Slides 23 Windows Biztonsag

8/3/2019 Slides 23 Windows Biztonsag

1/37


2/37

A flik rszben a Windows Operating System Internals Curriculum Development Kitalapjn kszltek.


3/37


4/37

Az authorizationnek mg rengeteg egyb fordtsavan: meghatalmazs, jogosultsg-ellenrzs, felhatalmazs


5/37


6/37

Principal: A biztonsgi rendszer ltal kezelt entitsok sszefoglal neve.

Csoportokat az egyszerbb, tlthatbb adminisztrls rdekben rdemes ltrehozni; a

biztonsgi belltsokat mindig csoportokra adjuk meg, s felhasznlkat pedig csakeltvoltjuk vagy hozzadjuk a megfelel csoporthoz.

A biztonsgi rendszerben a szmtgpet is reprezentlja egy felhasznl, az NT

AUTHORITY\System (a Szolgltatsok rsznl Local System nven hivatkoztunk r).


7/37

Well-known security identifiers in Windows operating systems

http://support.microsoft.com/kb/243330

Mirt j a SID alap s nem login nv alap azonosts- login tnevezhet- SID gpspecifikus, gy kt ugyanolyan nev, de kln gpen ltrehozott felhasznl ismegklnbztethet


8/37

psgetsid: sysinternals csomag rsze, http://technet.microsoft.com/en-us/sysinternals/bb842062.aspx


9/37


10/37

A belpskor hozzrendeldik egy hozzfrsi token a felhasznlhoz,s a ksbbimveletek sorn az ebben troltakat ellenrzi a rendszer.

Ideiglenesen egy folyamat vagy szl kaphat msik hozzfrsi tokent, mint az tfuttat felhasznl. Pldul egy fjlszerver vgrehajt szla tveszi a hvtreprezentl tokent a krs vgrehajtshoz (gy a hv jogosultsgaival hajtja vgre akrst).


11/37

A SAM-ot mg a Rendszergazdase tudja megnzni.A jelszavak hash-e troldik itt.


12/37


13/37

A csoportosts esetleges, rengeteg egyb szempont van termszetesen, ezek csak aWindowsban szerepl fogalmak.


14/37


15/37

Privilege Constants

http://msdn.microsoft.com/en-us/library/bb530716(VS.85).aspx

Account Rights Constants

http://msdn.microsoft.com/en-us/library/bb545671(VS.85).aspx


16/37


17/37


18/37

Az bra csak a legfontosabbakat tartalmazza, teljes lista:http://msdn.microsoft.com/en-us/library/aa379561(VS.85).aspx


19/37

Kzs hozzfrsi modell alegtbb windowsos objektumhoz, mindegyikhezugyanolyan biztonsgi ler rendelhet, csak majd msok lesznek a specilis jogok.

Securable Objects

http://msdn.microsoft.com/en-us/library/aa379557(VS.85).aspx


20/37


21/37


22/37


23/37

(Ez nem a felhatalmazs feladatt ltja el, hanem azt szablyozza, hogy kinek milyenmvelete esetn kell naplzni az adott mveletet.)


24/37

ACCESS_MASK Data Type

http://msdn.microsoft.com/en-us/library/aa374892(VS.85).aspx


25/37


26/37


27/37

EladksHallgatk csoport, gipszj felhasznl mindkettnek tagjaKnyvtrszerkezet:

OpreHallgatk csoport olvass jog, rkldik EloadasokEladk csoport mdosts jog, rkldik

Hozzunk ltre egy fjlt az Eloadasok knyvtrban, s nzzk meg, hogy gipszj-nekmilyen effektv joga van r. Itt ltszik, hogy az egyes egyszer jogok (Teljes hozzfrs,Mdosts, Olvass & Vgrehajts, Knyvtr tartalmnak listzsa, rs, Olvass)milyen elemi engedlyekbl llnak ssze.Adjuk hozz a fjlhoz gipszj-t: tiltsuk meg az rst. gy is nzzk meg az effektv

jogokat.


28/37


29/37

Windows Vista Integrity Mechanism Technical Reference,

http://msdn.microsoft.com/en-us/library/bb625964.aspx

Rendszergazda cmd-bl:echo High integrity information, only restricted modification >>

high.txt

icacls high.txt /setingegritylevel H

icacls high.txt

kimenet:C:\temp>icacls high.txt

high.txt BUILTIN\Rendszergazdk:(I)(F)NT AUTHORITY\SYSTEM:(I)(F)

BUILTIN\Felhasznlk:(I)(RX)

NT AUTHORITY\Hitelestettfelhasznlk:(I)(M)

Ktelez cmke\Magas ktelezszint:(NW)

alacsony integrits cmd indtsapsexecl cmd.exe

Alacsony integrits cmd-bl:


30/37

echo mdosts >>high.txtA hozzfrs megtagadva.

(Integritsi cmke megvltoztatshoz SeRelabelPrivilegejogosultsg kell.)


31/37 3


32/37 3


33/37

Biztonsgi napl esemnye:- hzirendben megadjuk, hogy a sikertelen belpseket naplzza- RunAs paranccsal prblunk indtani valamit, s hibs jelszt adunk meg

Pl. Manage auditing and security log (SeSecurityPrivilege): Allows a user to specifyobject access auditing options for individual resources such as files, Active Directory

objects, and registry keys. Object access auditing is not actually performed unless you

have enabled it in Audit Policy (under Security Settings , Local Policies ). A user who

has this privilege also can view and clear the security log from Event Viewer.

By default, this privilege is assigned to Administrators.


34/37


35/37


36/37


37/37

Ez nem kifejezetten biztonsg,inkbb menedzselhetsg. Az opercis rendszer s aprogramok belltsait szablyozhatjuk kzpontilag, egy helyrl. Tartomnyi krnyezetesetn akr tbb szz gp s tbb ezer felhasznl esetn lehet ugyangy egy helyrlszablyozni a belltsokat.

Group Policy Settings Reference Windows Vista

(http://www.microsoft.com/downloads/details.aspx?FamilyID=41dc179b-3328-4350-

ade1-c0d9289f09ef&DisplayLang=en): XLS tblzat az sszes csoporthzirendbelltsi opcirl

Documents

Slides 23 Windows Biztonsag