Служба регистрации в ОС windows nt и ее возможности по защите информации

СЛУЖБА РЕГИСТРАЦИИ В ОС WINDOWS NT И ЕЕ ВОЗМОЖНОСТИ ПО ЗАЩИТЕ ИНФОРМАЦИИ 

Тематический  реферат

по дисциплине «Информационная безопасность и  защита информации» 
 

Введение

       Стремительное развитие информационных технологий привело  к формированию информационной среды,  оказывающей влияние на все сферы  человеческой деятельности. Однако с  развитием информационных технологий возникают и стремительно растут риски, связанные с их использованием, появляются совершенно новые угрозы, с последствиями, от реализации которых человечество раньше не сталкивалось.

       Одним из главных инструментов для реализации конкретных информационных технологий являются информационные системы,  задача обеспечения безопасности которых является приоритетной, так как от сохранения конфиденциальности, целостности и доступности информационных ресурсов зависит результат деятельности информационных систем.

       Операционная  система является важнейшим программным  компонентом любой вычислительной машины, поэтому от уровня реализации политики безопасности в каждой конкретной операционной системе во многом зависит и общая безопасность информационной системы. 

       В связи с этим знания в области  современных методов и средств  обеспечения безопасности операционных систем являются необходимым условием для формирования специалиста по информационной безопасности.

       В качестве одной из самых распространенных сетевых операционных систем является Windows NT, на ее примере рассмотрим работу службы регистрации и ее возможности по обеспечению безопасности в сети.

Содержание 

       1 Структура Windows NT

       1.1 Объектная модель защиты

       В Windows NT очень большое внимание уделено обеспечению безопасности. Специалисты Microsoft утверждают, что именно поэтому она получает ощутимое преимущество в тех случаях, когда требуется сохранение в тайне конфиденциальной информации.

       Идея  создания подобной ОС возникла почти  десять лет назад. Windows NT была задумана как ОС, удовлетворяющая потребности американской военной промышленности, и ее разработчики постарались выполнить все требования, необходимые для сертификации по уровню безопасности С2 федерального правительства США.

       В основу функционирования Windows NT заложена объектная модель защиты. Объектом защиты может быть любой ресурс системы – файл, устройство, программа пользователя или процесс. Для каждого из них обязательно найдется соответствующий ему объект защиты, содержащий информацию о том, кому и что именно позволено делать с данным ресурсом. Эта информация переносится одновременно с перемещением или копированием ресурсов.

       Чтобы в полной мере осуществить объектно-ориентированный  подход к защите компьютерных ресурсов, многопользовательская ОС в первую очередь должна выяснить, чей запрос обслуживается в данный момент времени. Для идентификации пользователей  Windows NT использует два ключа – имя и пароль. Имя определяет возможности пользователя при работе с системой, а соответствующий имени пароль подтверждает наличие этих возможностей и должен быть известен лишь самому пользователю.

       1.2 Регистрация пользователей

       Перед началом работы любой пользователь обязательно проходит процедуру  регистрации в системе. После  включения компьютера и загрузки ОС на дисплее появляется окно с надписью «Для входа в систему нажмите Ctrl+Alt+Delete». Одновременное нажатие этих клавиш запускает подсистему защиты Windows NT, которая предлагает пользователю ввести свое имя и пароль. При вводе символы пароля на экране замещаются звездочками, чтобы посторонние не могли его подсмотреть. По окончании ввода подсистема безопасности проверяет правильность введенных данных. Если имя и пароль заданы верно, можно начать работу в системе.

       Когда пользователь покидает компьютер, он сообщает об этом системе нажатием тех же клавиш Ctrl+Alt+Del. На экране появляется еще одно диалоговое окно подсистемы защиты, содержащее имя зарегистрированного пользователя и несколько кнопок:

       – «Выход из системы...» завершает все запущенные пользователем программы и переводит Windows NT в режим ожидания следующей попытки регистрации; «Завершение работы...» в дополнение к останову всех программ пользователя готовит систему к выключению питания; 

       – «Блокировка» скрывает содержимое экрана дисплея; чтобы вновь разблокировать экран, необходимо ввести соответствующий пароль;

       – «Смена пароля...» диалогового окна подсистемы защиты позволяет сменить пароль пользователя.

