Обеспечение безопасности XP - взгляд изнутри

Вот и пришла зима. Настало время заклеивать окна, заделывать появившиеся в них за лето щели и лазейки. Этот процесс предлагаю начать с краткого обзора внутренних механизмов Windows, которые предназначены для защиты системы.

Необходимость идентификации пользователей компьютера, думаю, ни у кого не вызывает сомнений. В этих целях используются так называемые учетные записи. У каждого пользователя Windows XP имеется персональная учетная запись - это одно из фундаментальных понятий, на которых строится система безопасности Windows. Информация об учетных записях хранится в защищенной базе данных Security Accounts Manager (SAM). С целью отслеживания каждой записи и связанных с нею прав применяется значение переменной длины, называемое идентификатором безопасности (SID). В момент создания учетной записи ей присваивается уникальный SID. В Windows 2000/XP все значения SID начинаются с сокращения S-1, затем следует ряд чисел, уникальным образом идентифицирующих каждую учетную запись. Значения находятся в разделе реестра HKEY_USERS.

Для каждого пользователя его идентификатор отслеживается в фоновом режиме. При удалении учетной записи SID, связанный с ней, безвозвратно теряется. Даже у вновь созданной записи с таким же именем и паролем будет другой SID. Кстати, данные, зашифрованные EFS с использованием предыдущего SID, будут потеряны.

В случае работы в сетевой рабочей группе каждый компьютер поддерживает собственную защищенную базу SAM с локальными учетными записями. Другие пользователи сети могут получить доступ к ресурсам компьютера, если зайдут на него через сеть в качестве одного из зарегистрированных на нем локальных пользователей.

При доменной организации сети учетные записи хранятся на центральном компьютере, который называется контроллер. Каждый участник домена может связываться с ним и использовать находящийся там список учетных записей. Однако база данных SAM локального компьютера и в среде домена тоже играет определенную роль. Как и в первом случае, для доступа к ресурсам локальной машины требуется локальная учетная запись пользователя или членство в локальной группе безопасности. По этой причине, когда компьютер присоединяется к домену, Windows добавляет к локальной группе Users группу Domain Users и, соответственно, к Administrators - группу Domain Admins.

 


Группы безопасности и групповая политика

Группы безопасности позволяют организовать пользовательские учетные записи в соответствии с категориями требований к уровню безопасности. Например, привилегии обычных пользователей Васи и Феди можно настраивать вручную, для каждого определяя ограничения и права. А можно сделать умнее - определить привилегии только для одной группы безопасности, а после включить в эту группу и Васю, и Федю. Этот способ позволит не делать двойную работу и упростить возможную переконфигурацию.

Следует иметь в виду, что инструмент "Учетные записи пользователей" обеспечивает лишь простейший метод, описывающий членство пользователей в группах безопасности. Более гибким является обращение напрямую к девяти встроенным группам (в меню "Пуск" выполнить usrmgr.msc и щелкнуть по ветви "Группы"), каждая из которых имеет заранее определенный набор прав доступа.

Кроме того, в Windows автоматически поддерживаются группы, не отображаемые в списке "Локальные пользователи и группы", членство в них не контролируется администратором. К таким группам относятся Everyone (все пользователи, имеющие доступ к компьютеру) и Authenticated users (локальные пользователи, не входят гостевые и анонимные учетные записи).

За исключением Everyone, встроенные группы не могут применяться для назначения доступа к файлам, вместо этого они обеспечивают контроль над специфическими правами пользователей, такими, как доступ к компьютеру из интернета.

Одной из важнейших особенностей систем Windows XP/2000 является поддержка настроек групповой политики (в меню "Пуск" выполнить gpedit.msc). Благодаря этому можно автоматизировать события, происходящие при запуске и выключении, при регистрации пользователей; запрещать отключать компьютер и переустанавливать системные часы, и еще многое-многое другое. Если в групповой политике происходят изменения, то новые настройки сохраняются в реестре.


Процесс регистрации

Вход в систему Windows тоже сопряжен с выполнением ряда требований безопасности. Весь процесс контролируется Local Security Authority (LSA). В Windows XP/2000 информация, передаваемая при установке связи, шифруется с помощью одного из двух протоколов аутентификации: Kerberos V5 или NTLM (NT LAN Manager). Протокол Kerberos обеспечивает серьезную защиту и определяется по умолчанию для компьютеров, функционирующих под XP/2000. Но если компьютер не входит в состав домена Windows 2000 Server/.Net Server, происходит возвращение к NTLM-аутентификации. В этом случае аутентификация происходит по типу "запрос/отклик": компьютер, отвечающий за защиту, генерирует закодированный запрос к машине, запрашивающей ресурс. В ответ должен направляться корректный закодированный отклик, в котором используется ключ шифрования, основанный на пароле для данной учетной записи пользователя. В XP/2000 используется вторая версия протокола - NTLM2.


NTFS

Для каждого объекта, который хранится в томе NTFS, Windows поддерживает контрольный список доступа (ACL). Этот список определяет перечень пользователей, которым разрешен доступ к данному объекту, и пользователей, доступ которых исключается. Записи в ACL содержат следующую информацию:

  1. SID пользователя или группы;
  2. список разрешений (Read, Full control и т.д.);
  3. информация о наследовании разрешений;
  4. флаг разрешения/запрета доступа.

По умолчанию, в XP/2000 доступ в папку "Мои документы" ассоциируется с личной учетной записью пользователя, а также с группами System и Administrators. Но только в XP есть возможность превратить все персональные файлы в частные, в результате чего группа Administrators удаляется из списка доступа.

Дмитрий БАРДИЯН


Узнаем SID

Для того, чтобы увидеть все SID, ассоциированные с вашей учетной записью, можно воспользоваться утилитой whoami. Наберите в консоли whoami /all /sid. В результате отобразятся имя и SID пользователя, а также имена и SID всех групп безопасности, в состав которых включена запись. Если утилиты whoami на вашем компьютере нет, запустите из папки Support/Tools дистрибутива XP программу установки.


Последовательность действий при регистрации в Windows

  • На последнем этапе загрузки ОС запускается Winlogon.exe;
  • Вызывается библиотека Msgina.dll, которая позволяет получить пароль от пользователя;
  • Winlogon передает имя пользователя и пароль в LSA;
  • Для осуществления локальной регистрации LSA получает сведения из базы SAM;
  • Если имя пользователя и пароль достоверны, то SAM возвращает LSA пользовательский SID, а также SID для всех групп безопасности, в которые включен пользователь;
  • LSA использует эти сведения для формирования маркера доступа - идентификатора, сопровождающего пользователя в течение всего сеанса;
  • Winlogon запускает Windows c присоединенным маркером пользователя.
Версия для печатиВерсия для печати

Номер: 

49 за 2003 год

Рубрика: 

Software
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!
 

Комментарии

Аватар пользователя Константин Климов
Хотелось бы уточнить, что запуск консоли локальных пользователей и групп

осуществляется не как указано в статье с помощью запуска usrmgr.msc, а с помощью запуска lusrmgr.msc! Опечатка, надеюсь.

С уважением, Константин.