sługuje się tym samym kontem. Najczęściej spotykanym zastosowaniem konta Guest są małe grupy robocze, które nie posiadają hasła albo hasło jest takie samo dla wszystkich członków grupy. Kiedy użyt­kownik jednej stacji chce skorzystać z zasobów oferowanych przez inną stację, Win­dows NT próbuje stworzyć dzielone połączenie przy użyciu nazwy użytkownika i hasła. Jeżeli użytkownik nie posiada konta na odległej stacji, to do zrealizowania połączenia wykorzystywane jest konto Guest. Domyślnie konto Guest jest członkiem domeny Guest systemu Windows NT Server.


Backup Operators.

Operatorzy kopii zapasowych mogą omijać mechanizmy bezpieczeństwa plików w ramach operacji wykonywania kopii zapasowych. Prawo Backup Operator stanowi duże zagrożenie dla sieci, ponieważ haker może sporządzić kopię systemu i włamać się do plików poza siecią.


Power Users.

Uprawnieni użytkownicy maja wszystkie prawa użytkowników. Ponadto mogą oni Współużytkować katalogi i drukarki z innymi użytkownikami uprawnionymi, a także mają rozszerzone prawa dostępu do katalogów danych.


Replicator.

Użytkownicy z grupy Replicator mogą replikować (czyli kopiować) pliki między dwoma miejscami w obrębie jednej domeny, ale nie mogą otwierać ani modyfikować zreplikowanych plików. Do tego celu muszą mieć dodatkowe prawa dostępu.


Users.

Użytkownicy mają na ogół prawo dostępu do swoich katalogów własnych, aplikacji oraz – najczęściej – współużytkowanych katalogów danych. Dostęp typu Users jest wystarczający w wypadku większości użytkowników w domenie.


BLOKOWANIE SYSTEMU
Standardową praktyką zabezpieczania jest niedopuszczanie do pozostawiania bez opieki uruchomionego systemu z aktywnym kontem użytkownika. Jest to szczególnie ważne, gdy używane jest konto Administrator. Można oczywiście wylogować się przed odejściem od komputera, ale istnieje jeszcze jedna metoda - użytkownik może zablokować system. Po tej operacji odblokowanie systemu nastąpi dopiero po ponownym wprowadzeniu ha­sła logowania. Ten typ blokady może być wyeliminowany przez administratora.

Wygaszacze ekranu stosowane w Windows NT mogą być skonfigurowane tak, aby au­tomatycznie blokować system. W ten sposób zablokowany zostanie tylko ekran, klawia­tura i mysz, a wszystkie inne elementy (połączenia sieciowe, mapowanie dysków itp.) funkcjonować będą nadal.



Zabezpieczenia C2

System Windows NT został oceniony jako zgodny z normą C2 National Computer Se­curity Center (NCSC - państwowe centrum ochrony komputerów). Poziom ochrony C2 jest oparty na wymaganiach zawartych w kryteriach oceny U. S. Department of Defense Trusted Computer. Zakres kategorii bezpieczeństwa rozpoczyna się od D, która dostarcza minimalne zabez­pieczenia, a kończy na A, której bezpieczeństwo jest potwierdzone. Komputer pracujący w środowisku DOS byłby sklasyfikowany jak D.


Poziomy bezpieczeństwa:

Poziom Zapewnia


D Minimalną ochronę.

C Dyskretną ochronę sekcji.

C 1 Dyskretny system zabezpieczeń.

C2 Kontrolowany dostęp.

B Autorytatywną ochronę sekcji.

B 1 Określony system zabezpieczeń.

B2 Strukturalną ochronę.

B3 Zabezpieczone domeny.

A Zweryfikowaną ochronę sekcji.

A1 Zweryfikowany system Zabezpieczeń.

A2 Jeszcze nie zdefiniowany.

Przyjrzyjmy się bliżej poziomowi C2. Kategoria ta posiada następujące cechy:

- Ochrona obiektów na podstawie użytkowników i grup

Hasło jest chronione przez zabezpieczoną bazę danych. Wymagane są unikal­ne nazwy użytkowników.

