Объекты системы защиты

Как же система Windows 2000/XP управляет всеми этими участниками процесса аутентификации, авторизации, аудита, в который вовлечены пользователи, компьютеры, группы пользователей с различными правами доступа к информационным ресурсам? А вот как.

Каждый пользователь, компьютер, учетная запись или группа считаются объектом системы защиты Windows, и каждому такому объекту при его создании присваивается так называемый идентификатор системы защиты SID (Security IDentifier), представляющий собой 48-разрядное число, уникальное для всей компьютерной системы. Каждому компьютеру после установки системы Windows 2000/XP присваивается случайно выбранное значение SID, и каждому домену Windows 2000 после инсталляции также присваивается случайно выбранное уникальное значение SID.

Все объекты системы защиты имеют определенные привилегии доступа к информационным ресурсам. А как же владельцы ресурсов определяют, какому объекту разрешен доступ к данному конкретному ресурсу, и какой именно доступ? С этой целью для каждого информационного ресурса (файла, папки и т.д.) в системе Windows задается список ACL (Access Control List - Список управления доступом), который содержит записи АСЕ (Access Control Entries - Записи управления доступом). Записи АСЕ содержат идентификаторы SID объектов системы защиты и их права доступа к данному ресурсу. Списки ACL создаются самими владельцами информационных ресурсов с помощью средств операционной системы, например, Проводника (Explorer) Windows, и работа с этими средствами описана в любом руководстве по операционным системам Windows 2000/XP.

Вот как происходит работа со списками ACL. После регистрации в компьютере Windows 2000/XP каждый объект (например, пользователь) получает от диспетчера LSA маркер доступа, содержащий идентификатор SID самого пользователя и набор идентификаторов SID всех групп, в которые пользователь входит. Далее, когда вошедший в систему пользователь обращается к ресурсу, служба SRM сравнивает его маркер доступа с идентификаторами SID в списке ACL ресурса, и если пользователь имеет право на доступ к ресурсу, то он его получает.

Как видим, все очень «просто», хотя на самом деле наше описание - это верхушка айсберга. Мы однако не будем углубляться в изучение системы защиты, поскольку все, что нам нужно - это понять, как можно сломать всю эту конструкцию. Путей для этого множество, и их поиском и обустройством для всеобщего блага занято множество весьма квалифицированных людей. Один из самых напрашивающихся и элегантных способов - это очистка списков ACL всех объектов, после чего система Windows 2000/XP открывается для любых манипуляций. И такие проекты имеются, находясь в стадии активной разработки (например, проект программы NTKap на сайте http://www.rootkit.com). Однако эффективность таких утилит умаляется тем обстоятельством, что доступ к спискам ACL сам по себе требует административных привилегий!

Раз все так не просто при локальном доступе к компьютеру, то чего можно ожидать от каких-либо путей вторжения, связанных с процессом сетевой идентификации пользователя домена? Ведь при этом по сети передается множество конфиденциальной информации, включая пароли. Обсудим эту задачу, но вначале рассмотрим, из чего состоит сеть компьютеров Windows 2000/XP.