Opercis rendszerek vimia 219 Biztonsgi alrendszer a Windowsban

Operációs rendszerek (vimia 219) Biztonsági alrendszer a Windowsban dr. Micskei Zoltán http: //mit. bme. hu/~micskeiz Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék

Copyright Notice § These materials are part of the Windows Operating System Internals Curriculum Development Kit, developed by David A. Solomon and Mark E. Russinovich with Andreas Polze § Microsoft has licensed these materials from David Solomon Expert Seminars, Inc. for distribution to academic organizations solely for use in academic environments (and not for commercial use) § http: //www. academicresourcecenter. net/curriculum/pfv. aspx? ID=6191 § © 2000 -2005 David A. Solomon and Mark Russinovich 2

Biztonsági feladatok a Windowsban § Hitelesítés (authentication) o Birtok / tudás / biometria o Pl. bejelentkezési képernyő, hitelesítő ablakok § Engedélyezés (authorization) o Alapelv: mindig csoportnak osztunk jogot o Pl. biztonsági házirend, fájl ACL § Auditálás o Biztonsági naplózás 4

Biztonsági feladatok a Windowsban § Hitelesítés (authentication) o Birtok / tudás / biometria o Pl. bejelentkezési képernyő, hitelesítő ablakok § Engedélyezés (authorization) o Alapelv: mindig csoportnak osztunk jogot o Pl. biztonsági házirend, fájl ACL § Auditálás o Biztonsági naplózás 5

Biztonsági entitások 6

Security Identifier (SID) § Felhasználó / számítógép azonosítója § Pl. gép SID-je: S-1 -5 -21 -2052111302 -1677128483 -839522115 § Felhasználók, csoportok: o <Gép SID>-<RID> o RID: relative identifier § Jól ismert SID-ek o Everyone: S-1 -1 -0 o Administrator: S-1 -5 -<domain>-500 § Vista: szolgáltatások is kapnak SID-et 7

DEMO Security identifier (SID) § psgetsid. exe gepnev § psgetsid. exe rendszergazda § psgetsid. exe <felhasznalo> 8

Hitelesítés § Belépés o Winlogon saját ablakán keresztül o Secure Attention Sequence: Ctrl + Alt + Del § Jelszavak tárolása o Hash a registry-ben § Hálózati azonosítás o NTLM: NT LAN Manager o Kerberos: Windows 2000 óta, tartományi (domain) környezetben 9

Hitelesítés (Windows 8) § Microsoft account o Felhőben tárolt beállítások o Szinkronizáció § Picture password o Adott képen elvégzett műveletsor o Könnyebben megjegyezhető o Biztonság? 10

Hitelesítés – Hozzáférési token § Megszemélyesítés (impersonation) 11

DEMO Felhasználói adatbázis § Felhasználói fiókok o Felhasználók és csoportok tulajdonságai § Security Account Manager DB o rendszerleíró adatbázis (registry) o HKEY_LOCAL_MACHINESAM 12

Biztonsági feladatok a Windowsban § Hitelesítés (authentication) o Birtok / tudás / biometria o Pl. Bejelentkezési képernyő, hitelesítő ablakok § Engedélyezés (authorization) o Alapelv: mindig csoportnak osztunk jogot o Pl. Biztonsági házirend, fájl ACL § Auditálás o Biztonsági naplózás 13

Engedélyezés fajtái (ism. ) Engedélyezés csoportosítása Kötelezőség Szint Típus Kötelező (Mandatory) Rendszer szintű Címkézés Belátás szerint (Discretionary) Erőforrás szintű Hozzáférési listák 14

Engedélyezési lehetőségek a Windowsban § Rendszerszintű jogosultságok § Discretionary Access Control § Mandatory Integrity Control 15

Rendszerszintű engedélyezés § Jogosultság (privilege) o operációs rendszer szintű jog o Pl. : számítógép leállítása, eszközmeghajtó betöltése o Név: Se. Shutdown. Privilege, Se. Load. Driver. Privilege § Fiók jog (account right) o ki hogyan léphet be / nem léphet be o Pl. : interaktív, hálózaton keresztül… 16

DEMO Jogosultságok: Helyi biztonsági házirend § Jogosultságok o whomai /priv o Helyi házirend: Felhasználói jogok kiosztása § Helyi biztonsági házirend további elemei o Jelszóházirend o Fiókzárolás o Biztonsági beállítások 17

Engedélyezési lehetőségek a Windowsban § Rendszerszintű jogosultságok § Discretionary Access Control o belátás szerinti, erőforrás szintű, hozzáférési lista § Mandatory Integrity Control 18

Engedélyezés fajtái (ism. ) Engedélyezés csoportosítása Kötelezőség Szint Típus Kötelező (Mandatory) Rendszer szintű Címkézés Belátás szerint (Discretionary) Erőforrás szintű Hozzáférési listák 19

Hozzáférés-vezérlési listák (ismétlés) 1 * * Szereplő * * * Szerep (Role) + mask +inherit Engedély (Permission) 20 * Védett objektum