- Kontrola zdarzeń związanych z systemem zabezpieczeń.

- Autoryzację dostępu może przeprowadzić tylko autoryzowany użytkownik.



  • Obiekt musi być zabezpieczony przed ponownym użyciem. Na przykład pa­mięć

zwolniona przez jeden program nie powinna być odczytywana przez inny

program.



PODSYSTEM DYSKÓW
Podsystem dysków jest kontrolowany przez menedżera wejścia / wyjścia (I/O Manager), który odpowiada za wszystkie wejściowe i wyjściowe żądania dla Windows NT. Mene­dżer wejścia/wyjścia jest składnikiem NT Executive (wykonawca NT), który spełnia rolę interfejsu pomiędzy niższymi i wyższymi warstwami systemu operacyjnego Na przykład zapewnia komunikację pomiędzy programem obsługi (driverem) systemu plików i dyskiem. Żądania wejścia/wyjścia są kierowane do I/O Menedżera. Z drugiej strony I/O Menedżer porozumiewa się z kontrolerem dysków. Ponieważ I/O Menedżer jest używany do przesyłania żądań wejścia/wyjścia pomiędzy programami obsługi (driverami), każdy z nich jest przechowywany jako osobny moduł, co w dużym stopniu ułatwia wymianę, usuwanie i dodawanie programów obsługi bez konieczności oddziaływania na cały system operacyjny. Współpracę I/O Managera z programami obsługi można porównać z windą w dużym biurowcu. Aby przemieszczać się z jednego piętra na drugie, pracownicy posługują się windą. Jeśli określone piętro jest zamknięte, to winda i tak dowozi innych pracowników w odpowiednie miejsca, przez co organizacja (jako całość} funkcjonuje poprawnie. Je­śli zastąpisz żądania wejścia/wyjścia pracownikami, I/O Menagera windą, to otrzymasz całkiem wyraźny obraz zasady działania podsystemu dysków.



ADMINISTRATOR DYSKÓW
Podsystem dysków jest zarządzany poprzez administratora dysków (Disk Administra­tor), który jest graficznym narzędziem dostępnym w grupie programów administracyj­nych - menu Administrative Tools. Administrator dysków (Disk Administrator) przeznaczony jest do realizacji następujących zadań:

· Tworzenie i usuwanie partycji

· Tworzenie, usuwanie, nazywanie i rozszerzanie wolumenów i zbiorów wolumenów (volumen set)

·Tworzenie i usuwanie zbioru dysków (stripe set)

· Przypisywanie identyfikatorów dysków

· Zapisywanie i odtwarzanie konfiguracji dysków

Dodatkowo, w systemie Windows NT Server, administrator dysków (Disk Administra­tor) może wykonać następujące operacje:

· Włączyć lub wyłączyć mirroring (odzwierciedlenie danych z jednego dysku na innym. lub kilku innych dyskach) lub dupleksing (zdublowanie danych z jednego dysku na innym lub kilku innych dyskach, które są podłączone do innego kontrolera).

· Tworzenie, usuwanie i regenerowanie zbioru dysków z kontrolą parzystości (stripe set with parity).

Aby posługiwać się administratorem dysków (Disk Administrator), musisz być człon­kiem grupy Administrator. Kiedy po raz pierwszy wywołasz administratora dysków (Disk Administrator), na dysku o numerze 0 zostanie zapisana specjalna sygnatura. Ta sygnatura nie szkodzi danym i jest wykorzystywana wewnętrznie przez Windows NT.



