Безпека домашнього комп’ютера під управлінням Windows 2000

Михайло Кузьмін, Hard’n’Soft – online

Основною відмінністю операційних систем сімейства Windows 2000 (і Windows NT) від Windows 9x є реалізована в них система захисту. Однак у «свіжовстановленому» на локальному комп’ютері Windows 2000 Professional ця система за замовчуванням відключена. Щоб убезпечити свій комп’ютер, користувачеві доведеться зробити деякі вельми неочевидні дії, а саме: створити схему захисту. Незважаючи на безліч публікацій про Windows 2000, а також цілком стерпну вбудовану довідкову систему, знайти рекомендації щодо захисту Windows 2000, встановленою на домашньому комп’ютері, не так просто. Як у книгах, так і в довідці Windows 2000 апріорі передбачається підключення комп’ютера до локальної мережі і реалізація захисту через мережевий домен або робочу групу. Тим не менше навіть автономний комп’ютер з Windows 2000 Professional здатний захистити себе як від зловмисників, так і від невдалих дій «законного» користувача.

Перші кроки по організації захисту слід робити вже на етапі установки ОС. По-перше, необхідно вказати режим автономної роботи (без підключення до мережі) – в цьому випадку на комп’ютер відразу будуть встановлені всі необхідні компоненти схеми захисту. По-друге, не рекомендується користуватися режимом паралельної роботи з іншими ОС, наприклад з Windows 98. Windows 2000 не контролює «діяльність» паралельної ОС і не поширює на неї схему захисту (простіше кажучи, в паралельній ОС будуть доступні всі файли, в тому числі захищені в межах основної ОС). По-третє, слід працювати тільки з томами файлової системи NTFS і не користуватися FAT16/FAT32 (третя порада «перекриває» другий – Windows 9x не працює з томами NTFS і «не бачить» їх). Якщо з якихось причин перетворення в NTFS не було вироблено під час установки ОС, скористайтеся утилітою командного рядка convert – воно буде виконано при наступному завантаженні ОС. Слід, однак, врахувати, що після цього стануть недоступні паралельні системи Windows 9x і встановлені на диску менеджери завантаження (наприклад, EZ від Western Digital, що дозволяє працювати з дисками ємністю більше 8 Гбайт на застарілих комп’ютерах). І, по-четверте, необхідно обов’язково встановити режим введення пароля.

Теорія

Windows 2000 – багатокористувацька система, тому в ній передбачені кошти для захисту робочого середовища кожного користувача від втручання інших. Крім того, пароль Windows 2000 захищає систему, а не мережу, як в Windows 9x, де досить натиснути Esc замість введення пароля – і вхід в систему буде відкритий. У Windows 2000 те, що робить один з користувачів, має бути приховане від інших (див. рис. 1 і 2). У Windows 2000 багатокористувацький режим реалізований на основі повноважень на доступ до будь-яких об’єктів – як до реальних (файли, пристрої, каталоги), так і до віртуальних (процеси, потоки). У кожного користувача є «пропуск», а у кожного об’єкта – «турнікет», через який можуть пройти (одержати доступ до об’єкта) тільки користувачі з певними пропусками. Припустимо, установка додатку передбачає створення папки з виконуваним файлом, запис бібліотеки в системну папку і реєстрацію в реєстрі. Щоб встановити додаток, користувач повинен володіти пропуском в каталог, системну папку і реєстр, а щоб запустити додаток – пропуском в каталог і системну папку. Це ключовий принцип системи захисту Windows 2000: для різних дій з об’єктом потрібні різні права.

У підсумку виходить елегантна схема: користувач бачить тільки ті об’єкти, на які у нього є право доступу (порівняйте з UNIX і NetWare, де користувачеві відводять певний каталог, в межах якого йому і належить працювати). Таким чином, в різних користувачів будуть зовсім різні системи на одному і тому ж комп’ютері.

Будь-яка операція доступу до об’єкта контролюється монітором посилальної безпеки SRM (Security Reference Monitor), який якраз і перевіряє відповідність «пропуску» «турнікету». Користувач отримує «Перепустку» – маркер SAT (Security Access Token) – після входу в систему на підставі даних з облікового запису. Об’єкт отримує «турнікет» – дескриптор SD (Security Descriptor) – при створенні (NTFS підтримує SD, а FAT/FAT32 – немає, тому NTFS забезпечує захист на рівні файлів і каталогів, а FAT/FAT32 – немає). Як SAT, так і SD можуть змінюватися адміністратором системи – користувачем зі спеціальними правами.

Виникає питання: як звичайний користувач може захиститися від адміністратора? Очевидно, що адміністратор повинен мати повний контроль над системою, але в той же час користувачеві має бути надано право на захист своїх об’єктів від втручання будь-якого іншого користувача, в тому числі адміністратора. У Windows 2000 ця проблема вирішується шляхом використання ще однієї властивості об’єкта – приналежності власнику.

