Upload
sweidan-omar
View
223
Download
0
Embed Size (px)
Citation preview
8/3/2019 Slides 23 Windows Biztonsag
1/37
8/3/2019 Slides 23 Windows Biztonsag
2/37
A flik rszben a Windows Operating System Internals Curriculum Development Kitalapjn kszltek.
8/3/2019 Slides 23 Windows Biztonsag
3/37
8/3/2019 Slides 23 Windows Biztonsag
4/37
Az authorizationnek mg rengeteg egyb fordtsavan: meghatalmazs, jogosultsg-ellenrzs, felhatalmazs
8/3/2019 Slides 23 Windows Biztonsag
5/37
8/3/2019 Slides 23 Windows Biztonsag
6/37
Principal: A biztonsgi rendszer ltal kezelt entitsok sszefoglal neve.
Csoportokat az egyszerbb, tlthatbb adminisztrls rdekben rdemes ltrehozni; a
biztonsgi belltsokat mindig csoportokra adjuk meg, s felhasznlkat pedig csakeltvoltjuk vagy hozzadjuk a megfelel csoporthoz.
A biztonsgi rendszerben a szmtgpet is reprezentlja egy felhasznl, az NT
AUTHORITY\System (a Szolgltatsok rsznl Local System nven hivatkoztunk r).
8/3/2019 Slides 23 Windows Biztonsag
7/37
Well-known security identifiers in Windows operating systems
http://support.microsoft.com/kb/243330
Mirt j a SID alap s nem login nv alap azonosts- login tnevezhet- SID gpspecifikus, gy kt ugyanolyan nev, de kln gpen ltrehozott felhasznl ismegklnbztethet
8/3/2019 Slides 23 Windows Biztonsag
8/37
psgetsid: sysinternals csomag rsze, http://technet.microsoft.com/en-us/sysinternals/bb842062.aspx
8/3/2019 Slides 23 Windows Biztonsag
9/37
8/3/2019 Slides 23 Windows Biztonsag
10/37
A belpskor hozzrendeldik egy hozzfrsi token a felhasznlhoz,s a ksbbimveletek sorn az ebben troltakat ellenrzi a rendszer.
Ideiglenesen egy folyamat vagy szl kaphat msik hozzfrsi tokent, mint az tfuttat felhasznl. Pldul egy fjlszerver vgrehajt szla tveszi a hvtreprezentl tokent a krs vgrehajtshoz (gy a hv jogosultsgaival hajtja vgre akrst).
8/3/2019 Slides 23 Windows Biztonsag
11/37
A SAM-ot mg a Rendszergazdase tudja megnzni.A jelszavak hash-e troldik itt.
8/3/2019 Slides 23 Windows Biztonsag
12/37
8/3/2019 Slides 23 Windows Biztonsag
13/37
A csoportosts esetleges, rengeteg egyb szempont van termszetesen, ezek csak aWindowsban szerepl fogalmak.
8/3/2019 Slides 23 Windows Biztonsag
14/37
8/3/2019 Slides 23 Windows Biztonsag
15/37
Privilege Constants
http://msdn.microsoft.com/en-us/library/bb530716(VS.85).aspx
Account Rights Constants
http://msdn.microsoft.com/en-us/library/bb545671(VS.85).aspx
8/3/2019 Slides 23 Windows Biztonsag
16/37
8/3/2019 Slides 23 Windows Biztonsag
17/37
8/3/2019 Slides 23 Windows Biztonsag
18/37
Az bra csak a legfontosabbakat tartalmazza, teljes lista:http://msdn.microsoft.com/en-us/library/aa379561(VS.85).aspx
8/3/2019 Slides 23 Windows Biztonsag
19/37
Kzs hozzfrsi modell alegtbb windowsos objektumhoz, mindegyikhezugyanolyan biztonsgi ler rendelhet, csak majd msok lesznek a specilis jogok.
Securable Objects
http://msdn.microsoft.com/en-us/library/aa379557(VS.85).aspx
8/3/2019 Slides 23 Windows Biztonsag
20/37
8/3/2019 Slides 23 Windows Biztonsag
21/37
8/3/2019 Slides 23 Windows Biztonsag
22/37
8/3/2019 Slides 23 Windows Biztonsag
23/37
(Ez nem a felhatalmazs feladatt ltja el, hanem azt szablyozza, hogy kinek milyenmvelete esetn kell naplzni az adott mveletet.)