       Итак, работать в Windows NT может любой пользователь, прошедший регистрацию. Для успешной регистрации ему необходим так называемый бюджет, в который включаются все сведения, позволяющие отличать этого пользователя системы от других. Бюджет представляет собой небольшую базу данных, содержащую имя и пароль, а также описание возможностей пользователя.

       На  стадии установки Windows NT автоматически создаются два пользовательских бюджета – с именами «Администратор» и «Гость». «Администратор» – это полновластный хозяин Windows NT. Среди пользователей системы он обладает самыми широкими полномочиями. Например, администратор может получить доступ сам, а также ограничить права доступа других пользователей к любому объекту защиты Windows NT. Однако кое-что система запрещает делать даже администратору. Так, администратор не может узнать чужой пароль, а значит, оказывается не в состоянии сделать что-то от имени другого пользователя без ведома последнего.

       «Гость» предназначен для временных пользователей – «гостей» Windows NT. В ходе установки для него задается признак «Отключить учетную запись», означающий, что данный бюджет заблокирован и не может быть задействован при регистрации. После снятия этого признака администратором любому пользователю будет предоставлена возможность регистрации в Windows NT под именем «Гость». Однако в этом случае ему будут предоставлены минимальные возможности для работы в системе.

       Создание  новых бюджетов и изменение существующих – исключительное право администратора. Он может внести исправления в имя пользователя (от 1 до 20 символов без учета регистра) и в его пароль (до 14 символов с учетом регистра), а также переустановить ряд флажков, предварительно запустив приложение «Диспетчер пользователей».

       Если  установлен флажок «Потребовать смену пароля при следующем входе в систему», то при первой регистрации данного пользователя система потребует от него сменить пароль на новый, придуманный им самим. Этот флажок необходим для того, чтобы спрятать пользовательский пароль от администратора. «Запретить смену пароля пользователем» служит противоположной цели: в этом случае пароль всегда известен администратору. «Постоянный пароль (без ограничения срока действия)» позволяет выключить для данного пользователя механизм старения паролей, который заставляет всех остальных регулярно менять свои пароли. «Отключить учетную запись» применяется, чтобы временно закрыть пользователю доступ к системе.

       В Windows NT существуют определенные правила работы с бюджетами, соблюдение которых повышает безопасность работы в системе. Чтобы оговорить эти правила, администратор может воспользоваться командой «Учетные записи» в меню «Политика» окна приложения «Диспетчер пользователей». Появится диалоговое окно «Политика учетных записей» со следующими опциями:

       – «Максимальный срок действия». Можно потребовать от пользователя менять пароль с частотой, заданной в поле «Срок действия (дней)». Чтобы сохранить равновесие между удобством в работе и соблюдением должной секретности при обращении с паролями, лучше всего назначить срок смены паролей в 30—45 дней.

       – «Минимальный срок действия». Указанием числа дней в поле «Нельзя изменять (дней)» устанавливают минимальный срок, по истечении которого разрешается менять пароль. С помощью этой опции администратор может заставить всех пользователей иметь один и тот же пароль в течение определенного срока.

       – «Минимальная длина пароля». Чем короче пароль, тем легче его запомнить. Однако в этом случае нарушителю будет проще подобрать нужный пароль для регистрации в системе путем простого перебора всех возможных комбинаций. При более длинных паролях обеспечивается большая безопасность системы, но тогда пользователи чаще забывают свои пароли, что доставляет немало хлопот администратору. Чтобы указать минимальную длину пароля, требуется поставить нужное число в ноле «Не менее ... символов».

       – «Уникальность пароля». Число в ноле «Хранить паролей» указывает количество паролей, которые надо хранить в ретроспективном списке, содержащем пользовательские пароли. Ни одну комбинацию из этого списка нельзя использовать в качестве нового пароля, когда приходит время смены пароля.