Objektum szintű hozzáférési listák 21

Objektum szintű hozzáférési listák Windowsos objektum Pl. fájl, registry kulcs, pipe… 22

Objektum szintű hozzáférési listák Biztonsági leíró Összefogja a többi elemet 23

Objektum szintű hozzáférési listák • Tulajdonos • Megváltoztathatja az objektum engedélyeit, akkor is ha nincs explicit joga 24

Objektum szintű hozzáférési listák • Discretionary Access Control List • Hozzáférés szabályozása 25

Objektum szintű hozzáférési listák • System Access Control List • Biztonsági naplózás szabályozása 26

Objektum szintű hozzáférési listák • Típus • megengedő, tiltó, audit • Flag • Pl. öröklődés • SID • kire vonatkozik • Maszk • végrehajtás | törlés | tulajdonos írása… 27

Hozzáférés-vezérlési listák § Öröklődés flag o Konténer típusú objektumnál (pl. könyvtár) o Gyerek objektum megkapja azt az ACE-t § Kiértékelés menete o Egy SID-re több ACE is érvényes lehet o ACE-kból kapott engedélyek UNIÓJA számít o Kivéve a tiltást, az mindig magasabb prioritású 28

Hozzáférés-vezérlési listák - példa Objektum: C: temp Leíró Tulajdonos: Rendszergazda DACL ACE 1: tiltó, nem öröklődik, Gipsz. J, könyvtár listázása ACE 2: megengedő, öröklődik, Administrators, könyvtár listázása | fájlok létrehozása ACE 3: megengedő, nem öröklődik, Power Users, könyvtár listázása | attribútumok olvasása SACL 29

DEMO Engedélyezés – Fájl hozzáférési listák § Csoport, felhasználó – elemi engedélyek § Öröklődés o Öröklés korlátozása § Tulajdonba vétel § Eredő engedély o Unió (csoportokból és felhasználótól), kivéve o Tiltás mindig érvényesül § Hibaelhárítás: Process Monitor 30

Engedélyezési lehetőségek a Windowsban § Rendszerszintű jogosultságok § Discretionary Access Control § Mandatory Integrity Control o kötelező, erőforrás szintű, címkézés 31

Engedélyezés fajtái (ism. ) Engedélyezés csoportosítása Kötelezőség Szint Típus Kötelező (Mandatory) Rendszer szintű Címkézés Belátás szerint (Discretionary) Erőforrás szintű Hozzáférési listák 32

Mandatory Integraty Control § Probléma o DACL nem véd az általunk indított programok esetén o Folyamataink megkülönböztetése (pl. böngésző) § Megoldás o Folyamatok és fájlok címkézése o Címkék: System, High, Medium, Low o Kiértékelés: „No write up” § Fő felhasználás o Internet Explorer 33

DEMO Mandatory Integrity Control § Vista funkció § Alapból minden fájlnak Medium címkéje van § Internet Explorer használja: o IE folyamata Low integritási szint (lásd Process Explorer, Integrity Level oszlop) § icacls /setintegritylevel H|M|L o „No write up” kipróbálása 34

Biztonsági feladatok a Windowsban § Hitelesítés (authentication) o Birtok / tudás / biometria o Pl. Bejelentkezési képernyő, hitelesítő ablakok § Engedélyezés (authorization) o Alapelv: mindig csoportnak osztunk jogot o Pl. Biztonsági házirend, fájl ACL § Auditálás o Biztonsági naplózás 35

Eseménynapló § Rendszer és alkalmazás üzenetek § Bejegyzés: o Típus, idő, forrás, ID, leírás § Napló felülírása: o Ciklikus, időnként, soha 36

DEMO Auditálás § Naplózási házirend § Biztonsági eseménynapló tartalma § Jogok, pl. Security. Privilege használata 37

Egyéb biztonsági funkciók § Letöltött fájlok blokkolása (Properties / Unblock) § Run. As parancs § User Account Control (UAC) 38

User Account Control § Adminisztrátor felhasználó veszélyei § Megoldás: o Belépéskor két token: normál és admin o Admin használatához megerősítést kér 39

DEMO User Account Control, Runas § Korlátozott felhasználóval dolgozni o Windows XP alatt kényelmetlen volt o Run as… és runas parancs o Ha nincs Run as. . : bal SHIFT + jobb gomb § Vistaban tervezéskor figyeltek rá: UAC 40

DEMO Csoportházirend (Group Policy) § Számítógép beállítások o Biztonsági beállítások o Rendszer komponensek. Pl. Windows Update § Felhasználó o Alkalmazások o Windows felülete § Sablonok § Felügyeleti sablonok § ~2500 beállítás 41

Összefoglalás § Hitelesítés o felhasználók tárolása, azonosítása, SID § Engedélyezés o Fajtái, jogosultságok, ACL-ek § Naplózás o Eseménynapló, házirendek 42

További információ § Mérés laboratórium 4. segédlet o http: //www. mit. bme. hu/oktatas/targyak/vimia 315/jegyzet/ Windows segédlet 43