Авторизация

После аутентификации пользователя, пытающегося получить доступ к информационным ресурсам, компьютерная система должна проверить, к каким именно ресурсам этот пользователь имеет право обращаться. Данную задачу решает следующий компонент системы защиты - средства авторизации. Для авторизации пользователей в системах Windows каждому пользователю каждого информационного ресурса, например, файла или папки, определяется набор разрешений доступа. Например, пользователю Васе Пупкину можно разрешить только чтение важного файла, а Пете Лохову можно разрешить и его модификацию. Авторизацию не следует путать с аутентификацией, поскольку, например, и Вася Пупкин, и Петя Лохов оба могут пройти входную аутентификацию, но их возможности по нанесению системе ущерба могут существенно отличаться.

Чтобы облегчить авторизацию пользователей, в системах Windows NT/2000/XF разработан набор средств для управления доступом к ресурсам. Эти средства опираются на концепцию групп пользователей, и суть ее такова. Вместо того, чтобы для каждого отдельного пользователя устанавливать множество разрешений на доступ к различным ресурсам, эту задачу решают всего один раз для целой группы пользователей. Далее каждый новый пользователь включается в одну из существующих групп и получает те же права, или привилегии на доступ, которые определены для остальных членов группы. Например, Васю Пупкина можно включить в группу Гость (Guest), члены которой практически не имеют никаких прав, а Петю Лохова - в группу Пользователь (User), члены которой могут открывать и редактировать отдельные документы.

Теперь вам, должно быть, становится ясным, почему следующей задачей хакера после входной регистрации в системе является расширение привилегий. Без получения прав высокопривилегированной группы, лучше всего группы Администраторы (Administrators), ничего у хакера не выйдет, и останется ему только одно - «заклеить кулер скотчем» или выключить компьютер при работающем винчестере, чем и занимаются некоторые странные личности, обитающие в нашем непростом мире...

Аудит

Ясно, что включенный в гостевую группу Вася Пупкин будет обижен таким пренебрежением к своей персоне и захочет залезть туда, куда его не пускают. И вот, чтобы предотвратить его попытки несанкционированного доступа к чужим ресурсам, в системе устанавливают аудит - средства наблюдения за событиями безопасности, т.е. специальная программа начинает отслеживать и фиксировать в журнале события, представляющие потенциальную угрозу вторжения в систему. В число событий безопасности входят попытки открытия файлов, входной регистрации в системе, запуска приложений и другие. Так что, если в системе с установленным аудитом Вася Пупкин попробует открыть файл, не имея на то разрешений, это событие будет зафиксировано в журнале безопасности, вместе с указанием времени и учетной записи пользователя, вызвавшего такое событие.

Просматривая журнал безопасности Windows NT/2000/XP, можно определить очень многое, что позволит идентифицировать хакера, так что одна из важнейших задач хакинга - это очистка журнала безопасности перед уходом. Как это делается, а сейчас сформулируем, что должен сделать антихакер, чтобы предотвратить все попытки вторжения в систему. Хорошо организованная защита требует создания политики безопасности, под которой понимается документ, фиксирующий все правила, параметры, алгоритмы, процедуры, организационные меры, применяемые организацией для обеспечения компьютерной безопасности.

Например, политика безопасности может включать требование задавать пароли длиной не менее 11 символов, или обязательный запуск парольной заставки перед кратковременной отлучкой от компьютера, и так далее. Все эти вопросы достаточно подробно рассмотрены во множестве книг, так что не будем повторяться, а перейдем к более существенным для нас темам - как работает эта система защиты Windows 2000/XP, и что можно сделать, чтобы она не работала.

Kaк работает защита Windows 2000/XP

Работу всей системы защиты Windows 2000/XP обеспечивает служба SRM (Security Reference Monitor - Монитор защиты обращений). Монитор SRM работает в режиме ядра системы Windows 2000/XP, т.е. невидимо для пользователя. Однако в системе Windows 2000/XP есть программы, в том числе поддерживающие графический интерфейс, которые позволяют обратиться к различным компонентам монитора SRM. Эти компоненты таковы.

• Диспетчер LSA (Local Security Authority - Локальные средства защиты), проверяющий, имеет ли пользователь разрешения на доступ к системе согласно политике безопасности, хранимой в специальной базе данных LSA. Иными словами, диспетчер LSA авторизует пользователей системы согласно принятой политике безопасности. Помимо этого, диспетчер LSA управляет политикой защиты системы и аудитом, а также ведет журнал безопасности.

• Диспетчер SAM (Security Account Manager - Диспетчер учетных записей системы защиты), который поддерживает работу с у четными записями локальных пользователей и групп. Эти учетные записи необходимы для аутентификации пользователей, которые далее авторизуются диспетчером LSA.

• Служба AD (Active Directory - Активный каталог), которая поддерживает базу данных AD с учетными записями пользователей и групп домена. Эти учетные записи необходимы для аутентификации пользователей, далее авторизуемых диспетчером LSA.

• Процедура регистрации, которая получает от пользователя введенный логин и пароль, после чего выполняет проверку двоякого рода: если при входной регистрации был указан домен, то контроллеру домена посылается запрос, причем для связи компьютеров используется протокол Kerberos; если же указан локальный компьютер, то проверку выполняет локальный компьютер.

Вам, наверное, уже стало понятным, как все это работает: процедура регистрации в диалоге, генерируемом при включении компьютера, предлагает пользователю ввести свой логин, пароль и указать компьютер/домен, в который он хочет войти. Далее серверы SAM и AD выполняют аутентификацию пользователя, а сервер LSA выполняет авторизацию пользователя. Если все прошло нормально, то пользователь входит в систему, и все его действия, т.е. обращения к информационным ресурсам, контролируются службой SRM.

Это, конечно, чрезвычайно упрощенная модель работы системы защиты Windows 2000/XP. Однако приведенных данных достаточно, чтобы выявить две основные уязвимости системы защиты. Во-первых, это наличие баз данных с паролями пользователей (SAM и AD); во-вторых, это наличие обмена информацией между компьютерами при регистрации пользователя в домене. Посмотрим, что это нам дает.