       – «Блокировка учетной записи». В поле «Блокировка после ... неудачных попыток входа» указывается предельное количество неудачных попыток регистрации. Это значение связано с другим числом, которое задается в поле «Сброс счетчика через ... мин» и определяет в течение какого времени следует вести отсчет неудачных попыток. Если количество неудачных попыток за заданный срок превысит предельное значение, бюджет будет заблокирован. В группе «Длительность блокировки» есть поле «Блокировать на... мин», содержащее время блокировки бюджета пользователя. Если установлен флажок «Постоянная (до снятия блокировки администратором)», бюджет блокируется вплоть до момента разблокирования администратором.

       Последняя опция («Для смены пароля пользователь должен войти в систему») в диалоговом окне «Политика учетных записей» требует от пользователя зарегистрироваться перед изменением пароля, чтобы пресечь попытку ввода просроченного пароля для регистрации в соответствии с подставным бюджетом.

       Администратор может присваивать пользователям  определенные права с помощью  приложения «Диспетчер пользователей» в диалоговом окне «Политика прав пользователей», которое вызывается из меню «Политика» командой «Права пользователей». Такие права, относящиеся к системе в целом, разрешают производить в системе некоторые действия, а именно регистрироваться на данном компьютере, создавать новые пользовательские бюджеты, изменять системное время, а также выполнять некоторые другие операции, перечисленные в диалоговом окне «Политика прав пользователей».

       Часто оказывается полезным отслеживать  применение пользователями присвоенных  им нрав – контролировать регистрацию пользователей с целью выявления неудачных попыток зарегистрироваться (означающих намерение обойти подсистему защиты Windows NT), фиксировать изменения, вносимые в бюджеты, следить за операциями доступа к файлам и т.д. Для этого администратору необходимо запустить приложение «Диспетчер пользователей» и установить в диалоговом окне «Политика аудита», вызываемом из меню «Политика» командой «Аудит», соответствующие флажки напротив операций, за успешным или неудачным выполнением которых нужно следить. Результаты аудита заносятся в специальный журнал.

       1.3 Управление доступом к объектам

       Защита  отдельных ресурсов (файлов, каталогов, разделов жесткого диска или принтеров) в Windows NT основана на принципе дискреционного контроля доступа. В соответствии с ним у каждого ресурса есть владелец, управляющий доступом к данному ресурсу со стороны других пользователей. Владельцем файла или каталога считается его создатель, разделом диска «владеет» человек, разбивший дисковое пространство на разделы, а принтером распоряжается тот, кто установил его в системе.

       В Windows NT существует два метода управления доступом к ресурсам: допуск на уровне файлов и на уровне каталогов. Под допуском здесь понимается правило, регламентирующее доступ пользователей к какому-либо ресурсу ОС.

       Чтобы определить допуск на уровне файлов, нужно  щелкнуть правой кнопкой мыши на соответствующем  ресурсе в программном приложении «Проводник» и указать опцию «Свойства». В появившемся диалоговом окне следует выбрать закладку «Безопасность» и щелкнуть мышью на кнопке «Разрешения». В диалоговом окне можно присвоить пользователям различные степени допуска – «чтение», «просмотр», «полный доступ» и другие. Для раздела диска или каталога допуск определяют вплоть до каждого файла или подкаталога, находящегося на данном разделе диска или в данном каталоге.

       Определение допуска к ресурсу на уровне каталогов  никак не влияет на доступ к входящим в его состав другим ресурсам (например, допуск к каталогу в этом случае никак не затрагивает допуски  к содержащимся в нем файлам и  подкаталогам). Такой способ предоставления допуска к ресурсу обычно используется для контроля за удаленным доступом к сетевым устройствам.

       Windows NT позволяет контролировать локальный доступ к хранящейся на диске информации в соответствии с разрешениями файловой системы. Как известно, NT поддерживает две файловые системы: FAT и NTFS. FAT не имеет средств защиты на уровне локального пользователя, поэтому она используется, только если компьютер имеет альтернативную операционную систему MS-DOS или Windows 95. NTFS - новая файловая система, поддерживаемая только ОС Windows NT. Основным ее отличием от FAT является способность обеспечивать защиту файлов и каталогов в соответствии с правами пользователей.

       NTFS необходимо использовать всегда, когда требуется обеспечить защиту информации. Однако необходимо учитывать, что разрешения NTFS на доступ к данным не действуют в другой операционной системе, отличной от Windows NT.

