На главную

Библиотека Интернет Индустрии I2R.ru

Rambler's Top100

Малобюджетные сайты...

Продвижение веб-сайта...

Контент и авторское право...

Забобрить эту страницу! Забобрить! Блог Библиотека Сайтостроительства на toodoo
  Поиск:   
Рассылки для занятых...»
I2R » Хакеры и безопасность » Защита данных
Разделы в "Защита данных":
Криптография

Безопасность домашнего компьютера под управлением Windows 2000

Основным отличием операционных систем семейства Windows 2000 (и Windows NT) от Windows 9x является реализованная в них система защиты. Однако в <свежеустановленной> на локальном компьютере Windows 2000 Professional эта система по умолчанию отключена. Чтобы обезопасить свой компьютер, пользователю придется предпринять некоторые весьма неочевидные действия, а именно: создать схему защиты. Несмотря на множество публикаций о Windows 2000, а также вполне сносную встроенную справочную систему, найти рекомендации по защите Windows 2000, установленной на домашнем компьютере, не так просто. Как в книгах, так и в справке Windows 2000 априори предполагается подключение компьютера к локальной сети и реализация защиты через сетевой домен или рабочую группу. Тем не менее даже автономный компьютер с Windows 2000 Professional способен защитить себя как от злоумышленников, так и от неудачных действий <законного> пользователя.

Первые шаги по организации защиты следует предпринимать уже на этапе установки ОС. Во-первых, необходимо указать режим автономной работы (без подключения к сети) - в этом случае на компьютер сразу будут установлены все необходимые компоненты схемы защиты. Во-вторых, не рекомендуется пользоваться режимом параллельной работы с другими ОС, например с Windows 98. Windows 2000 не контролирует <деятельность> параллельной ОС и не распространяет на нее схему защиты (проще говоря, в параллельной ОС будут доступны все файлы, в том числе защищенные в пределах основной ОС). В-третьих, следует работать только с томами файловой системы NTFS и не пользоваться FAT16/FAT32 (третий совет <перекрывает> второй - Windows 9x не работает с томами NTFS и <не видит> их). Если по каким-то причинам преобразование в NTFS не было произведено во время установки ОС, воспользуйтесь утилитой командной строки convert - оно будет выполнено при следующей загрузке ОС. Следует, однако, учесть, что после этого станут недоступны параллельные системы Windows 9x и установленные на диске менеджеры загрузки (например, EZ от Western Digital, позволяющий работать с дисками емкостью больше 8 Гбайт на устаревших компьютерах). И, в-четвертых, необходимо обязательно установить режим ввода пароля.

Теория


Windows 2000 - многопользовательская система, поэтому в ней предусмотрены средства для защиты рабочей среды каждого пользователя от вмешательства других. Кроме того, пароль Windows 2000 защищает систему, а не сеть, как в Windows 9x, где достаточно нажать Esc вместо ввода пароля - и вход в систему будет открыт. В Windows 2000 то, что делает один из пользователей, должно быть скрыто от других (см. рис. 1 и 2). В Windows 2000 многопользовательский режим реализован на основе полномочий на доступ к любым объектам - как к реальным (файлы, устройства, каталоги), так и к виртуальным (процессы, потоки). У каждого пользователя есть <пропуск>, а у каждого объекта -<турникет>, через который могут пройти (получить доступ к объекту) только пользователи с определенными пропусками. Предположим, установка приложения предполагает создание папки с исполняемым файлом, запись библиотеки в системную папку и регистрацию в реестре. Чтобы установить приложение, пользователь должен обладать пропуском в каталог, системную папку и реестр, а чтобы запустить приложение - пропуском в каталог и системную папку. Это ключевой принцип системы защиты Windows 2000: для разных действий с объектом нужны разные права.

В итоге получается элегантная схема: пользователь видит только те объекты, на которые у него есть право доступа (сравните с UNIX и NetWare, где пользователю отводят определенный каталог, в пределах которого ему и предстоит работать). Таким образом, у разных пользователей будут совершенно разные системы на одном и том же компьютере.