8/3/2019 Slides 23 Windows Biztonsag
24/37
ACCESS_MASK Data Type
http://msdn.microsoft.com/en-us/library/aa374892(VS.85).aspx
8/3/2019 Slides 23 Windows Biztonsag
25/37
8/3/2019 Slides 23 Windows Biztonsag
26/37
8/3/2019 Slides 23 Windows Biztonsag
27/37
EladksHallgatk csoport, gipszj felhasznl mindkettnek tagjaKnyvtrszerkezet:
OpreHallgatk csoport olvass jog, rkldik EloadasokEladk csoport mdosts jog, rkldik
Hozzunk ltre egy fjlt az Eloadasok knyvtrban, s nzzk meg, hogy gipszj-nekmilyen effektv joga van r. Itt ltszik, hogy az egyes egyszer jogok (Teljes hozzfrs,Mdosts, Olvass & Vgrehajts, Knyvtr tartalmnak listzsa, rs, Olvass)milyen elemi engedlyekbl llnak ssze.Adjuk hozz a fjlhoz gipszj-t: tiltsuk meg az rst. gy is nzzk meg az effektv
jogokat.
8/3/2019 Slides 23 Windows Biztonsag
28/37
8/3/2019 Slides 23 Windows Biztonsag
29/37
Windows Vista Integrity Mechanism Technical Reference,
http://msdn.microsoft.com/en-us/library/bb625964.aspx
Rendszergazda cmd-bl:echo High integrity information, only restricted modification >>
high.txt
icacls high.txt /setingegritylevel H
icacls high.txt
kimenet:C:\temp>icacls high.txt
high.txt BUILTIN\Rendszergazdk:(I)(F)NT AUTHORITY\SYSTEM:(I)(F)
BUILTIN\Felhasznlk:(I)(RX)
NT AUTHORITY\Hitelestettfelhasznlk:(I)(M)
Ktelez cmke\Magas ktelezszint:(NW)
alacsony integrits cmd indtsapsexecl cmd.exe
Alacsony integrits cmd-bl:
8/3/2019 Slides 23 Windows Biztonsag
30/37
echo mdosts >>high.txtA hozzfrs megtagadva.
(Integritsi cmke megvltoztatshoz SeRelabelPrivilegejogosultsg kell.)
8/3/2019 Slides 23 Windows Biztonsag
31/37 3
8/3/2019 Slides 23 Windows Biztonsag
32/37 3
8/3/2019 Slides 23 Windows Biztonsag
33/37
Biztonsgi napl esemnye:- hzirendben megadjuk, hogy a sikertelen belpseket naplzza- RunAs paranccsal prblunk indtani valamit, s hibs jelszt adunk meg
Pl. Manage auditing and security log (SeSecurityPrivilege): Allows a user to specifyobject access auditing options for individual resources such as files, Active Directory
objects, and registry keys. Object access auditing is not actually performed unless you
have enabled it in Audit Policy (under Security Settings , Local Policies ). A user who
has this privilege also can view and clear the security log from Event Viewer.
By default, this privilege is assigned to Administrators.
8/3/2019 Slides 23 Windows Biztonsag
34/37
8/3/2019 Slides 23 Windows Biztonsag
35/37
8/3/2019 Slides 23 Windows Biztonsag
36/37
8/3/2019 Slides 23 Windows Biztonsag
37/37
Ez nem kifejezetten biztonsg,inkbb menedzselhetsg. Az opercis rendszer s aprogramok belltsait szablyozhatjuk kzpontilag, egy helyrl. Tartomnyi krnyezetesetn akr tbb szz gp s tbb ezer felhasznl esetn lehet ugyangy egy helyrlszablyozni a belltsokat.
Group Policy Settings Reference Windows Vista
(http://www.microsoft.com/downloads/details.aspx?FamilyID=41dc179b-3328-4350-
ade1-c0d9289f09ef&DisplayLang=en): XLS tblzat az sszes csoporthzirendbelltsi opcirl