       Только  шифрование способно надежно защитить информацию от подобных методов прямого  доступа к диску. В Windows NT 4.0 не предусмотрена возможность шифрования на уровне операционной системы (файловая система с этой функцией должна появиться в следующей версии NT).

       В соответствии с российским законодательством, все государственные организации, а также предприятия, на которых  размещаются государственные заказы, должны применять шифровальные средства, имеющие сертификат Федерального агентства  правительственной связи и информации при Президенте РФ. В этом случае для шифрования данных в среде NT можно использовать сертифицированное средство криптографической защиты информации <ВЕРБА-OW>, разработанное Пензенским научно-исследовательским электротехническим институтом.

       Наивысшую же степень защиты информации обеспечивают специализированные контроллеры дисков, способные шифровать на лету любые  данные, записываемые на жесткий диск. На отечественном рынке наибольшее распространение получили шифрующие  контроллеры дисков серии КРИПТОН, имеющие сертификат ФАПСИ.

       Кроме доступа к хранящейся на компьютере информации злоумышленник, как правило, стремится получить права администратора системы или пароли пользователей. В этом случае наибольший интерес  для него представляет файл SAM из каталога WINNT\System32\Config. SAM – это файл, где хранятся учетные записи пользователей и их пароли. Во время работы Windows NT доступ к SAM имеет только администратор. Тем не менее злоумышленник может получить копию этого файла, загрузив с дискеты MS-DOS и свободно скопировав SAM.

       Для извлечения и вскрытия текстовых  паролей из SAM взломщик может использовать одну из доступных в Internet программ, например L0phtCrack. С целью защиты от просмотра пароли в SAM подвергаются специальной криптографической процедуре – хэшированию. Хэш дополнительно шифруется с помощью алгоритма DES, однако эта операция является обратимой, так что значение хэшированного пароля может быть восстановлено в любой момент. В отличие от шифрования, хэширование – необратимая процедура, поэтому восстановить из хэша текстовый пароль можно только путем перебора всех возможных комбинаций. Таким образом, время, необходимое для вскрытия пароля, увеличивается пропорционально длине пароля и количеству используемых символов.

       Windows NT поддерживает пароли длиной до 128 символов, но на практике стандартные программы работы с учетными записями пользователей ограничивают длину пароля 14 символами. Может показаться, что простой перебор всех возможных комбинаций 14-символьного пароля требует применения сверхмощной вычислительной техники, однако это не совсем так. Дело в том, что в действительности файл SAM содержит два хэшированных представления одного и того же пользовательского пароля, полученных с помощью разных алгоритмов. Один хэш – в стандарте Windows NT, другой - в стандарте LAN Manager (этот стандарт используется в целях совместимости с другими сетевыми клиентами, такими, как Windows for Workgroups и Windows 95). Хэшированный пароль стандарта LAN Manager слабо устойчив к взлому, так как каждая из двух половин 14-байтового символьного пароля хэшируется независимо, а результаты затем соединяются. Таким образом, вычисление 14-байтового пароля эквивалентно взлому двух 7-байтовых паролей, что значительно сокращает число возможных комбинаций для перебора. По этой причине все программы вскрытия текстовых паролей пытаются в первую очередь подобрать хэшированный пароль по стандарту LAN Manager. Для защиты базы данных SAM от взлома можно использовать утилиту SYSKEY, входящую в состав Service Pack 3. SYSKEY позволяет дополнительно зашифровать данные в SAM, после чего программы извлечения и восстановления паролей не смогут корректно обрабатывать информацию из этого файла.

       Если  у злоумышленника имеется физический доступ к компьютеру и возможность  загрузки с дискеты, то он может использовать еще один быстрый способ получения  прав администратора системы. Имеющийся  в Internet файл bootdisk.bin (автор - Petter Nordahl-Hagen) представляет собой образ загрузочной дискеты с ОС Linux. Загрузка с такой дискеты приводит к запуску программы, предлагающей сменить пароль любого пользователя операционной системы Windows NT (включая администратора). Эта программа способна модифицировать пароли в файле SAM как в разделе NTFS, так и в FAT. Перед сменой пароля она предлагает сохранить старую копию SAM, которую злоумышленник может использовать впоследствии для восстановления первоначального пароля администратора, чтобы нарушение системы безопасности осталось незамеченным. Данная атака может быть предотвращена за счет дополнительного шифрования информации в SAM с помощью утилиты SYSKEY.