Власником будь-якого об’єкта стає його творець. Власником операційної системи стає людина, який встановив її на комп’ютері – він отримує права адміністратора, а користувач стає власником всіх створених ним файлів. Володіння можна «взяти», але не можна «віддати». Припустимо, користувач створив файл і заборонив до нього доступ усім, крім себе. Адміністратор може привласнити собі володіння цим файлом (На це у нього є право), а потім змінити дозвіл на доступ, щоб відкрити цей файл. Таким чином, адміністратор завжди зберігає повний контроль над системою. Однак після знайомства з вмістом файлу він вже не зможе змінити ім’я власника файла, навіть якщо поверне в початковий стан дозволу на доступ до файлу. Право володіння намертво приклеїться до нього, про що неважко буде дізнатися користувачеві – Для цього достатньо поглянути на сторінку властивостей об’єкта.

Практика

Зручність використання багатокористувацьких можливостей Windows 2000 для роботи за комп’ютером в колі сім’ї безсумнівно: батькові – права адміністратора, дружині – досвідченого користувача, а синові – дозволити запуск тільки встановлених програм, та й то не всіх. А як бути, якщо комп’ютером користується одна людина, яка і користувач, і адміністратор, та й пил з монітора сам стирає? Навіть у цьому випадку потрібно мати кілька облікових записів для різних операцій з системою права адміністратора краще застосовувати тільки для внесення змін до системи, права досвідченого користувача – для звичайної роботи, а для навігації в Інтернеті і запуску завантажених звідти програм – права звичайного користувача (виходить свого роду «санітарна зона» для всіх програм невідомого походження, причому без всяких брандмауерів та інших «мережевих штучок»). Для створення облікових записів (і, отже, присвоєння прав) необхідно двічі клацнути по значку «Користувачі та паролі» в «Панелі управління» (див. рис. 3). У вікні, слід вибрати один з трьох варіантів входу в систему.

Програма локальної авторизації безпеки LSA (Local Security Authority) збирає відомості про користувача – ім’я, пароль, наявність адміністративних прав і приналежність до групи, формує маркер SAT і розміщує його в пам’яті комп’ютера. Цей маркер буде підключатися до всіх створюваним об’єктам (у тому числі до запущеним завданням), обмежуючи їх дію призначеними користувачеві правами. Іншими словами, як сам користувач, так і всі його програми залишаються в області, обмеженої рамками встановлених дозволів.

У цьому ще одна причина для установки декількох облікових записів. Згадаймо наш сімейний приклад: синові заборонена установка програм, але, припустимо, батько зайнятий і не хоче возитися з черговою іграшкою. В цьому випадку допомагає тимчасове привласнення синові права на установку додатка. У термінології Windows 2000 дозвіл на виконання операції називається правом (right). Конкретні права користувачів не вимагають пояснень і відображаються у вікні керуючої консолі операційної системи – «Локальна політика безпеки», яке відкривається клацанням миші по значку «Адміністрування» (див. рис. 4). У ньому слід вибрати право і привласнити його користувачеві або групі (група об’єднує декількох користувачів, яким призначаються однакові права). Список дуже довгий, і ми відзначимо тільки одне право з нього – «Управління аудитом і журналом безпеки». Користувач з таким правом може включити журнал безпеки Windows 2000, в якому реєструються всі дії з активізації SRM, LSA та інших компонентів підсистеми захисту. Результати аудиту виводяться командою «Політика-> Аудит». Однак журналом безпеки краще не користуватися, оскільки виведена інформація не дуже наочна, а файл журналу швидко збільшується в розмірі, займаючи настільки необхідне місце на жорсткому диску комп’ютера.

Закінчуючи обговорення прав користувачів, хочеться відзначити ще один момент, особливо важливий для власників портативних комп’ютерів, ймовірність втрати або крадіжки яких висока. Користувач отримує права на доступ тільки після введення пароля. Напевно, вже можна не нагадувати, що пароль не записують на приклеєною до монітора папірці або в телефонній книжці на букву «П». Ідеальний пароль повинен мати сенс тільки для власника (багато програм злому перебирають паролі за словами зі словників), щоб той міг в будь-який момент якщо не згадати його, то, принаймні, обчислити. Наприклад, додайте до номеру школи, в якій ви навчалися, перші літери станцій метро, ​​які ви проїжджаєте, добираючись з дому на роботу, або видаліть в улюбленій приказці кожну другу літеру (не користуйтеся саме цими порадами, а придумайте небудь схоже).

Список управління доступом

Підмножина користувачів, яким дозволено працювати з об’єктами системи, називається списком управління доступом ACL (Access Control List). Підключення списку ACL до файлу або каталогу жорсткого диска виконується під час форматування розділу в NTFS. Відкрити список ACL можна за допомогою «Провідника». На закладці «Безпека» сторінки властивостей файлу ми побачимо список користувачів, що мають права на доступ до цього файлу, і дозволені для них операції з файлом (див. рис. 5).