Любая операция доступа к объекту контролируется монитором ссылочной безопасности SRM (Security Reference Monitor), который как раз и проверяет соответствие <пропуска> <турникету>. Пользователь получает <пропуск> - маркер SAT (Security Access Token) - после входа в систему на основании данных из учетной записи. Объект получает <турникет> - дескриптор SD (Security Descriptor) - при создании (NTFS поддерживает SD, а FAT/FAT32 - нет, поэтому NTFS обеспечивает защиту на уровне файлов и каталогов, а FAT/FAT32 - нет). Как SAT, так и SD могут изменяться администратором системы - пользователем со специальными правами.

Возникает вопрос: как обычный пользователь может защититься от администратора? Очевидно, что администратор должен иметь полный контроль над системой, но в то же время пользователю должно быть предоставлено право на защиту своих объектов от вмешательства любого другого пользователя, в том числе администратора. В Windows 2000 эта проблема решается путем использования еще одного свойства объекта - принадлежности владельцу.

Владельцем любого объекта становится его создатель. Владельцем операционной системы становится человек, который установил ее на компьютере - он получает права администратора, а пользователь становится владельцем всех созданных им файлов. Владение можно <взять>, но нельзя <отдать>. Предположим, пользователь создал файл и запретил к нему доступ всем, кроме себя. Администратор может присвоить себе владение этим файлом (на это у него есть право), а затем изменить разрешение на доступ, чтобы открыть этот файл. Таким образом, администратор всегда сохраняет полный контроль над системой. Однако после знакомства с содержимым файла он уже не сможет изменить имя владельца файла, даже если вернет в исходное состояние разрешения на доступ к файлу. Право владения намертво приклеится к нему, о чем нетрудно будет узнать пользователю - для этого достаточно взглянуть на страницу свойств объекта.

Практика


Удобство использования многопользовательских возможностей Windows 2000 для работы за компьютером в кругу семьи несомненно: отцу - права администратора, жене - опытного пользователя, а сыну - разрешить запуск только установленных программ, да и то не всех. А как быть, если компьютером пользуется один человек, который и пользователь, и администратор, да и пыль с монитора сам стирает? Даже в этом случае нужно иметь несколько учетных записей для различных операций с системой: права администратора лучше применять только для внесения изменений в систему, права опытного пользователя - для обычной работы, а для навигации в Интернете и запуска загруженных оттуда программ - права обычного пользователя (получается своего рода <санитарная зона> для всех программ неизвестного происхождения, причем без всяких брандмауэров и прочих <сетевых штучек>). Для создания учетных записей (и, следовательно, присвоения прав) необходимо дважды щелкнуть по значку <Пользователи и пароли> в <Панели управления> (см. рис. 3). В открывшемся окне следует выбрать один из трех вариантов входа в систему.

Программа локальной авторизации безопасности LSA (Local Security Authority) собирает сведения о пользователе - имя, пароль, наличие административных прав и принадлежность к группе, формирует маркер SAT и размещает его в памяти компьютера. Этот маркер будет подключаться ко всем создаваемым объектам (в том числе к запущенным задачам), ограничивая их действие назначенными пользователю правами. Другими словами, как сам пользователь, так и все его программы остаются в области, ограниченной рамками установленных разрешений.