       Непривилегированный пользователь может получить права  администратора непосредственно во время сеанса работы в Windows NT, используя имеющиеся полномочия на каталоги диска и ключи реестра. К примеру, каталог WINNT\REPAIR, где хранится резервная копия системного реестра, доступен по умолчанию для всех пользователей. Используя файл SAM из этого каталога, взломщик способен выяснить пароли других пользователей.

       Для обеспечения высокого уровня защиты администратору следует вручную  задать более жесткие права на объекты файловой системы и ключи  реестра.

       Однако  правильное администрирование не всегда гарантирует надежную защиту. Серьезную угрозу безопасности NT могут представлять ошибки в самой операционной системе. Так, например, широко известная программа GetAdmin.exe использует одну из внутренних системных «дыр» для повышения уровня привилегий локального пользователя и включения его в группу администраторов. Как правило, компания Microsoft оперативно реагирует на сообщения об ошибках в коде ОС Windows NT и выпускает соответствующие «заплаты» (Hot Fix), которые позднее включаются в новые версии сервисных пакетов (Service Pack).

       Организация локальной системы безопасности требует от администратора комплексного подхода, включающего предотвращение физического доступа, ограничение  прав пользователей и задание  надлежащих полномочий на папки диска  и ключи реестра. Вот несколько  основных рекомендаций по защите системы  на базе NT от атак, связанных с локальным  доступом:

       – Windows NT должна быть единственной операционной системой на вашем компьютере;

       – у пользователя не должно быть возможности загрузиться с дискеты;

       – системный блок должен находиться в недоступном для пользователей месте;

       – в качестве файловой системы следует использовать только NTFS;

       – число пользователей с правом локальной регистрации должно быть максимально ограничено (для этого в программе UserManager в меню Policies выберите пункт UsersRights, в списке Rights укажите log on locally и отредактируйте список разрешенных пользователей);

       – при появлении новых версий сервисных пакетов и «заплат» на сервере http://www.microsoft.com их по возможности следует тут же устанавливать.

       3 Безопасная работа в локальной  сети

       Одной из наиболее важных функций локальных  сетей является совместное использование  файлов и печати. Windows NT обеспечивает разделение файлов и печати с помощью двух сетевых сервисов: Workstation и Server. Служба Workstation позволяет компьютерам обращаться к ресурсам в сети. Служба Server предназначена для управления созданием и защитой каталогов и принтеров, а также позволяет компьютеру выполнять роль сервера, предоставляющего свои собственные сетевые ресурсы для общего доступа. Дистанционный доступ к сетевым ресурсам в ОС Windows NT осуществляется по протоколу SMB (Server Message Block); этот протокол применяется также для удаленного управления системой. Ниже рассмотрим вопросы защиты сервера SMB на базе Windows NT.

       Наибольший  интерес с точки зрения безопасности представляет процесс регистрации  пользователей в сети Windows NT по протоколу SMB. C каждым сетевым ресурсом сервера связан список контроля доступа, поэтому любой сеанс связи начинается с процесса регистрации сетевого клиента и проверки его прав на доступ к запрашиваемому сетевому ресурсу. При открытии сеанса связи сервер генерирует случайный 8-байтовый «вызов» и посылает его клиенту. Клиент шифрует по алгоритму DES полученный от сервера «вызов», используя в качестве ключа шифрования 16-байтовый хэшированный пароль из своего файла SAM. Результатом является 24-байтовый «ответ» клиента, который и передается серверу. Как уже упоминалось, в SAM хранятся два хэшированных пароля: хэш Windows NT и хэш LAN Manager. Поэтому клиент формирует два «ответа» общей длиной 48 байт. Сервер в свою очередь проводит аналогичные вычисления, используя собственный «вызов» и хэшированный пароль пользователя из своей базы данных SAM. Полученное в результате значение сервер сравнивает с пришедшим от клиента «ответом»; если они совпадают, то регистрация заканчивается успешно (рисунок 1).