Zbiór dysków z kontrolą parzystości (stripe set with paritv) - w tej konfigu­racji dane nadal będą rozdzielane pomiędzy dyskami, jednak jeden z elemen­tów zbioru zostanie wykorzystany do kontroli parzystości . Jeśli jeden z dysków należących do zbioru przestanie działać, informacje na nim zapisane mogą być odtworzone na podstawie danych parzystości. Windows NT będzie kontynuował pracę z użyciem danych parzystości do momentu, w którym możliwe będzie zamknięcie systemu i wymiana uszkodzonego dys­ku. Po tej operacji, posługując się funkcją Regenerate (regeneruj) administra­tora dysków (Disk Administrator) można przenieść dane na nowy dysk.

Mirroring dysków - przechowuje identyczne kopie dwóch partycji na dwóch oddzielnych dyskach. Oba dyski należą do zbioru dysków lu­strzanych (mirror set). Wszystkie operacje zapisu są automatycznie przepro­wadzane na obydwu elementach tego zbioru. W sytuacji, gdy jeden z dysków przestanie działać, jego funkcje przejmie drugi dysk. Ten stan będzie utrzy­mywany do czasu, kiedy nastąpi wymiana wadliwego dysku i ponowne usta­nowienie związków odzwierciedlania.

Duplexing dysków - funkcjonuje tak samo jak mirroring dysków, z tym że każdy dysk jest podłączony do osobnego kontrolera. Dzięki te­mu w przypadku awarii dysku, a nawet kontrolera, dane wciąż będą dostępne na drugim, zdublowanym dysku. Umieszczenie partycji startowej Windows NT na dyskach lustrzanych albo dublowanych zwiększa odporność systemu na błędy.

Większość konfiguracji dysków omawianych w poprzednich sekcjach opartych jest na rozszerzalnej tablicy dysków, powszechnie znanej jako RAID - Redundant Array of Inexpensive Disks. Kompletną listę poziomów RAID oraz ich kluczowych elementów przedstawia poniższa lista:

RAID 0 - to technika łączenia dysków, w której dane są rozdzielone na blo­ki 64 kB znajdujące się na poszczególnych dyskach. Poziom RAID 0 jest za­implementowany zarówno w Windows NT Workstation jak i Windows NT Serwer. Należy jednak pamiętać, że poziom ten nie dysponuje żadną ochroną przed błędami.

RAID 1 - ten poziom jest używany do implementacji dysków lustrzanych (mirroring) lub dublowania dysków (dupleksing) i obecnie jest najpopular­niejszą technologią RAID. Chociaż RAID 1 zapewnia ochronę przed błęda­mi, to jednak do jej realizacji potrzebuje stuprocentowej redukcji wolnego obszaru dysku. Ten poziom jest zaimplementowany w systemie Windows NT Serwer.

RAID 2 - to również technika łączenia dysków, ale w tym przypadku dane są rozbijane na poziomie bitów, a nie na poziomie bloków. Jeden z połączo­nych dysków jest przeznaczony na odzyskiwanie danych. Ten poziom nie jest aktualnie zaimplementowany w systemie Windows NT.

RAID 3 - ten poziom reprezentuje łączenie dysków na poziomie bitów z jed­nym dyskiem przeznaczonym na dane dotyczące parzystości, które służą do dynamicznej rekonstrukcji danych w przypadku awarii jednego z połączo­nych dysków. Ten poziom nie jest aktualnie zaimplementowany w systemie Windows NT.



RAID 4 -jest to łączenie dysków na poziomie bloków z jednym dyskiem przeznaczonym na dane parzystości. Ten poziom nie jest aktualnie zaimple­mentowany w systemie Windows NT.

RAID 5 - łączenie dysków na poziomie bloków. Dane dotyczące parzysto­ści są rozmieszczone na wszystkich dyskach połączonych, a nie na jednym wyznaczonym dysku (patrz RAID 4). Rozdzielenie danych na wszystkie dys­ki zwiększa wydajność operacji wejścia/wyjścia (odczytu/zapisu), które mo­gły stanowić wąskie gardło w przypadku konfiguracji z pojedynczym dys­kiem parzystości. Poziom ten jest zaimplementowany w systemie Windows NT Server.



  1   2   3


©operacji.org 2017
wyślij wiadomość

    Strona główna