В этом еще одна причина для установки нескольких учетных записей. Вспомним наш семейный пример: сыну запрещена установка программ, но, предположим, отец занят и не хочет возиться с очередной игрушкой. В этом случае помогает временное присвоение сыну права на установку приложения. В терминологии Windows 2000 разрешение на выполнение операции называется правом (right). Конкретные права пользователей не требуют пояснений и отображаются в окне управляющей консоли операционной системы - <Локальная политика безопасности>, которое открывается щелчком мыши по значку <Администрирование> (см. рис. 4). В нем следует выбрать право и присвоить его пользователю или группе (группа объединяет нескольких пользователей, которым назначаются одинаковые права). Список очень длинный, и мы отметим только одно право из него - <Управление аудитом и журналом безопасности>. Пользователь с таким правом может включить журнал безопасности Windows 2000, в котором регистрируются все действия по активизации SRM, LSA и других компонентов подсистемы защиты. Результаты аудита выводятся командой <Политика->Аудит>. Однако журналом безопасности лучше не пользоваться, поскольку выводимая информация не очень наглядна, а файл журнала быстро увеличивается в размере, занимая столь необходимое место на жестком диске компьютера.

Заканчивая обсуждение прав пользователей, хочется отметить еще один момент, особенно важный для владельцев портативных компьютеров, вероятность утери или кражи которых высока. Пользователь получает права на доступ только после ввода пароля. Наверное, уже можно не напоминать, что пароль не записывают на приклеенной к монитору бумажке или в телефонной книжке на букву <П>. Идеальный пароль должен иметь смысл только для владельца (многие программы взлома перебирают пароли по словам из словарей), чтобы тот мог в любой момент если не вспомнить его, то, по крайней мере, вычислить. Например, добавьте к номеру школы, в которой вы учились, первые буквы станций метро, которые вы проезжаете, добираясь из дома на работу, либо удалите в любимой поговорке каждую вторую букву (не пользуйтесь именно этими советами, а придумайте что-нибудь похожее).

Список управления доступом


Подмножество пользователей, которым разрешено работать с объектами системы, называется списком управления доступом ACL (Access Control List). Подключение списка ACL к файлу или каталогу жесткого диска выполняется во время форматирования раздела в NTFS. Открыть список ACL можно с помощью <Проводника>. На закладке <Безопасность> страницы свойств файла мы увидим список пользователей, имеющих права на доступ к этому файлу, и разрешенные для них операции с файлом (см. рис. 5).

Список ACL всегда содержит хотя бы один элемент - группу <Все>, которой разрешен полный доступ к файлу. На закладке <Безопасность> можно удалять или добавлять пользователей в список. Если удалить группу <Все>, то уже никто не будет иметь прав на работу с файлом. В список попадают встроенные группы, членством в которых управляет операционная система: <ИНТЕРАКТИВНЫЕ> - все пользователи, зарегистрировавшиеся на локальном компьютере, и группа SYSTEM, определяющая полномочия самой ОС. Для каждого пользователя или группы отображается состояние нескольких флажков: <Запись>, <Чтение>, <Чтение и выполнение>, <Изменить>, <Полный доступ>. Результирующее право доступа определяется их суммированием. Для указания нестандартных прав используется режим <Специальный доступ>. Чтобы назначить права, щелкните по кнопке <Дополнительно> на закладке <Безопасность> окна свойств файла или каталога, затем на закладке <Разрешения> нажмите кнопку <Показать/изменить>. После этого откроется окно <Параметры управления доступом>. Кстати, на закладке <Владелец> указан текущий владелец файла.

Запретить доступ к файлу или папке можно двумя способами. Первый: не давать полномочий на доступ к этому файлу или содержащей его папке. Для этого нужно удалить пользователя из списка полномочий (или не включать его туда). Отсутствие имени пользователя в списке равноценно праву <Нет доступа>. Второй: включить пользователя в список, но запретить ему любой доступ, установив флажки <Запретить> для всех прав. Это соответствует установке полномочия <Нет доступа> в явном виде. В нижней части закладки находится очень важный флажок <Переносить наследованные от родительского объекта разрешения на этот объект>. По умолчанию этот флажок установлен, поэтому Windows 2000 распространяет любые изменения прав родительского контейнера на все вложенные в него объекты. Таким образом, установка ограничения автоматически распространяется на все объекты, находящиеся на нижних уровнях иерархической структуры.