Список ACL завжди містить хоча б один елемент – групу «Всі», якій наданий повний доступ до файлу. На закладці «Безпека» можна видаляти або додавати користувачів в список. Якщо видалити групу «Все», то вже ніхто не буде мати прав на роботу з файлом. У список потрапляють вбудовані групи, членством у яких управляє операційна система: «ІНТЕРАКТИВНІ» – все користувачі, що зареєструвались на локальному комп’ютері, і група SYSTEM, визначальна повноваження самої ОС. Для кожного користувача або групи відображається стан декількох прапорців: «Запис», «Читання», «Читання та виконання», «Змінити», «Повний доступ». Результуюче право доступу визначається їх підсумовуванням. Для вказівки нестандартних прав використовується режим «Спеціальний доступ». Щоб призначити права, клацніть по кнопці «Додатково» на закладці “Безпека” вікна властивостей файлу або каталогу, потім на закладці «Дозволи» натисніть кнопку «Показати / змінити». Після цього відкриється вікно «Параметри управління доступом». До речі, на закладці «Власник» вказано поточний власник файлу.

Заборонити доступ до файлу або папці можна двома способами. Перший: не давати повноважень на доступ до цього файлу або містить його папці. Для цього потрібно видалити користувача зі списку повноважень (або не включати його туди). Відсутність імені користувача в списку рівноцінно праву «Немає доступу». Другий: включити користувача в список, але заборонити йому будь-який доступ, встановивши прапорці «Заборонити» для всіх прав. Це відповідає установці повноваження «Немає доступу» в явному вигляді. У нижній частині закладки перебуває дуже важливий прапорець «Переносити успадковані від батьківського об’єкта дозволу на цей об’єкт». За умовчанням цей прапорець встановлений, тому Windows 2000 поширює будь-які зміни прав батьківського контейнера на всі вкладені в нього об’єкти. Таким чином, установка обмеження автоматично поширюється на всі об’єкти, що знаходяться на нижніх рівнях ієрархічної структури.

Локальна політика безпеки

Політикою називають набір правил, за допомогою яких можна дозволяти / забороняти доступ до об’єкта. Щоб ще більше ускладнити небажаний доступ до файлу / теці, клацніть по значку «Локальна політика безпеки», розгорніть гілку «Політики облікових записів» і клацніть по значку «Політика паролів» або «Політика блокування облікового запису» (див. рис. 6). Ці політики налаштовуються аналогічно прав користувачів.

Політики дозволяють ще надійніше закрити можливі «діри» у системі захисту, причому не тільки за допомогою пароля. Наприклад, блокування облікового запису ускладнить роботу програми автоматичного перебору паролів. Прийнято встановлювати блокування доступу після п’яти невдалих спроб. Параметр «Скидання лічильника блокування через …» встановлює інтервал у хвилинах до зняття блокування облікового запису після невдалої спроби входу в систему. Параметру «Граничне значення блокування» краще привласнити значення «Завжди» – обліковий запис залишиться блокованої до втручання адміністратора.

Створення схеми захисту

Продовжимо наш сімейний приклад. Установку операційної системи виконував Батько, тому він знає пароль для облікового запису адміністратора і може увійти в систему. Батько не хоче постійно працювати з адміністративними правами (він боїться випадково видалити системні файли), тому створює для себе обліковий запис звичайного користувача і в секції «Профіль» вказує домашній каталог C: \ Documents and Settings \ Батько. Потім Батько створює обліковий запис для Дружини і вказує локальний шлях C: \ Documents and Settings \ Дружина. Власниками цих каталогів стають відповідно Батько і Дружина. Одночасно із збереженням облікових даних Windows 2000 зберігає профіль кожного користувача, де повністю специфицируются склад компонентів і зовнішній вигляд ОС.

Після першого входу в систему Дружина клацає правою кнопкою миші по теці C: \ Documents and Settings \ Дружина і вибирає «Властивості-> Безпека-> Власник». На закладці «Власник» Дружина привласнює собі право володіння своїм каталогом, а потім закриває до нього доступ для всіх інших користувачів. Те ж саме робить Отець. Таким чином, обидва користувачі захистили свої папки один від одного. Аналогічну операцію потрібно виконати і для користувача Син.

Надійність схеми захисту

Парадоксально, але на автономному комп’ютері потрібна більш надійна система захисту, ніж на мережевому, оскільки всі відомості про облікові записи зберігаються на цьому ж самому комп’ютері. Не секрет, що Windows 2000 зберігає паролі в розділі SAM реєстру. Небезпека таїться в можливості вилучення цієї бази даних, подальшому зломі та доступ до пароля адміністратора, а отже, і до системи в цілому. У Windows NT Workstation 4.0 існувало кілька способів вилучення SAM. Найбільш оригінальний з них використовує ту обставину, що «Планувальник завдань» за замовчуванням запускається з правом SYSTEM, тому всі запущені ним програми отримують право SYSTEM і повноваження на переміщення SAM. Потім за справу береться одна з утиліт злому, наприклад L0phtCrack від L0pht Heavy Industries. Усунути цю «дірку» досить просто – потрібно призначити «Планувальник» права з облікового запису поточного користувача. У Windows 2000 Professional ця проблема, як, втім, і багато інших недоробки Windows NT Workstation 4.0, усунена на благо користувачеві.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*