Рисунок 1 – Процедура регистрации в сети

       Перед открытием сеанса связи стороны  договариваются об используемом диалекте SMB. На этом этапе злоумышленник, имеющий  доступ к локальной сети, способен вынудить клиента выслать пароль в открытом виде без применения схемы «вызов-ответ». Применяемый алгоритм сетевой регистрации Windows NT дает злоумышленнику, перехватившему пару «вызов-ответ», возможность подобрать пароль пользователя. Упоминавшаяся ранее программа L0phtCrack способна вычислить текстовые пароли на основании «вызова» сервера и «ответа» клиента. Как и в случае паролей из локальной базы SAM, «ответ» по стандарту LAN Manager наименее устойчив к взлому. В среднем подбор пароля по этому «ответу» занимает только на 40% больше времени, чем прямая атака на хэш LAN Manager из SAM. Вместе с тем администратор может запретить включение пароля LAN Manager в «ответ» клиента. Для этого в ключе HKLM\SYSTEM\CurrentControlSet\Control\LSA параметр LMCompatibilityLevel следует задать равным 2. Однако следует знать, что отключение совместимости с LAN Manager сделает невозможной работу сервера Windows NT с системами, поддерживающими этот протокол (Windows 95, Windows for Workgroups).

       Обратите  внимание, что при формировании «ответа» клиентом используется не сам текстовый пароль, а только его хэшированное представление. Поэтому, если злоумышленнику удастся заполучить хэшированный пароль пользователя, он сможет пройти сетевую регистрацию, не взламывая хэш.

       Итак, основные проблемы безопасности локальной  сети связаны, прежде всего, с возможностью прослушивания сети злоумышленником  и перехвата паролей. Если локальная  сеть построена на базе широковещательного протокола, в частности, Ethernet, то на любом компьютере сетевой адаптер может быть переведен в режим приема всех пакетов – promiscuous mode. Кроме того, сама Microsoft предоставила в распоряжение пользователя прекрасное средство прослушивания сети - Network Monitor. Многие администраторы используют Network Monitor для поиска неисправностей в сети, но при этом они имеют потенциальную возможность перехватывать передаваемую по сети конфиденциальную информацию, например имена и пароли пользователей. Кроме Network Monitor существует ряд специализированных «анализаторов пакетов» (packet sniffer), позволяющих автоматизировать процесс обнаружения паролей NT в прослушиваемом сетевом трафике.

       Для борьбы с прослушиванием следует  жестко контролировать физический доступ к сетевому кабелю, использовать коммутаторы  вместо концентраторов, внимательно  относиться к защите маршрутизаторов. Иногда, по тем или иным причинам, контроль за физическим доступом посторонних лиц к каналам передачи данных оказывается невозможным. В таких случаях можно воспользоваться специальными шифрующими протоколами для организации виртуального канала между клиентом и сервером в соответствии с технологией VPN (Virtual Private Network). Как уже было описано выше, для доступа к сетевым ресурсам сервера клиент должен пройти процедуру регистрации. Для этого ему необходимо знать имя и пароль пользователя, имеющего учетную запись на данном сервере или на контроллере домена. Однако из этого правила есть два исключения: гостевой и анонимный входы. Если на сервере Windows NT учетная запись Guest не заблокирована, то любой незарегистрированный пользователь автоматически получает доступ к сетевым ресурсам с правами Guest. Поэтому разрешать гостевой вход следует с особой осторожностью. C помощью сетевого сканера Legion администратор может выявить все серверы SMB, предоставляющие свои ресурсы для гостевого доступа незарегистрированным пользователям.

       Еще одним способом войти в систему NT без какой-либо регистрации является анонимный вход. Сервер открывает  анонимный сеанс SMB, когда в ответ  на «вызов» клиент посылает пакет с пустым паролем и без имени пользователя. В рамках этого сеанса клиент не получает доступа ни к файлам, ни к принтерам, но имеет доступ к специальному ресурсу IPC$ (Inter Process Communication). Этот ресурс предназначен для создания именованных каналов, которые компьютеры в сети используют для обмена различной служебной информацией (кроме того, именованные каналы применяются для дистанционного управления сервером).