Локальная политика безопасности


Политикой называют набор правил, с помощью которых можно разрешать/запрещать доступ к объекту. Чтобы еще больше затруднить нежелательный доступ к файлу/папке, щелкните по значку <Локальная политика безопасности>, разверните ветвь <Политики учетных записей> и щелкните по значку <Политика паролей> или <Политика блокировки учетной записи> (см. рис. 6). Эти политики настраиваются аналогично правам пользователей.

Политики позволяют еще надежнее заделать возможные <дыры> в системе защиты, причем не только с помощью пароля. Например, блокировка учетной записи затруднит работу программы автоматического перебора паролей. Принято устанавливать блокировку доступа после пяти неудачных попыток. Параметр <Сброс счетчика блокировки через...> устанавливает интервал в минутах до снятия блокировки учетной записи после неудачной попытки входа в систему. Параметру <Пороговое значение блокировки> лучше присвоить значение <Всегда> - учетная запись останется блокированной до вмешательства администратора.

Создание схемы защиты


Продолжим наш семейный пример. Установку операционной системы выполнял Отец, поэтому он знает пароль для учетной записи администратора и может войти в систему. Отец не хочет постоянно работать с административными правами (он боится случайно удалить системные файлы), поэтому создает для себя учетную запись обычного пользователя и в секции <Профиль> указывает домашний каталог C:\Documents and Settings\Отец. Затем Отец создает учетную запись для Жены и указывает локальный путь C:\Documents and Settings\Жена. Владельцами этих каталогов становятся соответственно Отец и Жена. Одновременно с сохранением учетных данных Windows 2000 сохраняет профиль каждого пользователя, где полностью специфицируются состав компонентов и внешний вид ОС.

После первого входа в систему Жена щелкает правой кнопкой мыши по папке C:\Documents and Settings\Жена и выбирает <Свойства->Безопасность->Владелец>. На закладке <Владелец> Жена присваивает себе право владения своим каталогом, а затем закрывает к нему доступ для всех остальных пользователей. То же самое делает Отец. Таким образом, оба пользователя защитили свои папки друг от друга. Аналогичную операцию нужно выполнить и для пользователя Сын.

Надежность схемы защиты


Парадоксально, но на автономном компьютере нужна более надежная система защиты, чем на сетевом, поскольку все сведения об учетных записях хранятся на этом же самом компьютере. Не секрет, что Windows 2000 хранит пароли в разделе SAM реестра. Опасность таится в возможности извлечения этой базы данных, последующем взломе и доступе к паролю администратора, а следовательно, и к системе в целом. В Windows NT Workstation 4.0 существовало несколько способов извлечения SAM. Наиболее оригинальный из них использует то обстоятельство, что <Планировщик задач> по умолчанию запускается с правом SYSTEM, поэтому все запущенные им программы получают право SYSTEM и полномочия на перемещение SAM. Затем за дело берется одна из утилит взлома, например L0phtCrack от L0pht Heavy Industries. Устранить эту <дыру> достаточно просто - нужно назначить <Планировщику> права из учетной записи текущего пользователя. В Windows 2000 Professional эта проблема, как, впрочем, и многие другие недоработки Windows NT Workstation 4.0, устранена на благо пользователю.

Михаил Кузьмин
InfoCity

Рассылки Subscribe.Ru
Все о защите данных на Идваре
Другие разделы
Криптография
Прочие опасности
Вирусы
Хакеры
Киберпреступность
Уязвимость ПО
Новое в разделе
Защита данных
I2R-Журналы
I2R Business
I2R Web Creation
I2R Computer
рассылки библиотеки +
И2Р Программы
Всё о Windows
Программирование
Софт
Мир Linux
Галерея Попова
Каталог I2R
Партнеры
Amicus Studio
NunDesign
Горящие путевки, идеи путешествийMegaTIS.Ru

2000-2008 г.   
Все авторские права соблюдены.
Rambler's Top100