Учётные записи пользователей и группы являются одним из самых уязвимых мест в операционной системе. Именно дефолтные ACL для групп пользователей, установка прав для создаваемых пользователей и подвергают данные наибольшей опасности. При проработке данного участка операционной системы при создании "Висты" перед командой "Майкрософт" стояла сложная задача, которая заключалась в максимальном обеспечении безопасности учётных записей. Естественно, что на выходе схема существенно отличалась от привычной многим XP-шной. Сегодня я хотел бы рассмотреть те изменения, которые имеются в "Висте" относительно ХР и к каким результатам они привели нас.

Учётные записи центра справки и поддержки

В ХР для выполнения сценариев при связи с центром связи и поддержки на сервере использовались учётные записи HelpAssistant и Support_[значение]. В "Висте" таких записей больше нет, хотя при обновлении со старой версии до "Висты" они всё-таки остаются. В "Висте" переработаны многие компоненты удалённого помощника и службы справки и поддержки, поэтому и необходимость в этих учётных записях исчезла.

Администратор

Сразу хочу оговориться, что учётная запись "Администратор" - это совсем не простая учётная запись, которая является членом группы "Администраторы". "Администратор" имеет SID 500, который включает в себя ряд привилегий и разрешений, недоступных больше ни одному пользователю в системе.

Изначально учётная запись должна была использоваться для восстановления данных в тех случаях, когда другие варианты не действуют. Однако большинство пользователей используют её в качестве стандартной учётной записи. Это не просто неправильно, а чревато последствиями. Как пример, можно привести то, что изменения, сделанные в системе из-под учётной записи Администратора, нельзя отследить.

На данный момент в "Висте" эта учётная запись отключена, однако ею можно пользоваться в безопасном режиме и при работе с консолью восстановления, если в системе не имеется других локальных администраторов.

Trusted Installer

Если вы обращали внимание, то в "Висте" при настройке разрешений файловой системы можно увидеть учётную запись Trusted Installer. На самом деле это не учётная запись, а служба. В безопасность служб были внесены изменения и теперь каждая из служб является полноценным участником безопасности, имеет SID и т.д.

Идентификатор безопасности (SID) для служб теперь не назначается привычными администраторами безопасности, такими, как NT AUTHORITY или администратор домена. Полное название виртуальной учётной записи для службы TrustedInstaller - "NT SERVICE\TrustedInstaller", а идентификатор безопасности (SID) этой записи

S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464

Кстати, идентификатор безопасности можно узнать даже для той службы, которой просто не существует в системе. Для этого необходимо выполнить команду sc showsid в командной строке со следующим синтаксисом sc showsid имя_службы. И вы получите уже проработанный SID для вымышленной службы.

Этот идентификатор безопасности (SID) начинается со строчки S-1-5-80. Октет 80 соответствует относительному идентификатору SECURITY_SERVICE_ID_BASE_RID. Это означает, что идентификатор службы назначается администратором безопасности NT SERVICE. Это справедливо для любой службы. Остальная часть идентификатора и относительные идентификаторы RID зависят от имени службы. Это позволяет разработчику службы устанавливать для неё разрешения, даже если служба ещё не была собрана и установлена. Идентификатор определяется именем службы и поэтому совпадает на различных компьютерах.

Группа "Опытные пользователи"

В планах компании "Майкрософт" вообще отказаться от использования этой группы, но это будет в будущем. Пока же группа присутствует, однако она лишена большинства прав. Вообще, члены группы "Опытные пользователи" в XP были фактически администраторами, просто ещё не знали об этом. Небольшой каламбур, но это не меняет ситуации. Действительно, при создании этой группы был баг и имелась возможность наделения её членов правами администратора. Всего-то была необходима небольшая программка, естественно, написанная на месте, т.к. должны учитываться при написании особенности конкретной системы.

Почему же не убрать группу сразу - вполне закономерный вопрос. Зачем же тянуть резину и изменять права, чтобы потом всё равно избавиться? Но этому есть свои причины, т.к. во многих компаниях достаточно сложная иерархия, которой просто необходима подобная группа.

Идентификаторы сетевого расположения

В операционных системах на основе ядра Windows NT всегда присутствовали идентификаторы безопасности (SID) сетевого расположения, такие, как "NETWORK" и "INTERACTIVE". С их помощью можно было различать пользователей, выполнивших выход через сеть и интерактивно. Также в системах был идентификатор безопасности (SID) "REMOTE INTERACTIVE LOGON", который назначался пользователям, выполнившим вход через службу терминалов. На самом деле у пользователей службы терминалов в маркере безопасности есть оба идентификатора: "REMOTE INTERACTIVE LOGON" и "INTERACTIVE LOGON". В ОС Windows Vista, помимо этих двух идентификаторов, были добавлены ещё два: "DIALUP" и "INTERNET". Смысл выделения пользователей, выполнивших вход через телефонное подключение, не совсем ясен, особенно учитывая тот факт, что всё больше и больше пользователей предпочитают не использовать такие соединения в качестве единственного способа подключения к сети. Тем не менее, этот идентификатор присутствует. Идентификатор "INTERNET" очевидно предназначен для выделения пользователей, выполнивших вход из-за пределов локальной сети. Идентификатором "NETWORK" отмечаются любые пользователи, выполнившие вход через локальную сеть или через Интернет.

Идентификатор "OWNER RIGHTS"

Новый идентификатор безопасности Owner Right (права владельца) как раз решение проблемы, заключающейся в том, что владелец файла может проводить любые операции, при этом независимо от того, какие права ему определены. Поэтому, этот идентификатор существует с одной целью - ограничивать права владельца файла.

Конечно, изменений гораздо больше, мы рассмотрели только поверхностные, те, о которых следует знать опытному пользователю. Думаю, что ситуация намного лучше, чем в предшествующей операционной системе. Будем ждать Windows Seven с надеждой на то, что в ней поправятся те недостатки, которые в некоторых случаях имеют место в Windows Vista.

Евгений КУЧУК,
q@sa-sec.org,
SASecurity gr.